Сейчас происходит самый масштабный сдвиг в программировании за последние десятилетия. Искусственный интеллект проникает туда, где раньше работали только разработчики. Сотрудники без технического бэкграунда используют ИИ, чтобы автоматизировать задачи, которые раньше требовали участия IT-команды. Это меняет структуру бизнеса и модель рисков.

ИИ-инструменты невозможно остановить — компании, которые откажутся от них, быстро проиграют конкурентам. Но игнорировать риски нельзя. Уже сегодня бизнес теряет миллионы из-за неправильного использования вайб-кодинга, уязвимых расширений и отсутствия контроля. Рассказываем, как это происходит — и как защититься.

Охота за данными пользователей

Кража паролей и цифровой личности

Раньше хакеры крали пароли и логины. Защита была понятной: двухфакторная аутентификация, сложные пароли, регулярная смена. Сегодня угроза стала глубже — можно украсть не просто пароль, а всю цифровую личность.

Пользователи устанавливают ИИ-агентов, дают им доступ к почте, календарю, CRM, мессенджерам. Агенты обучаются на поведении сотрудника: стиле общения, решениях, контексте переписки. Эти данные сохраняются в локальных файлах.

Пример — OpenClaw, открытый ИИ-агент с 200 000 звёзд на GitHub. 13 февраля 2026 года инфостилер Vidar начал целенаправленно собирать профили, созданные этим агентом. Если такие данные попадают в руки злоумышленников, те могут вести переписку от имени сотрудника, точно имитируя его стиль.

Почему это страшно для бизнеса

Представьте: у топ-менеджера украли цифровой профиль. Злоумышленник видит, что завтра должна пройти оплата поставщику, анализирует историю переговоров и пишет бухгалтеру:

«Срочно. По договору №482. Поставщик сменил расчетный счет. Реквизиты в приложении. Подтверди оплату до 14:00».

Письмо идеально вписывается в стиль руководителя. Подозрений нет. Это не фишинг — это социальная инженерия нового уровня.

Пароль можно сменить за минуту. А стиль общения, поведенческий профиль, историю решений — нет. Они формируются годами. Главный вопрос для бизнеса: «Чьи “цифровые личности” сейчас хранятся на компьютерах сотрудников — и кто к ним имеет доступ?»

220 000 открытых дверей

Как ИИ-агенты становятся точками входа

Представьте, что у компании 220 000 офисов. В каждом — сейф с деньгами, договорами, персональными данными. И дверь в каждый офис открыта. Так выглядит ситуация с неправильно настроенными ИИ-агентами.

Агент можно настроить так, чтобы он принимал запросы только с локального адреса (127.0.0.1). Но если указать 0.0.0.0 — он станет доступен из любой сети, включая интернет. При наличии публичного IP злоумышленник может подключиться напрямую.

Пользователи делают это ради удобства: чтобы управлять агентом с телефона или планшета. Но при этом часто отключают авторизацию. В результате любой, кто найдёт открытый порт, получает доступ к CRM, почте, календарю и другим системам.

В феврале 2026 года специалисты обнаружили 40 000 открытых инстансов ИИ-агентов. Через неделю — 135 000. Ещё через неделю — 220 000. И число растёт.

Это лишь те, что видны извне. Сколько их внутри корпоративных сетей — неизвестно. Подключиться к такому агенту можно за секунды, без взлома паролей и обхода двухфакторки. Достаточно просканировать интернет.

Если агент подключён к внутренним системам, злоумышленник получает доступ ко всей бизнес-информации и может действовать от имени сотрудника. Установка агента без настройки безопасности — это не локальная угроза, а открытие всей инфраструктуры миру.

ИИ-разработчик, который ошибся на $1,78 млн

ИИ не понимает, что делает

Даже если систему никто не взломал, ИИ может нанести ущерб сам. Он не понимает бизнес-логику, деньги, риски. Он просто предсказывает следующий токен.

История Moonwell

15 февраля 2026 года разработчики криптоплатформы Moonwell обновляли смарт-контракт. Нужно было добавить сервис, который возвращает цену токена в долларах. Логика: умножить курс токена к ETH на цену ETH в USD.

