Многие команды активно внедряют ИИ-инструменты и радуются стремительному росту кодовой базы. Но вскоре выясняется, что количество багов растёт с той же скоростью, а то и быстрее. Аудиты кода, несмотря на автоматизацию, перегружают бэклог на недели вперёд.

К 2026 году ИИ-революция уже свершилась — быстрее, чем мы успели осознать, как адаптировать процессы. Главный вызов: как удержать этот взрывной рост кода от краха в продакшене.

Цифры, которые не сходятся

93% разработчиков используют ИИ-инструменты ежемесячно. JetBrains подтверждают: 92,6%. Cursor, GitHub Copilot, Claude Code стали базовой инфраструктурой за год.

Казалось бы, продуктивность должна вырасти в разы. Но шесть независимых исследований показывают одно: реальный прирост — около 10%. Не 50%, не 2x.

Ещё удивительнее данные METR (июль 2025): опытные разработчики с ИИ тратили на задачи на 19% больше времени. При этом они были уверены, что стали на 20% быстрее.

Разрыв между ощущением и реальностью — 39 процентных пунктов.

Почему? ИИ ускоряет набор кода — это создаёт иллюзию скорости. А вот проектирование, ревью, отладка и архитектурные решения — ничто из этого не ускорилось. Наоборот, замедлилось: больше кода = больше работы на всех этапах.

Бутылочное горлышко сместилось

Согласно теории ограничений Голдратта, написание кода занимает 25–35% цикла разработки. Остальные 65–75% — требования, ревью, тестирование, безопасность, деплой, митинги.

ИИ ускорил первую часть. Остальное — нет. Во многих организациях эти этапы даже замедлились: больше кода = больше ревью, тестов, поддержки.

Майкл Труэлл, CEO Cursor: «Cursor значительно ускорил написание продакшен-кода. Но для большинства команд ревью выглядит так же, как три года назад».

Покупка Cursor стартапа Graphite для code review — красноречивее любых заявлений. Реальное узкое место теперь там.

Данные Faros AI: команды с высоким adoption ИИ мержили на 98% больше пул-реквестов. Время ревью выросло на 91%. Баги — на 9%. Метрики DORA снизились на 25 процентных пунктов. Не рост — падение.

Кризис в одном предложении: кода стало больше, а всё, что идёт после его написания, захлебнулось.

Кризис безопасности, которого никто не ждал

45% ИИ-кода не проходит тесты безопасности. От 40 до 62% содержат уязвимости или архитектурные дефекты. Плотность уязвимостей в ИИ-коде в 2,7 раза выше, чем в написанном людьми. Это — норма при отсутствии контроля.

Veracode проанализировал 1,6 миллиона приложений: 82% компаний имеют security debt (было 74% годом ранее). Критические уязвимости выросли с 8,3% до 11,3%. Компания называет разрыв между обнаружением и исправлением «кризисом».

Теперь 10 000+ новых security findings в месяц приходится на ИИ-код. Рост в 10 раз за год.

Атакующие это поняли быстрее. Когда ИИ генерирует код в 10 раз быстрее, а люди не успевают ревьюить, математика на стороне злоумышленников. 57% организаций признают, что ИИ-инструменты создают новые риски. 70% сообщают о подтверждённых или предполагаемых уязвимостях.

SQL injection и XSS в ИИ-коде — в 86% случаев. Log injection — в 88%. Захардкоженные учётные данные — даже в enterprise-инструментах. Архитектурные уязвимости (обход аутентификации, управление сессиями) выросли на 153%.

Ревью кода раньше было трудоёмким, но управляемым. Теперь оно требует человеческого суждения в объёме, который не масштабируется.

Почему так вышло

Кризис не был неизбежен. Он архитектурный. Организации оставили старые процессы и просто добавили в них ИИ-код. Безопасность проверяют вручную. Ревью всё ещё требует двух живых разработчиков. Скорость генерации выросла в 10 раз. А всё, что идёт после — не изменилось.

Но кризис починим. Мы не провалились с ИИ-инструментами. Мы провалились с перестройкой процессов под мир дешёвого и быстрого кода. Инструменты стали лучше. Системы вокруг них — нет.

Что реально работает

Выигрывают не те, кто генерирует больше кода. Выигрывают те, кто перестроил весь пайплайн — не только этап написания.

Безопасность встроена в процесс, а не добавлена в конце. Ревью адаптировано под объёмы. ИИ берёт на себя рутину. Люди — решения, требующие суждения.

Команды с улучшением метрик DORA признали: code review теперь на критическом пути. Они добавили ревьюеров, автоматизировали рутину, перестали считать «скомпилировалось и тесты прошли» достаточным для продакшена.

