В последнее время в интернете набирают популярность заявления о том, что AI-агенты убили SDLC. Инфлюенсеры утверждают: скрам, тестирование, DevOps — всё это больше не нужно. В эпоху ИИ классический жизненный цикл разработки программного обеспечения (SDLC) якобы устарел.

Несмотря на хайп, очевидно: индустрия действительно переживает фундаментальный сдвиг. Мы прошли путь от Waterfall к гибким методологиям (Scrum, Kanban, Lean). Теперь, с приходом AI-агентов, SDLC в очередной раз подвергается пересмотру.

Разберёмся:

• как ИИ меняет разработку в Greenfield-, Brownfield- и регулируемых проектах, и на какие метрики стоит обращать внимание;
• как меняется взаимодействие в командах и какие этапы теряют актуальность.

Важно: это не утверждение, а призыв к дискуссии.

Как AI влияет на SDLC

Стоимость изменений кода падает

Раньше мы старались согласовать архитектуру заранее — переписывать было дорого. Даже в Agile мы избегали радикальных изменений из-за высокой цены. С появлением ИИ вносить правки стало заметно быстрее и дешевле:

• Переписать модуль — за день;
• Сгенерировать и сравнить три архитектурных решения — за пару-тройку дней;
• Проверить гипотезу через прототип — быстрее, чем обсуждать её в документах.

Правда, написать код — не значит, что он заработает. Нужны качественные спецификации, настроенные окружения, тесты и валидация результата.

Это меняет подход к планированию:

• Меньше детальных спецификаций по реализации — переписать проще;
• Больше чётких ограничений: безопасность, масштабируемость, разрешённые библиотеки, критерии приёмки;
• Гипотезы проверяются прототипами, созданными агентами, а не документами или ручным кодом.

Взаимодействие изменяется

AI меняет динамику командной работы:

• Переделка дешевле → цена ошибки ниже → можно меньше согласовывать и просто пробовать;
• Один человек с ИИ может сделать то, что раньше требовало команды: написать код, покрыть тестами, проверить уязвимости (с оговорками: контекст, доменная экспертиза, технические нюансы).

Это снижает два типа потерь из Lean:

• Ожидание в очереди. Раньше задача ждала архитектора или специалиста по безопасности. Теперь часть работы делает ИИ.
• Зависимость от ключевого специалиста (bus factor). Единственный, кто знает модуль, ушёл в отпуск? ИИ помогает передать контекст. Но это двусторонний меч: команды могут уменьшаться, и при уходе одного человека bus factor снова растёт.

Раньше контекст делили между собой. Теперь один человек + ИИ реализует фичу целиком — и ему нужен полный e2e-контекст. Когнитивная нагрузка растёт.

Большую часть задач может выполнять один человек-оркестратор. Однако ценность парного программирования и моббинга остаётся: важно распределять знания и совместно проверять решения.

Теперь взаимодействие в команде сместилось к совместной валидации результата, проектированию ограничений для агента и формированию качественного контекста.

Декомпозиция становится критичной

AI-агенты лучше всего работают с маленькими, чётко сформулированными задачами — как если бы вы объясняли задание джуниору:

• Конкретная цель с ясными границами;
• Один проверяемый результат;
• Контекст умещается в голове (или в контекстное окно агента). Даже с миллионом токенов — чем больше контекст, тем слабее его вес.

Если раньше senior сам декомпозировал размытую задачу, то теперь подготовка для агента требует атомарной декомпозиции. Умение формулировать задачи «как для джуна» — ключ к эффективности с ИИ.

Чем крупнее задача — тем выше риск, что агент «галлюцинирует» или теряет фокус. Атомарность важна.

Ловушка: соблазн воспроизвести Waterfall — «сначала всё распланируй, напиши спеки, потом отдай агенту». Это не работает. Работа с ИИ — это те же итерации и мелкие батчи, только быстрее. Агент — партнёр для коротких циклов, а не исполнитель большого ТЗ. Декомпозиция должна идти от ценности, а не по компонентам.

Code Review становится узким местом

Код генерируется быстрее, чем люди успевают его проверять. По данным CodeRabbit, PR от AI-ассистентов получают в среднем 10,8 замечаний против 6,4 у человеческого кода — ревью занимает больше времени.