Разработчик попросил ИИ сгенерировать код. Агент забыл операцию умножения. Вместо $2200 токен стал стоить $1,12.

Арбитражные боты заметили аномалию за миллисекунды. За 4 минуты было выкуплено 1096 токенов на 1,78 миллиона долларов. Остановить процесс быстро не получилось — в системе требовалось голосование.

Платформа потеряла деньги и репутацию. Пользователи не разбираются, кто виноват — человек или ИИ. Для них виновата компания. Основная причина — человеческая безответственность. ИИ стал соавтором убытков, но не первопричиной.

Последствия для бизнеса

Более половины разработчиков в мире используют ИИ. Это экономит время, но ИИ галлюцинирует, не чувствует абсурда. Человек, пишущий код вручную, может заметить подозрительную формулу. ИИ — нет.

Одна пропущенная операция умножения стоила почти два миллиона. Сколько таких ошибок могут пропустить ваши разработчики? Без проверки цена ошибки может быть катастрофической.

Бухгалтер, который стал программистом

Риски автоматизации без контроля

Сегодня бухгалтер может за выходные написать скрипт для отчётов, юрист — проверить договоры, маркетолог — интегрировать CRM. Это удобно, но несёт риски.

Пример 1: утечка через промпты

Бухгалтер Елена просит ИИ написать скрипт: «Забирай выписку из банка, сверь с CRM, отправляй отчёт в Telegram». Программа экономит 2–3 дня в месяц.

Но Елена не знает, что вставлять реальные данные в промпты — опасно. Фрагменты кода и конфигурации могут уйти на серверы нейросети. Даже если программа работает локально, данные уже могли выйти за периметр компании.

Если Елена уволится, останется непроверенный, неподдерживаемый код. Если в нём есть уязвимость или бэкдор — бизнес узнает об этом только после взлома.

Пример 2: утечка через GitHub

Бухгалтер Дмитрий выкладывает свой код в публичный репозиторий. По ошибке туда попадают токены доступа к CRM и настройки. Даже если он удалит файл через 5 минут, ключи останутся в истории коммитов.

Боты-сканеры находят такие репозитории за секунды. У любого в мире появляется доступ к CRM. Можно украсть клиентов, изменить договоры, удалить данные. Это прямой путь к уголовной ответственности за разглашение коммерческой тайны или нарушение GDPR/ФЗ-152.

Новая версия Shadow IT

Раньше Shadow IT — это запрещённое ПО. Теперь сотрудники сами создают ПО через ИИ. Они подключают его к CRM, базам, почте. Но никто не знает, как он работает, какие библиотеки использует, какие уязвимости имеет.

Это не просто левая программа — это полноценная интеграция в инфраструктуру без контроля.

Последствия: хаос вместо автоматизации

Утрата цифрового суверенитета. Самовольные интеграции превращают ИТ-инфраструктуру в серую зону. Доступ к данным утекает мимо контролируемых шлюзов.

Технологический долг и скрытые угрозы. Код без технического опыта — кот в мешке. Любая ошибка может стать дырой для атаки.

Коллективная безответственность. Один сотрудник создаёт уязвимость — страдает вся компания. Но виновного найти сложно.

Расширение для VS Code

Помощники с безграничной властью

VS Code — популярная среда разработки. У неё тысячи расширений, которые имеют почти полный доступ к системе: читают файлы, запускают код, отправляют данные в интернет.

Это необходимо для работы. Но если в расширении есть уязвимость — последствия могут быть катастрофическими.

Четыре уязвимых расширения на 128 млн загрузок

Live Server (CVSS 9.1, 72 млн установок). Позволяет злоумышленнику получить любой файл с компьютера разработчика, если тот перейдёт по вредоносной ссылке.

Code Runner (CVSS 7.8, 37 млн). Может позволить выполнить произвольный код. Риск установки трояна, майнера, удаления файлов.

Markdown Preview (CVSS 8.8, 8,5 млн). Позволяет выполнять JavaScript, сканировать порты, красть данные.

Microsoft Live Preview (11 млн). Уязвимость была оперативно закрыта — но это исключение, потому что Microsoft.

Всего — более 128 миллионов установок. Это 128 миллионов потенциальных точек входа.