ИИ — компонент системы, а не замена процессу. ИИ пишет код. Люди решают, стоило ли его писать.

Что я вижу на практике

Я использую Claude Code каждый день. Разрыв между ощущением и реальностью очевиден. Код, на который я потратил бы час, ИИ пишет за 10 минут. Но потом трачу ещё 20 минут на проверку. ИИ может пропустить шаги из плана или написать тесты, которые не ловят реальные проблемы.

Выигрыш есть. Не 60x, как обещают маркетологи. У меня — реальные 10x. Но это на моих задачах: своя база, знакомый контекст, чёткие спецификации. METR тестировал опытных разработчиков на чужих репозиториях — цифры разные, но направление одно: выигрыш зависит от понимания контекста.

ИИ-подход — не только про эффективность программистов. Это демократизация разработки. Главное — достаточный контекст и хорошая документация.

ИИ быстрее всего, когда вы точно знаете, что хотите. Медленнее всего — когда используете код, чтобы понять, что нужно. Тогда итерации над спецификацией и реализацией множат время.

Каждый мой проект проходит полный цикл тестирования и проверки безопасности до деплоя. Не потому что ИИ пишет плохой код. Потому что он пишет правдоподобный код. А это самый опасный вид неправильного. Ревью ловит то, что ИИ пропускает. Тесты — не идеальные, но система работает стабильно.

ИИ-революция реальна. Она просто пришла быстрее, чем процессы, которые должны были удержать этот код от создания security debt и бэклога.

Команды, которые закроют этот разрыв, выпустят работающий софт в 2026. Остальные будут ревьюить код до тепловой смерти вселенной.

Хватит мерить спринт строчками кода. Мерьте, сколько функционала реально доехало до пользователей.

Многие команды сейчас экспериментируют с ИИ. Ставят ИИ-инструменты и удивляются как резво растёт кодовая база. Но счастье длится недолго. Очень быстро выясняется что количество багов растёт с той же, а порой и опережающей скоростью. А аудиты, хоть ИИ и сделал их доступнее, раздувают бэклог на недели вперёд.

Типичная история 2026 года. ИИ-революция случилась быстрее, чем мы осознали что произошло и что с этим делать. А главное, как выстраивать процессы разработки по-новому, чтобы удержать этот код от взрыва в продакшене.

Цифры которые не сходятся

93% разработчиков используют ИИ-инструменты для кода ежемесячно. JetBrains подтверждают независимо: 92.6%. Cursor, GitHub Copilot, Claude Code стали базовой инфраструктурой буквально за год.

Казалось бы, продуктивность должна взлететь. Не взлетела. Шесть независимых исследований сошлись на одной цифре: реальный прирост продуктивности в организациях примерно 10%. Не 2x. Не 50%. Десять процентов.

Дальше интереснее. Рандомизированное контролируемое исследование METR (июль 2025) показало: опытные разработчики с ИИ-инструментами тратили на задачи на 19% БОЛЬШЕ времени. При этом были уверены что стали на 20% быстрее.

Разрыв между ощущением и реальностью: 39 пунктов.

Почему? ИИ ускоряет набор кода. Это приятная часть, она создаёт ощущение скорости. А думать, ревьюить, дебажить, проектировать архитектуру? Ничего из этого не ускорилось. Скорее замедлилось. Больше кода = больше работы на всех остальных этапах.

Бутылочное горлышко сместилось

Если применить теорию ограничений Голдратта к софтверной команде, картина проясняется. Написание кода занимает 25-35% цикла разработки. Остальные 65-75%: сбор требований, ревью кода, проверка безопасности, тестирование, деплой и бесконечные митинги.

ИИ ускорил первые 25-35%. Остальное не ускорилось. В большинстве организаций замедлилось. Больше кода ревьюить. Больше тестировать. Больше поддерживать.

CEO Cursor Майкл Труэлл сказал прямо: "Cursor значительно ускорил написание продакшен-кода. Но для большинства команд ревью кода выглядит так же, как три года назад."

А потом Cursor купил Graphite. Стартап для code review. Эта покупка честнее любого маркетинга показала, где реальное ограничение.

Данные Faros AI подтверждают. Команды с высоким adoption ИИ мержили на 98% больше пулл-реквестов. Время ревью выросло на 91%. Баги выросли на 9%. Метрики DORA показали снижение по 25 процентных пунктов adoption. Не рост. Снижение.

Кризис скорости в одном предложении: кода стало больше, а всё что идёт после написания захлебнулось.

Кризис безопасности которого никто не ждал

Здесь история становится мрачной.