Три сценария: как SDLC сворачивается по-разному

Нет единого «нового SDLC». Будет спектр сценариев — каждый со своими изменениями и метриками успеха.

Сценарий 1: Greenfield / MVP / Internal Tools

Контекст: Новый проект, нет пользователей, низкая цена ошибки, критична скорость. Это ближе всего к видению «SDLC умер» и концепции agentic-engineering.

Что меняется:

• Code Review по тирам: security-critical код (например, авторизация) — 100% ручной ревью; остальное — автоматизированные и выборочные проверки;
• Основной контур защиты — Observability (канареечные релизы, автоматические откаты). Но он требует фундамента: многоуровневое тестирование, низкая связность, чистый дизайн, типизация;
• Итерации с результатами — за кратно меньшее время.

Важно: даже в greenfield AI-код содержит на 1,7 раза больше проблем, чем человеческий (CodeRabbit, 2025). Полностью отказываться от ревью рискованно.

Метрики успеха:

• Lead Time ≤ 1 день;
• Deployment Frequency > 1 раз в день;
• Change Failure Rate не превышает порог «Good» по DORA (0–15%), отслеживается через Observability.

Сценарий 2: Brownfield / Существующий продукт

Контекст: Есть пользователи, репутация, технический долг. Ошибка стоит денег.

Что меняется:

Нужен tiered-подход к ревью по уровню риска:

• Security, критичный код: 100% ревью senior-специалистами (авторизация, платежи, персональные данные, криптография);
• Бизнес-логика: 30–40% peer review (фичи, API, потоки данных);
• Утилиты и инструменты: агентное/автоматизированное ревью + выборочные проверки (тесты, документация, конфиги).

По данным LinearB (2026), AI-PR мержатся в 32,7% случаев против 84,5% у человеческого кода — большинство требуют доработки.

• Человек отвечает за валидацию, особенно для кода с высоким радиусом поражения;
• Даже при умеренной цене ошибки — валидация остаётся критичной;
• Обязательна поэтапная выкатка через QA и stage-среды + надёжная observability-обвязка с авто-роллбеком.

Метрики успеха:

• Code Review Time не растёт (несмотря на рост числа PR);
• Defect Rate стабилен или снижается;
• SLA/SLO не падают;
• Developer Satisfaction не снижается — важно, чтобы инструменты на ИИ были удобны в использовании.

Сценарий 3: Регулируемая индустрия (финтех, медтех, страхование)

Контекст: То же, что Brownfield, но с толстым compliance-слоем. Есть требования к аудиту и человеческой ответственности.

Регуляторы в США (2025) установили правила:

«AI-системы должны быть развернуты так, чтобы действия агентов были залогированы и замониторены, а человек оставался ответственным за них» — PCI Security Standards Council, ноябрь 2025.

• 100% audit trail для всего AI-кода: кто запросил, что сгенерировано, кто утвердил;
• AI ускоряет этапы, но решения принимает человек — требование FDA, PCI-DSS, HIPAA;
• Этапы могут объединяться, но не исчезают — их артефакты нужны для аудита.

Что меняется:

• AI сокращает waste, ускоряя отдельные этапы, но решения остаются за человеком;
• Этапы объединяются (например, Compliance + Requirements), но не упраздняются;
• Обязательно ведение audit trail: кто сгенерировал, кто утвердил, что изменилось.

Метрики успеха:

• Change Failure Rate не растёт;
• Постепенно сокращается время на проверку соответствия регуляторным требованиям;
• Скорость разработки растёт, и при этом продукты остаются compliant.

Парадокс продуктивности

По данным DORA (2025), 80% разработчиков считают, что ИИ повысил их продуктивность. При этом стабильность доставки продолжает падать.

Исследование METR (июль 2025) на опытных open-source разработчиках показало: они думали, что стали на 20% быстрее. Объективно — замедлились на 19%.

Почему? ИИ ускоряет набор кода (на 30–50% в контролируемых условиях), но создаёт узкие места:

• Code Review — больше PR, а команда та же;
• Качество — больше уязвимостей, баги сложнее заметить;
• Дебаг — AI-баги часто неочевидные;
• Сбор контекста — кажется, что с ИИ можно взять большую задачу, но на её описание уходит больше времени, чем ожидалось.