Многие уязвимости известны с 2025 года, но не устранены. Производители расширений часто ставят удобство выше безопасности.

Последствия для бизнеса

Разработчик — точка входа. На его машине могут лежать SSH-ключи, токены, пароли. Доступ к ней — это доступ к продакшену, базам, корпоративной сети.

Одно уязвимое расширение и один клик по ссылке могут поставить под удар всю компанию. Сотрудники не виноваты — они ставят расширения, чтобы работать быстрее. Но последствия ложатся на бизнес.

Что делать — практические рекомендации

Шаг 1. Создать песочницу

Для экспериментов с ИИ нужна изолированная среда без доступа к интернету и рабочим данным — виртуальная машина, отдельный сервер, изолированное облако.

В песочнице можно свободно тестировать. За её пределами — только по регламенту. Если скрипт работает, его проверяют специалисты и только потом запускают в продакшен. Это снимает половину рисков.

Шаг 2. Минимальные права

Новым инструментам давайте только тот доступ, который нужен. Если скрипт выгружает счета — не разрешайте менять реквизиты. Если агент читает календарь — не разрешайте удалять встречи.

Простой вопрос руководителя: «Зачем программе этот доступ?» Если ответ: «Ну, вдруг пригодится» — доступ не даём.

Шаг 3. Аудит инструментов

Нельзя защититься от того, о чём не знаешь. Регулярно проверяйте:

• Какие расширения стоят у разработчиков.
• Какие ИИ-агенты используют сотрудники.
• Есть ли самодельные скрипты.

Проверяйте расширения по базе CVE, репозитории — на утечки секретов. Это базовая инвентаризация, без которой любая безопасность — гадание.

Шаг 4. Обучить сотрудников

Большинство проблем — из-за незнания. Бухгалтер не знает, что нельзя хранить ключи в коде. Юрист — что агент может быть открыт в интернете. Разработчик — что расширение уязвимо.

Проведите вебинар: расскажите про риски, как не хранить токены, куда сообщать о проблемах. Не запрещайте — объясняйте. Цель: сделать сотрудников союзниками, а не источниками угроз.

Шаг 5. Заложить бюджет на безопасность разработки

Вручную контролировать вайб-кодинг невозможно — ИИ генерирует слишком много кода. Нужны инструменты:

• Статический анализ кода.
• Динамический анализ.
• Проверка зависимостей.
• Поиск токенов и ключей.
• Пентест — по возможности.

Это не бесплатно. Но это страховка от убытков. История Moonwell показала: одна строка кода может стоить миллионы. Полная автоматизация не решит всё, но без неё — хаос.

Заключение: Quo vadis?

Мы вступили в эпоху, где каждый сотрудник — потенциальный разработчик.

Запретить ИИ нельзя — это проигрыш конкурентам. Пустить на самотёк — проигрыш хакерам.

Решение — в осознанном управлении рисками. Не нужно паниковать и вводить запреты. Достаточно установить понятные правила игры.

Будущее наступило: ИИ ускоряет бизнес. Вопрос не в том, использовать ли его. Вопрос — как сделать это безопасно.

Привет! Меня зовут Роман Стрельников, я руководитель направления информационной безопасности в «1С-Битрикс». В этой статье расскажу про опасности ИИ-программирования для бизнеса и как их минимизировать.

Сейчас происходит самый большой сдвиг в программировании за последние десятилетия. Искусственный интеллект зашел туда, где до этого работали только программисты. Раньше код писали разработчики, инфраструктуру настраивали администраторы, а остальные работники организаций выполняли свои задачи, не связанные с IT. Зоны ответственности были чётко распределены.

Сегодня сотрудник может использовать ИИ и сам решить проблемы, для которых раньше нужно было подключать кого-то из IT-команды. Это меняет и конфигурацию бизнеса, и модель рисков. Изменения не остановить: без ИИ бизнес быстро проиграет конкурентам. Но нужно разумно подойти к управлению нейросетями и доверию продуктам, которые получаются благодаря искусственному интеллекту.

Уже есть вайб-кодинг, AI-агенты, автоматические проверки безопасности. Все понимают, что появляются новые риски. Крупные компании начали прописывать регламенты для работы с ИИ-инструментами.

