Компании не справляются с потоком кода

Финансовая компания, начав использовать ИИ-инструмент Cursor для написания кода, резко увеличила объём генерируемого программного кода — с 25 000 до 250 000 строк в месяц. Всего за короткое время накопилось миллион строк, требующих проверки.

Джони Клипперт, соучредитель и генеральный директор стартапа StackHawk, который сотрудничал с этой компанией, отметила: «Огромный объём создаваемого кода и рост числа уязвимостей — это то, с чем они не могут справиться».

Ускорение разработки затронуло не только инженеров. Отделы продаж, маркетинга и поддержки клиентов тоже вынуждены работать быстрее, что вызвало «огромный стресс» во всей организации.

Перегрузка кодом становится нормой

С момента появления ИИ-инструментов для программирования от Anthropic, OpenAI, Cursor и других, компании столкнулись с новой проблемой — перегрузкой кодом.

Теперь любой сотрудник, даже без технического образования, может за считанные часы сгенерировать программные идеи. Это создаёт огромные объёмы кода, которые сложно контролировать.

Мишель Катаста, президент и руководитель отдела ИИ в Replit, описала ситуацию так: «Как благословение, так и проклятие этой ситуации заключается в том, что теперь каждый в вашей компании становится программистом».

Рост производительности и сокращение рабочих мест

По данным Google, 90 % разработчиков уже используют ИИ в работе, а 71 % — как помощника при написании кода.

ИИ-агенты, способные писать программы почти самостоятельно, резко ускорили процесс. Ранее месячные задачи теперь выполняются за дни. «Работу, которая раньше занимала месяцы, теперь можно выполнять за несколько дней», — заявил технический директор Meta Эндрю Босворт.

Это привело к сокращениям: компании вроде Pinterest, Block и Atlassian уволили тысячи сотрудников, ссылаясь на повышение эффективности благодаря ИИ.

Не хватает специалистов для проверки кода

Сейчас остро не хватает инженеров, способных проверять код на ошибки и уязвимости. Особенно востребованы «сеньоры» — опытные специалисты по безопасности.

«На планете не хватает инженеров по безопасности приложений, чтобы удовлетворить потребности даже одних только американских компаний», — сказал Джо Салливан из Costanoa Ventures.

Крупные компании готовы нанять ещё по пять–десять таких специалистов, но не могут найти их на рынке.

Новые угрозы безопасности

ИИ-инструменты лучше работают на локальных ноутбуках, чем на защищённых серверах. Из-за этого инженеры всё чаще скачивают корпоративный код на свои устройства.

«Это пример безумного риска, о котором шесть месяцев назад никто и не думал», — отметил Салливан. Потеря ноутбука может привести к утечке критически важного кода.

Проблемы в проектах с открытым исходным кодом

Стив Руиз, основатель стартапа Tldraw, заметил, что всё больше вкладов в его кодовую базу поступает от подозрительных участников. Они либо исчезали в самый последний момент, либо вносили спамоподобные правки.

Руиз пришёл к выводу, что это были ИИ-боты. В январе он закрыл проект для внешних вкладов: «Риск для кодовой базы был очень высок».

По его словам, GitHub и другие платформы теперь ищут способы адаптироваться к новой реальности.

Решение — больше ИИ?

Некоторые компании предлагают использовать ИИ для борьбы с последствиями ИИ. Anthropic и OpenAI разрабатывают агентов, которые проверяют код на ошибки.

В декабре Cursor приобрёл стартап Graphite, специализирующийся на ботах для анализа кода. Теперь технологии Graphite интегрируются в продукт Cursor, чтобы помогать инженерам выявлять наиболее уязвимые участки кода.

Тидо Карриеро, руководитель инженерии и продуктов в Cursor, сказал: «Фабрика по разработке программного обеспечения немного сломалась. Мы пытаемся в некотором смысле переставить местами её части».

По его словам, передовые компании уже адаптируются к новому ритму и перестраивают бизнес-процессы под реалии ИИ-разработки.

Компании спешно пытаются справиться с избытком кода

Когда недавно одна из компаний, предоставляющих финансовые услуги, начала использовать Cursor — технологию искусственного интеллекта, которая пишет компьютерный код, — разница стала заметна сразу же.