Время перетекает из написания кода в его подготовку и валидацию.

Вывода нет, есть вектор движения

SDLC скукоживается — но по-разному в разных контекстах.

Для Greenfield: этапы сжимаются в «Идея → Агент → Проверка результата → Следующая итерация». Минимум контроля человеком, но критична Observability для быстрого отката.

Для Brownfield: ИИ генерирует код в рамках чёткой идеи, человек валидирует. Контроль строже — по внутренним стандартам продукта.

Для regulated: ИИ ускоряет разработку, но вся ответственность остаётся на людях — ради аудита и compliance.

В последнее время в интернете начали появляться посты про то, чтоAI-агенты убили SDLC. AI-инфлюенсеры утверждают, что больше не нужно знать никаких событий из скрама, быть тестировщиками или девопсами, весь наш классический SDLC никому в эпоху AI не нужен.

Несмотря на весь хайп вокруг ИИ понятно: индустрия переживает фундаментальный сдвиг в парадигме жизненного цикла разработки. Сначала мы создавали решения по Waterfall -> потом начали внедрять гибкие и бережливые подходы (scrum, kanban, lean) -> сприходом агентов SDLC должен быть(в очередной раз)пересмотрен.

Попробуем разобрать,

• как AI меняет цикл разработки в Greenfield, Brownfield и highly regulated проектах - и на какие метрики обращать внимание;
• в чем теперь фокус взаимодействия между членами команды, какие этапы становятся неактуальными.

Внимание: пост - скорее призыв к дискуссии, нежели утверждение.

Как AI влияет на SDLC

Стоимость изменений кода падает

Раньше мы инвестировали в согласование дизайна насколько возможно заранее, потому что переписывать дорого. Даже в Agile мы старались не фиксировать архитекуру, но всё равно опирались на то, насколько дорого будет вносить радикальные изменения. С AI изменения становятся ощутимо быстрее и дешевле*:

• Переписать модуль часто можно в рамках одного дня,
• Сгенерировать три варианта архитектуры и сравнить — пара-тройка дней,
• Проработать гипотезу через прототип вместо документа — ощутимо быстрее, чем обсуждать

*написать код теперь быстро, но чтобы он нормально работал надо еще вложиться в спецификации, корректно настроить окружения, убедиться что вы продумали работу с тестами и валидацию результата

Это означает что нам нужен другой тип планирования:

• Еще меньше детальных спецификаций по реализации заранее (потому что проще переписать)
• Больше четких constraints (ограничений): масштабируемость, безопасность, разрешённые библиотеки, критерии приемки
• Гипотезы проверяются прототипами, собранными с помощью агентов. Не документами (как раньше) или не написанным человеком кодом

Взаимодействие изменяется

С AI некоторые аспекты коллаборации меняются:

• Переделка дешевле → цена ошибки ниже → можно меньше согласовывать наперёд и просто пробовать реализовать (в том числе и в одиночку)
• Один человек с AI может потенциально сделать то, что раньше требовало команды — написать код, покрыть тестами, проверить на типовые уязвимости (конечно, со всеми ограничениями - контекст, специфика технической реализации, знание доменной области и другое)

Это снижает два типа потерь, которые Lean называет waste:

• Ожидание в очереди.Раньше задача простаивала, пока какой-нибудь архитектор баз данных или инженер-безопасник освободится. С AIчастьэтой работы делается сразу.
• Зависимость от ключевого специалиста (bus factor).Единственный, кто знает модуль — в отпуске? AI даёт контекст любому члену команды, чтобы продолжить работу (опять же при условии что он сам имеет изначальный контекст). Это спорный аргумент и палка о двух концах: команды становятся меньше -> один-два человека делают всё -> кто-то из них уходит и bus-factor опять растет

Раньше контекст задачи делился между участниками команды — каждому свой кусочек, а дальше на синках выравнивались. Теперь один человек + AI делает фичу целиком, и ему нужен полный e2e контекст.Когнитивная нагрузка на одного человека растёт.

Большую часть работы с ИИ-агентом теперь может выполнять один человек-оркестратор. При этом ценность парного программирования и моббинга не исчезает: команде по-прежнему важно распределять знания (снижая bus factor) и совместно проверять качество решений.