Сегодня рассказываю с примерами, как ИИ-программирование может навредить бизнесу, если его не контролировать. В конце разберем, что делать и как сократить опасности, на которых компании уже начинают терять миллионы.

Что будет в статье:

• Охота за данными пользователей
• 220 000 открытых дверей
• ИИ-разработчик, который ошибся на 1.78 миллиона долларов
• Бухгалтер, который стал разработчиком
• «Расширение для VS Code»
• Что делать — практические рекомендации для бизнеса
• Заключение: Quo Vadis?

Охота за данными пользователей

Кража паролей и кража цифровой личности

Раньше хакеры воровали пароли, логины и другие чувствительные данные, которые могли использовать в своих целях. Как безопасники, мы боролись с этим простыми понятными способами: ставили 2-факторку, просили усложнять пароли и менять их почаще. Бизнес тоже понимал: пароль — это ключ. Потерял пароль — получил риск убытков.

Можно поменять пароль и заблокировать доступ. Это как потерять карточку от банка и перекрыть доступ к своим счетам. С запуском AI-агентов этот этап закончился, потому что теперь могут украсть не просто пароль, а личность целиком.

Как это работает: пользователь устанавливает на локальную машину или в облако ИИ-агента и даёт доступ к почте, календарю, мессенджерам, CRM, заметкам. Самый популярный пример такого сервиса на сегодня — OpenClaw, агент с открытым исходным кодом, который набрал уже 200 000 звезд на GitHub. Результат поисковой выдачи от 4-го марта 2026:

Теперь пользователь говорит агенту: «Забронируй встречу. Ответь клиенту в чате. Согласуй договор».

ИИ постепенно берёт на себя всю повседневную работу, но чтобы работать эффективно, он должен понимать, кто вы есть. Для этого в рабочих JSON-файлах или базах данных внутри папок приложения сохраняются данные пользователя. В них фиксируется история решений, манера общения и краткое содержание диалогов.

Первые инциденты

13 февраля 2026 года инфостилер Vidar начал целенаправленно охотиться за профилями, которые сохраняет OpenClaw. И если находит локальные папки ИИ-агентов, они утекают злоумышленникам.

Базы данных ИИ-ассистентов, которые крадёт Vidar, позволяют злоумышленникам не просто подключиться к агенту, но и вести переписку в мессенджерах и почте от имени пользователя, точно имитируя его стиль общения для проведения атак.

Почему бизнесу должно быть страшно

Представьте, что у топ-менеджера украли цифровой профиль.

Злоумышленник видит, что завтра назначена оплата поставщику. Анализирует месяц переговоров, понимает нюансы сделки, и пишет письмо бухгалтеру:

«Срочно. По договору №482. Поставщик сменил расчетный счет. Реквизиты в приложении. Подтверди оплату до 14:00».

Идеальный стиль, точный контекст, правильный шаблон документов. Подозрений — ноль. Это не фишинг в классическом смысле, а глубоко персонализированная атака на основе социальной инженерии через ИИ.

Что получается: пароль можно сменить за минуту. Стиль общения — нет. Поведенческий профиль — нет. Историю отношений — тоже нет. Это формируется годами.

Опасности для бизнеса в целом остались теми же, как при краже других данных: риск финансовых и репутационных потерь, подделки решений руководства, мошенничества в переговорах. Но теперь от них не защититься так просто, если инфостилер украдет личность сотрудника.

Главный вопрос, который должны задавать себе сегодня компании: «Чьи “цифровые личности” прямо сейчас лежат на компьютерах сотрудников? И кто имеет к ним доступ?»

220 000 открытых дверей

Что за двери

Попробуйте представить, что у бизнеса есть 220 000 офисов по всему миру. В каждом стоят сейф с деньгами, договорами, персональными данными клиентов и сотрудников.И в каждом офисе дверь к этим данным открыта для всех. Именно так сегодня выглядит ситуация с тысячами установок AI-агентов.