45% ИИ-кода не проходит тесты безопасности. От 40 до 62% содержат уязвимости или архитектурные дефекты. Плотность уязвимостей в ИИ-коде в 2.7 раза выше чем в написанном людьми. Это не крайние случаи. Это базовый результат когда ИИ пишет код без контроля.

Veracode проанализировал 1.6 миллиона приложений. 82% компаний имеют security debt (было 74% годом ранее). Критические уязвимости выросли с 8.3% до 11.3%. Veracode называет разрыв между обнаружением и исправлением "кризисом."

10 000+ новых findings в месяц теперь приходится на ИИ-код. Рост в 10 раз за год.

Атакующие поняли это быстрее защитников. Когда ИИ генерирует код в 10 раз быстрее, а люди не успевают ревьюить, математика на стороне тех кто ищет уязвимости. 57% организаций признают что ИИ-инструменты создают новые риски. 70% сообщают о подтверждённых или предполагаемых уязвимостях.

По типам уязвимостей картина конкретная. SQL injection и XSS в ИИ-коде встречаются в 86% случаев. Log injection в 88%. Захардкоженные credentials появляются в инструментах для enterprise. Самое опасное: архитектурные уязвимости (обход аутентификации, некорректное управление сессиями) выросли на 153%.

Ревью кода раньше было трудоёмкой, но управляемой задачей. Теперь оно требует человеческого суждения в объёме который не масштабируется.

Почему так вышло

Кризис не был неизбежным. Он архитектурный. Организации оставили старые процессы ревью и просто добавили в очередь ИИ-код. Команда безопасности всё ещё проверяла вручную. Ревью всё ещё зависело от двух живых людей. Скорость генерации выросла в 10 раз. Ничего после генерации не перестроили.

Поэтому кризис починим. Мы не провалились с ИИ-инструментами. Мы провалились с перестройкой процессов под мир дешёвого и быстрого кода. Инструменты стали лучше. Системы вокруг них остались прежними.

Что реально работает

Выигрывают не те команды которые пишут больше всего ИИ-кода. Выигрывают те кто перестроили весь пайплайн, а не только этап написания.

Проверка безопасности как часть процесса, а не послесловие. Ревью перестроено под объём. ИИ обрабатывает рутину. Люди принимают решения которые реально требуют суждения.

Команды с реальным улучшением метрик DORA приняли что code review теперь на критическом пути. Добавили ревьюеров. Автоматизировали что можно автоматизировать. Перестали считать "скомпилировалось и тесты прошли" достаточным для продакшена.

ИИ это компонент в системе. Не замена процессу. ИИ пишет код. Люди убеждаются что этот код стоило писать.

Что я вижу на практике

Я использую Claude Code каждый день. Разрыв между ощущением и реальностью виден невооружённым глазом. Код который я писал бы час, ИИ пишет за десять минут. Потом я трачу ещё минут двадцать на перепроверки. Бывает что ИИ забывает сделать несколько шагов из плана. Или тесты написаны криво и не ловят реальную проблему.

Но реальный выигрыш есть. Не 60x как обещают маркетологи. У меня получается честных 10x. Правда, это на моих задачах: своя кодовая база, знакомый контекст, чёткие спецификации. METR мерил другое: опытные девы на незнакомом репозитории. Так что цифры разные, но направление у всех одно. Выигрыш масштабируется с тем, насколько вы понимаете что делаете.

Если смотреть шире, ИИ-подход это не только про то как сделать программистов эффективнее. Он про то как открыть двери в разработку для всех кто раньше хотел, но не мог разобраться с кодом. ИИ это демократизация разработки. Главное чтобы у ИИ было достаточно контекста и документация была в порядке.

ИИ быстрее всего когда вы точно знаете что хотите и можете описать конкретно. ИИ медленнее всего когда вы ещё не знаете что хотите и используете код чтобы это выяснить. Тогда вы итерируете одновременно над спецификацией и реализацией, и это множит время.

Каждый мой проект получает полный набор тестов и проверку безопасности до деплоя. Не потому что ИИ пишет плохой код. А потому что ИИ пишет правдоподобный код. А правдоподобный это самый опасный вид неправильного. Ревью ловит то что ИИ пропускает. Тесты не блестящие. Зато система работает стабильно.

ИИ-революция в разработке реальна. Она просто приехала быстрее чем процессы которые должны были удержать этот код от создания security debt и бэклога ревью.

Команды которые закроют этот разрыв, выпустят работающий софт в 2026. Остальные будут ревьюить код до тепловой смерти вселенной.

Хватит мерить спринт строчками кода. Мерьте сколько функционала реально доехало до пользователей.