Поэтому взаимодействие в команде смещается к совместной валидации результата, проектированию ограничений для агента и формированию качественного контекста

Декомпозиция становится критичной

AI-агенты работают лучше всего с маленькими, чётко сформулированными задачами — как если бы мы объясняли задачу джуниору:

• Конкретная цель с ясными границами
• Один проверяемый результат
• Контекст умещается в голове (или в контекстное окно агента). Не нужно смотреть что у нас окно в миллион токенов, ведь чем больше токенов - тем меньше их вес.

На практике это означает: если раньше senior мог взять размытую задачу и сам её декомпозировать, то теперь декомпозиция до атомарного уровня — это часть подготовки работы для агента. Тот, кто умеет хорошо формулировать задачи "как для джуна", получает лучшие результаты от AI.

Чем крупнее задача → тем больше агент "галлюцинирует" или теряет фокус. Важна атомарность задачи для агента.

Ловушка:соблазн воспроизвести waterfall — “сначала всё распланируй, напиши спеки,потом отдай агенту”. Это не работает. Работа с AI — это те же итерации и мелкие батчи,просто быстрее. Агент — парный партнёр для коротких циклов, а не исполнитель большого ТЗ (что бы вам не говорили про оркестраторов). Поэтому и декомпозиция должна быть от ценности, а не разделенная по компонентам.

Code Review становится узким местом

Код генерируется быстрее, чем люди успевают его проверять. По даннымCodeRabbit, PR от AI-ассистентов получают в среднем 10.8 замечаний против 6.4 у человеческого кода — review занимает больше времени.

Три сценария: как SDLC сворачивается по-разному

Нет универсального “нового SDLC”. Мне кажется, в реальности будет спектр сценариев. В каждом из этих сценариев есть то, что меняется. А также метрики, на которые, как я считаю, нужно обращать внимание чтобы следить за “успехом”

Сценарий 1: Greenfield / MVP / Internal Tools

Контекст:Новый проект, нет пользователей, цена ошибки низкая, скорость критична. Это, кажется, самый близкий вариант к полному agentic-engineering (в терминах товарища Карпатый) и видению встатье SDLC is dead.

Что меняется:

• Code Review в зависимости от тирности: security-critical код (e.g. авторизация) — 100% человеческое code review; остальное — автоматизированные и выборочные проверки
• Основным контуром защиты прода выступает Observability (канареечные релизы и автоматические откаты). Но этот механизм должен опираться на фундаментальные инженерные практики: многоуровневое тестирование, грамотную архитектуру с низкой связностью модулей, чистый дизайн и разработку на основе типов.
• Итерации с результатами теперь за кратно меньшее количество времени

Важно: даже в greenfield AI-код содержит1.7x больше issuesчем человеческий (CodeRabbit, 2025). Полностью отказываться от review рискованно.

Метрики успеха:

• Время от принятия обязательств до поставки: Lead Time <= 1 день
• Deployment Frequency > 1/день и чаще
• Change Failure Rate отслеживается через хорошо настроенный observability и не превышает порог “Good” по DORA (0-15%)

Сценарий 2: Brownfield / Существующий продукт

Контекст:У нас уже есть пользователи, есть какая-то репутация, мы накопили некий технический долг. Цена ошибки для нас выражается в реальных деньгах.

Что меняется:

По код-ривью нужен tiered подход по риску:

Human Review

Security, Критичный код

100% review senior-специалистами

Auth, payment gateways, персональная информация, крипта

Бизнес-логика

30-40% peer review

Фичи, API, потоки данных

Утилиты и прикладные инструменты

Agentic/Automated code reivew + выборочные проверки

Тесты, доки, конфиги

По даннымLinearB 2026 Benchmarks, AI PR мержатся в 32.7% случаев против 84.5% у человеческого кода — большая часть требует доработки.