Как установка агента может открыть дверь ко всей компании

Агент можно настроить так, чтобы доступ к нему был только с локального компьютера — для этого сервис должен принимать запросы только с адреса 127.0.0.1. Если вместо это поставить порт 0.0.0.0, то агент будет принимать запросы со всех доступных сетевых интерфейсов: локальной сети, Wi-Fi, Ethernet, публичного IP-адреса. Если у машины есть публичный IP — агент будет доступен через него.

В итоге, если сервер имеет публичный IP или находится в небезопасной локальной сети, порт 0.0.0.0 делает агента доступным для внешнего мира, так как он больше не ограничен «внутренним» адресом 127.0.0.1.

По умолчанию в настройках доступ снаружи закрыт. Но чтобы было удобнее работать с OpenClaw и другими инструментами такого же типа, пользователь часто открывает агента для подключения снаружи. Так с ним можно работать с планшета, подключаться с телефона, синхронизировать данные и отправлять команды.

Для возможности внешнего постороннего доступа должны совпадать и некоторые другие условия, но при вайб-кодинге пользователь может случайно снять некоторые барьеры, которые обычно должен пройти внешний запрос. Например, созданная программа может не требовать авторизации. В итоге появится реальная опасность того, что к вашему агенту может подключиться любой. А если программа запущена на сервере компании, она может дать доступ к внутренней системе.

Это не просто теория. В феврале специалисты по безопасности решили проверить, сколько открытых инстансов AI-агентов доступно в интернете. На момент первой проверки их было 40 000. Через неделю — 135 000. Еще через неделю — 220 000, и это число всё ещё растёт:

Это только те инстансы, которые видны из внешнего интернета. Неизвестно, сколько ещё открыто внутри корпоративных сетей. Для подключения к такому открытому порту нужно всего несколько секунд. Не нужно даже подбирать пароль и обходить 2-факторную защиту. Достаточно просто просканировать интернет и найти открытую дверь.

Если агент подключен к CRM, мессенджерам, почте, календарю — то злоумышленник получает доступ к лидам, сделкам, контрактам, истории общения и всей остальной внутренней бизнес-информации. А главное, он может действовать от имени агента, который, в свою очередь, действует от имени сотрудника.

Если раньше пользователи иногда ставили зловредное ПО, которое могло навредить только локально, то установка агента без настроек безопасности открывает инфраструктуру компании всему миру. Теперь вопрос не в том, есть ли у вас такая проблема, а в том, когда вы о ней узнаете.  Пока бизнес обсуждает продуктивность и возможности вайб-кодинга, хакеры уже сканируют открытые двери.

ИИ-разработчик, который ошибся на $1,78 млн

Деталь, о которой все забывают: ИИ нельзя доверять полностью

Даже если систему никто не взломает, проблемы могут прийти с другой стороны.

Использовать AI-агентов удобно и быстро. Поэтому, несмотря на опасности, его используют и руководители, и сотрудники. Но есть очевидная деталь, о которой легко забыть: ИИ не понимает, что он пишет. Он просто предсказывает следующее слово-токен на основе изученных огромных массивов данных.

Агенты не понимают бизнес-логику и что такое деньги и клиенты. Поэтому использовать их в критически важных сценариях без проверки нельзя.

История Moonwell

15 февраля 2026 года разработчики криптоплатформы Moonwell обновляли смарт-контракты. Обычная процедура — подключили новый ценовой сервис, который передаёт актуальную стоимость валюты. Логика простая: программа умножает курс токена к ETH на цену ETH в долларах и получает цену токена в долларах.

Разработчик попросил AI сгенерировать нужный фрагмент. Агент сделал всё красиво, но забыл умножение. Сервис начал возвращать цену токена к ETH как итоговую долларовую цену без пересчёта. В итоге вместо $2200 токен стал стоить $1,12.

Что дальше: разница в цене была замечена в миллисекунды. Началась автоматическая перекупка. Через 4 минуты аномалию обнаружили, но за эти 4 минуты уже было выкуплено 1096 токенов на 1.78 миллионов долларов.

Сложность еще в том, что во многих системах нет кнопки «вырубить немедленно». Требуется голосование, и процедура может занимать дни.

В итоге платформа потеряла деньги и репутацию. Пользователи не будут разбираться, кто ошибся — человек или алгоритм. Для них ошиблась компания. И это правда, потому что основная причина в человеческой безответственности. AI стал соавтором убытков, но не первопричиной.