Компания перешла от 25 000 строк кода в месяц к 250 000 строк. Это привело к накоплению миллиона строк кода, которые необходимо было проверить, рассказала Джони Клипперт, соучредитель и генеральный директор StackHawk, стартапа в сфере кибербезопасности, который сотрудничал с этой финансовой компанией.

«Огромный объём создаваемого кода и рост числа уязвимостей — это то, с чем они не могут справиться», — сказала она. А поскольку разработка программного обеспечения ускорилась, это заставило отделы продаж, маркетинга, поддержки клиентов и другие подразделения тоже ускориться, добавила Клипперт, что создало «огромный стресс».

С тех пор как в прошлом году стали популярны инструменты для написания кода на базе ИИ от Anthropic, OpenAI, Cursor и других компаний, проявился один заметный результат: происходит перегрузка кодом.

С помощью этих инструментов специалисты создают такое огромное количество кода и с такой скоростью, что его становится слишком много, чтобы с ним управиться. Поскольку теперь любой — не только инженеры — может генерировать программные идеи за считанные часы, компании пытаются понять, как справиться с этим избытком.

В Кремниевой долине многие IT-специалисты воспринимают этот момент как новую реальность, к которой приходится приспосабливаться по мере внедрения инструментов ИИ в повседневную работу. Некоторые отмечают, что эти инструменты наделяют их «суперспособностями» в программировании, позволяя уделять больше времени разработке идей для программного обеспечения, а не утомительной рутине.

В то же время не хватает инженеров, способных проверять огромные объёмы кода на наличие ошибок. Рекрутеры всё чаще ищут «сеньоров» с опытом обнаружения ошибок в коде, которые смогут отслеживать риски в программном обеспечении. Проекты с открытым исходным кодом, куда может внести вклад любой желающий, переполнены дополнениями, сделанными с помощью ИИ. А недостатки в коде могут приводить к уязвимостям в системе безопасности или сбоям в работе программного обеспечения.

«Как благословение, так и проклятие этой ситуации заключается в том, что теперь каждый в вашей компании становится программистом», — сказала Мишель Катаста, президент и руководитель отдела искусственного интеллекта в Replit, стартапе по программированию с использованием ИИ из Фостер-Сити, Калифорния.

Вопросе, опубликованном Google в сентябре, компания обнаружила, что 90 процентов разработчиков программного обеспечения сообщили об использовании ИИ для помощи в работе, а 71 процент тех, кто пишет код, использовали ИИ в качестве помощника.

Широкое использование этих инструментов вызвало опасения, что ИИ может заменить многих инженеров. Технологические компании, включая Pinterest, Block и Atlassian, сократили тысячи рабочих мест в последние месяцы, ссылаясь на повышение эффективности, достигнутое благодаря ИИ.

«Проекты, на которые раньше требовались сотни инженеров, теперь могут делать десятки», — заявил в этом году сотрудникам технический директор Meta Эндрю Босворт во внутреннем меморандуме, с которым ознакомилась газета The New York Times. «Работу, которая раньше занимала месяцы, теперь можно выполнять за несколько дней». Он добавил, что искусственный интеллект «кардинально меняет методы работы таких организаций, как Meta».

Ещё недавно процесс преобразования нулей и единиц в компьютерные программы выглядел совсем иначе. Инженеры вникали в сложные языки программирования, чтобы запомнить их. За день они могли написать несколько десятков строк проверенного, надёжного кода.

Но прогресс в области ИИ привёл к появлению агентов — своего рода роботов на базе ИИ, способных создавать программное обеспечение в основном самостоятельно. Ранние версии этих агентов, в том числе от таких стартапов, как Cursor, выглядели многообещающими. Затем, в ноябре, агенты-кодировщики вышли на новый уровень. Anthropic и OpenAI, ведущие стартапы в области ИИ, выпустили обновлённые версии программного обеспечения, лежащего в основе их соответствующих инструментов для кодирования — Claude Code и Codex.

Как вскоре обнаружили IT-специалисты, это изменение превратило агентов из иногда полезных партнёров-инженеров в полноценных генераторов кода. При минимальном руководстве со стороны человека инженер мог запустить ИИ-агента для написания программы за время, кратно меньшее того, которое потребовалось бы программистам-людям. В результате случился потоп кода.