• Короче говоря: человек ответственен за валидацию, особенно для кода с высоким радиусом поражения
• Человек ответственен за валидацию, хоть цена ошибки не очень высока, в сравнении с индустриями с высокими compliance-требованиями
• Обязательная поэтапная выкатка через qa>stage средами + надежная observability-обвязка, которая проактивно следит за метриками и делает авто-роллбек в случае чего

Метрики успеха:

• Code Review Time не растёт (несмотря на больше PR)
• Defect Rate стабилен или падает
• SLA/SLO не снижаются
• Developer Satisfaction не падает (потому что нам важно чтобы AI-инструменты удовлетворяли стандартам разработчиков и им не было больно этим пользоваться)

Сценарий 3: Регулируемая индустрия (финтех, медтех, страхование)

• Это по сути тот же Brownfield + толстый Compliance-слой сверху.
• FYI: Brownfield уже подразумевает что есть легаси.

Контекст:Compliance требует человеческой ответственности. Audit trail (залоггированная последовательность действий с ответственным лицом) обязателен.

Регуляторы в США (в 2025) выпустили требования к стандартам применения ИИ в регулируемых индустриях:

"AI-системы должны быть развернуты так, чтобы выполненные агентами действия были заллоггированы и замониторены, а человек должен быть ответственным за эти действия"—PCI Security Standards Council, Ноябрь 2025

• 100% audit trailдля всего AI-сгенерированного кода: кто запросил, что сгенерировано, кто заапрувил
• AI ускоряет этапы, норешения принимаются человеком— это требование регуляторов (FDA, PCI-DSS, HIPAA)
• Этапы могут объединяться, но не исчезают — их артефакты нужны для аудита

Что меняется:

• AI ускоряет отдельные этапы или связку этапов - это частично сокращает waste (простои/потери), но решения так же принимаютсячеловеком
• Этапы могут объединяться (например, Compliance + Requirements, Security + Audit), но мы не можем их выбросить/сократить потому что должны следовать стандартам
• Audit trail: обязательно трекать кто сгенерировал, кто заапрувил, что изменилось

Метрики успеха:

• Change Failure Rate не растет
• Постепенно сокращается время на проверку соответствия решения регуляторке (на соответствующих этапах)
• Скорость разработки растёт, при этом продукты и сервисы продолжают соответствовать регуляторке

Большой дисклеймер:мы много спорили с коллегами не похож ли флоу в компаниях с кучей регуляторки больше на Brownfield-пример. Ревью требований по комплаенсу выглядит как работа для ИИ - потому что сопоставить соответствие неумолимой букве закона - хорошая задачка для ИИ-шки. С точки зрения безопасности - сейчас есть энтерпрайз и не только модели, которые хорошо сканируют системы на предмет уязвимостей.Напишите в комментах, как с вашей точки зрения: история с регулируемыми индустриями больше похожа на Brownfield из предыдущего примера, на текущий пример, или на что-то совсем другое!

Парадокс продуктивности

По даннымDORA 2025, 80% разработчиков считают, что AI повысил их продуктивность. При этом стабильность доставки продолжает падать.

Исследование METR(июль 2025) на опытных open-source (да, я понимаю что это не enterprise-сотрудники) разработчиках показало: они верили, что стали на 20% быстрее. Объективные измерения — замедление на 19%.

Почему?AI ускоряетнабор кода(30-50% в контролируемых условиях). Но создаёт bottleneck на:

• Code Review — больше PR, а команда та же
• Качестве — больше уязвимостей, сложнее заметить баги
• Дебаге — AI-баги часто неочевидные
• Context gathering — кажется, что с AI можно взять задачу побольше, но на сбор и описание контекста уходит больше времени, чем ожидалось

Затрачиваемое время перетекает из написания кода в подготовку и валидацию.

Вывода нет, есть вектор движения

SDLCскукоживается— но по-разному в разных контекстах.

Для greenfield:этапы сжимаются в “Идея → Агент → Проверка результата → след. итерация”. Минимум контроля человеком, но важно выстроить процесс Observability, чтобы сразу отлавливать ошибки и иметь возможность быстрого роллбека.

Для brownfield:AI генерирует результат в рамках достаточно сформулированной идеи в уже существующем продукте, а человек валидирует. Валидация строже, в соответствии с внутренними стандартами существующего продукта или сервиса.

Для regulated:AI ускоряет разработку, вся ответственность полностью остается на людях (так как это важно для аудита и соответствию регуляторке).

Больше подобной аналитики, обзоров и кейсов AI в менеджменте можно увидеть вмоем канале.