Последствия для бизнеса

Сегодня больше половины разработчиков в мире регулярно используют нейросети для написания кода. Это огромная экономия времени. При этом ошибки AI неочевидны, он может галлюцинировать и не чувствовать абсурда. Человек, пишущий код вручную, скорее заметит, что формула выглядит подозрительно короткой. ИИ просто выполнит задание, а ответственность понесет компания.

Теперь бизнесу нужно бояться не только хакеров, но собственных инструментов. Одна пропущенная операция умножения уже унесла почти два миллиона, не считая последствий для репутации. Задайте себе вопрос, сколько таких умножений могут пропустить ваши разработчики, доверившись AI? Без проверки цена ошибки может быть катастрофической.

Бухгалтер, который стал программистом

Что автоматизируют сотрудники и какие риски это несет

Сегодня благодаря вайб-кодингу бухгалтер может за выходные написать программу составления отчетов, юрист — автоматизировать проверку договоров, а маркетолог — собрать интеграцию с CRM.

Вот два примера. Они не реальные, но могут такими быть.

Пример №1. Риск утечки из-за незнания технических деталей

Бухгалтер Елена читает статью про вайб-кодинг, ставит ИИ и просит написать программу: «Напиши скрипт, который будет забирать выписку из банка, сверять с CRM и отправлять отчет в Telegram». На создание программы уходит 3 часа, а бухгалтер будет экономить 2-3 дня каждый месяц.

Елена не знает, что такое GitHub и где хранятся код, токены и ключи доступа. Она не программист и думает, что если программа крутится на её локальном компьютере за корпоративным файерволом, то всё безопасно.

В чём риск: Елена думает, что файервол — это бетонная стена. Но ИИ-инструменты, которыми она писала код, всё равно могли отправить фрагменты данных или конфигурации на серверы разработчиков нейросети. Если она вставляла в промпты реальные данные компании, они уже вышли за периметр инфраструктуры бизнеса.

Это не всё: если Елена уйдет, компания останется с кодом, который никто не проверял на уязвимости и который невозможно поддерживать. Если в программе есть критическая ошибка или скрытая backdoor-дыра, через которую можно выкачать данные, бизнес узнает об этом только после взлома.

Пример №2. Риск утечки из-за случайного открытия публичных данных

Бухгалтер Дмитрий тоже автоматизировал рутину и проверяет договоры созданным через вайб-кодинг приложением. Он знает, что такое GitHub, гордится своим решением и выкладывает код в публичный репозиторий. Дмитрий аккуратно оформил проект, написал инструкцию и поделился с коллегами. Но по ошибке в репозиторий попали ключи доступа к CRM, токены идентификации и настройки конфигурации.

В чём риск: как только ключи и токены попадают в публичный репозиторий GitHub, боты-сканеры скачают их за секунды. Даже если Дмитрий удалит файл через 5 минут, в истории коммитов всё останется.

Теперь у любого человека в мире есть ключи от CRM компании. Можно украсть базу клиентов, изменить суммы в договорах или просто всё удалить. Это не просто риск, это прямой путь к уголовному делу о разглашении коммерческой тайны или нарушении закона о персональных данных (GDPR/ФЗ-152).

Новая версия Shadow IT

Раньше Shadow IT называли установку запрещенного или несогласованного IT-отделом ПО внутри компании. Теперь все стало серьезнее, потому что сотрудники сами создают это ПО.

Человек пишет код через AI-агента, подключает к CRM, базе, почте и запускает в рабочее использование. Но никто не знает, как устроен этот код, какие библиотеки использует, какие уязвимости имеет и другие важные детали. Это уже не просто левая программа, которую установили без спроса, а полноценная интеграция в инфраструктуру.

Последствия для бизнеса: хаос вместо автоматизации

Вот риски, которые несёт компания, если не контролирует вайб-кодинг работников.

Утрата цифрового суверенитета.Самовольные интеграции превращают корпоративную ИТ-инфраструктуру в серую зону. Доступ к чувствительным данным утекает через самодельные инструменты, минуя контролируемые шлюзы и регламенты безопасности.