Многие технологические компании сейчас сталкиваются с последствиями этого явления. Кто-то должен проверять код, сгенерированный ИИ, на наличие ошибок, на безопасность и соответствие требованиям. Однако порой неясно, на чьи плечи ложится устранение проблем, вызванных кодом от ИИ. Раньше за это отвечал тот, кто создал код.

Компании испытывают трудности с наймом достаточного количества специалистов для мониторинга кода ИИ на предмет рисков — эта должность называется инженер по безопасности приложений. «На планете не хватает инженеров по безопасности приложений, чтобы удовлетворить потребности даже одних только американских компаний», — сказал Джо Салливан, консультант Costanoa Ventures, венчурной фирмы из Кремниевой долины. По его словам, крупные компании, с которыми он работает, наняли бы ещё от пяти до десяти человек на эту должность, если бы могли.

Другие проблемы носят более причудливый характер. Инструменты для программирования на базе ИИ работают лучше на ноутбуках, чем в веб-сервисах разработки, хранящихся на защищённых серверах, принадлежащих таким компаниям, как Amazon и Microsoft. Это означает, что всё больше инженеров скачивают весь код своей компании на свои ноутбуки, что создаёт угрозу безопасности в случае потери ноутбука, сказал Салливан.

«Это пример безумного риска, о котором шесть месяцев назад никто и не думал, а сейчас пытается его устранить», — сказал он.

Сачин Камдар, соучредитель Elvex, стартапа, занимающегося разработкой агентов искусственного интеллекта, сказал, что около 16 месяцев назад он ввёл правило, согласно которому весь код компании должны проверять люди. В противном случае проблемы было бы сложнее исправить, поскольку никто не понял бы, какую работу проделал ИИ.

«А то он что-нибудь сломает, и они даже не поймут, почему это произошло», — сказал он.

В компаниях, принимающих правки кода от сторонних программистов, влияние ИИ стало очевидным. Стив Руиз, основатель стартапа Tldraw, занимающегося разработкой цифровых досок, рассказал, что ещё прошлой осенью он впервые заметил, что всё больше людей пытаются внести свой вклад в кодовую базу его компании. (Tldraw лицензирует свою технологию, но публикует код и принимает вклады в него).

Руиз сказал, что новые пользователи вели себя странно. Некоторые выполняли всю работу, но внезапно уходили перед тем, как заполнить форму в конце процесса. Другие игнорировали чёткие инструкции или вносили шквал обновлений, похожих на спам.

Руиз пришёл к выводу, что эти участники, вероятно, были ботами ИИ, с которыми было слишком сложно справиться. В январе он закрыл Tldraw для посторонних.

«Риск для кодовой базы был очень высок», — сказал он, добавив, что этот натиск мог поставить под угрозу его команду, сообщество и репутацию проекта. По его словам, проекты с открытым исходным кодом и платформы для программирования, такие как GitHub, пытаются понять, как справиться с новой реальностью.

Для некоторых в Кремниевой долине решение проблемы раздувания кода кажется очевидным: нужно больше ИИ.

Anthropic и OpenAI рассказывают о недавних выпусках новых продуктов, в том числе агентов по проверке программного обеспечения на базе ИИ, которые используются для обнаружения ошибок в коде. (The Timesподала в судна OpenAI и Microsoft за нарушение авторских прав на новостной контент, связанный с системами ИИ. Компании отвергли эти обвинения).

В декабре компания Cursorприобреластартап Graphite, занимающийся разработкой ботов для проверки кода. Компания интегрирует технологии Graphite в свой продукт, чтобы помочь инженерам правильно расставлять приоритеты, выбирая наиболее уязвимый код, требующий тщательной проверки.

Тидо Карриеро, руководитель отдела инженерии, продуктов и дизайна Cursor, сказал, что наиболее передовые компании уже поняли, что делать с лавиной кода, генерируемого ИИ, и теперь сосредоточились на адаптации своего бизнеса к этому новому способу работы. Cursor также разрабатывает продукты, которые помогут в этом, сказал он.

«Фабрика по разработке программного обеспечения немного сломалась, — сказал он. — Мы пытаемся в некотором смысле переставить местами её части».