Технологический долг и скрытые угрозы.Код, написанный сотрудниками без технического опыта, — это кот в мешке. Без профессионального аудита и проверки логики система уязвима: любая ошибка в реализации может стать открытой дверью для атаки или привести к критическому сбою.

Коллективная безответственность.Когда вайб-кодинг становится массовым, персональная ответственность за инциденты исчезает. Локальная ошибка одного сотрудника в уязвимом приложении может парализовать работу всей компании, но расплачиваться за это будет весь бизнес.

Как выглядит ситуация сейчас и что с этим делать

Сотрудники не хотят навредить, они хотят упростить работу. Но в результате создают сотни самодельных интеграций. А эти интеграции могут создать серьезную опасность для бизнеса. В лучшем случае — просто перестать работать в любой момент. В худшем — содержать уязвимости или хранить ключи доступа в открытом виде.

Запрещать использование AI бессмысленно, потому что прогресс не остановить. Но не создать безопасные условия для вайб-кодинга будет еще опаснее. Потому что иначе руководитель узнает о проблеме из новости об утечке.

Расширение для VS Code

До этого мы говорили про опасности, которые создают сотрудники. В этом разделе рассказываю про проблемы самих инструментов.

Есть среда разработки VS Code, созданная командой Microsoft. Это лёгкий и быстрый редактор кода, для которого существуют тысячи расширений, некоторые из которых очень популярны. VS Code — один из стандартов индустрии, который используют уже 50 миллионов человек:

Помощники с безграничной властью

Расширения добавляют новые возможности и упрощают разработку: красиво подсвечивают код, запускают сервер, показывают документацию. А ещё они имеют почти неограниченный доступ к системе: могут читать файлы, запускать программы, выполнять код и отправлять данные в интернет. Это нужно для работы, но если в расширении есть уязвимость, последствия могут быть катастрофическими, особенно внутри компании.

Четыре уязвимых расширения на 128 миллионов загрузок

Чтобы понять, насколько уязвимость опасна, используется система CVSS (Common Vulnerability Scoring System). Оценка уязвимости по ней выставляется от 0 до 10.

За 2025–2026 годы было найдено много критических уязвимостей в популярных расширениях VS Code. Вот 4 примера.

Live Server.Рейтинг CVSS равен 9.1. 72 миллиона установок.

Позволяет через специально подготовленную ссылку заставить расширение отдать любой файл с компьютера разработчика. Достаточно, чтобы разработчик перешел по вредоносной ссылке.

Чаще всего это расширение нужно, чтобы быстро посмотреть, как выглядит сайт при сборке фронтенда. Разработчик запускает локальный сервер, открывает страницу в браузере и смотрит на результат работы.

Уязвимость в расширении позволяет злоумышленнику заставить страницу браузера выполнить хакерский скрипт, который зависит от запущенного расширения. Если разработчик переходит на такую страницу, а в это время у него запущен LiveServer, вредоносный скрипт страницы может заставить расширение вернуть любой файл из локальной системы.

Code Runner. Рейтинг CVSS равен 7.8. 37 миллионов установок.

Разработчик запускает код прямо в редакторе. Уязвимость может позволить злоумышленнику выполнить произвольный код на машине разработчика. Можно установить троян, запустить майнер, удалить файлы.

Markdown Preview.Рейтинг CVSS равен 8.8. 8,5 миллионов установок.

Позволяет выполнять JavaScript, сканировать порты, красть данные.

Microsoft Live Preview.11 миллионов установок. Здесь уязвимость оперативно закрыли.Но это скорее исключение, потому что Microsoft.

Всего на эти расширения приходится более 128 миллионов установок. Это 128 миллионов потенциальных точек входа.

Для использования этих уязвимостей не нужны взломы и подбор паролей. Нужно только, чтобы разработчик установил их — а еще, чтобы совпали определенные условия.

Многие из этих уязвимостей появились еще в 2025 году и до сих пор не закрыты. Возможно, это потому, что производители расширений не всегда считают безопасность приоритетом. Если расширение удобно, его используют. А что внутри, часто не проверяют.

Последствия для бизнеса

Каждый разработчик — это точка входа. На машинах программистов могут лежать ключи доступа к серверам, SSH-ключи, токены и пароли. Если хакер получает доступ к машине разработчика, он забирает ключи, идет в продакшен, базу и корпоративную сеть. Это классическая атака с закреплением и дальнейшим распространением по инфраструктуре.

Одно уязвимое расширение и один клик по ссылке ставят под удар всю компанию. В каждой компании, где используется VS Code, существует такой риск. При этом сотрудники не виноваты в последствиях. Они ставят расширения, чтобы ускорить работу. А проблемы, которые вызовут эти программы, в итоге лягут на бизнес.

Что делать — практические рекомендации для бизнеса

Есть простые шаги для повышения безопасности. Это не сложные технические дебри и не миллионы инвестиций. Разбираем по порядку.

Шаг 1. Создать песочницу

Для экспериментов нужна изолированная среда, которая не имеет доступа к интернету. Это отдельный тестовый контур: виртуальная машина, отдельный сервер, изолированное облако. Главное, чтобы не было никакого доступа к реальным рабочим данным.

В песочнице разрешается экспериментировать свободно, а за её пределами — только по регламенту. Сотрудники будут использовать AI, но можно сделать так, чтобы эксперименты не проводились на продакшене.

Логика простая. Если люди хотят что-то автоматизировать — сначала они должны протестировать это в песочнице. Если всё работает, технические специалисты проверят безопасность нового инструмента. После проверки программу можно переносить в боевую среду. Это сразу снимает половину рисков.

Шаг 2. Минимальные права

Любому новому инструменту для начала можно выдавать только минимальный доступ. Ровно столько, сколько нужно для работы. Например, если скрипт выгружает счета, то нельзя разрешать ему менять реквизиты. Если агент читает календарь, он не должен удалять встречи. С минимальными правами, даже если инструмент будет взломан,ущерб будет ограничен.

Простой вопрос от руководителя к сотруднику, который навайбкодил новый инструмент: «Зачем программе этот доступ?» Если ответ: «Ну, вдруг пригодится» — доступ не даем.

Шаг 3. Аудит инструментов

Нельзя защититься от того, о существовании чего не знаешь. Поэтому периодически необходимо проводить ревизию: какие расширения стоят у разработчиков, какие AI-агенты используют сотрудники, есть ли самодельные скрипты. Проверяйте установленные расширения по CVE, а репозитории — на утечки секретов.

Это базовая инвентаризация, без которой любые меры будут гаданием.

Шаг 4. Обучить сотрудников

Большинство проблем появляются из-за незнания. Бухгалтер не знает, что нельзя хранить ключи в коде, а юрист не знает, что агент может быть открыт в интернете. Разработчик может не знать, что расширение уязвимо.

Можно провести вебинар и рассказать про риски, как не хранить ключи в открытых источниках, как проверять настройки и куда сообщать о проблемах. Важно не запрещать, а объяснять: мы не против AI, но за безопасное использование. Так сотрудники становятся союзниками, а не источником угроз.

Шаг 5. Заложить бюджет на безопасность разработки

Контролировать вручную вайб-разработку невозможно, потому что AI генерирует слишком много кода. Поэтому нужны инструменты:

• Статический анализ кода.
• Динамический анализ
• Проверка зависимостей.
• Поиск токенов и ключей.
• Пентест — по возможности, потому что дорого.

На самом деле все инструменты стоят денег. Но это страховка от больших убытков. История Moonwell показала, что одна строка кода может унести миллионы. К сожалению, даже полная автоматизация не решит все на 100%, но без неё наверняка будет хаос.

Заключение: Quo vadis?

Мы вступили в эпоху, где каждый сотрудник — потенциальный разработчик.

Запретить AI нельзя, потому что это автоматически означает проиграть конкурентам. А если пустить использование вайб-кодинга на самотёк, можно проиграть хакерам.

Решение лежит в осознанном управлении рисками. Не нужно паниковать и вводить полный запрет на искусственный интеллект, достаточно установить понятные правила игры.

Будущее наступило: AI ускоряет бизнес, и это хорошо. Вопрос не в том, использовать ли его или нет. Вопрос — как сделать так, чтобы это будущее было безопасным.