Вайб-кодинг набирает популярность и увольняет программистов, но может принести и дополнительные расходы. Также он скрывает потенциальные опасности, и это не только «дыры» в самом ПО.
Няня маленького ребенка и увеличение времени разработки
Иногда качество кода настолько плохое, что не уменьшает, а увеличивает время работы и затраты усилий. Статья TechCrunch об этом начинается довольно эмоционально: «Однажды Карла Ровер проплакала 30 минут после того, как ей пришлось перезапустить проект, который она писала с помощью вайб-кода». Речь идет о печальном опыте веб-разработчицы с 15-летним стажем. Она создает модели машинного обучения для ритейла.
Изначально Карла «называла вайб-кодирование прекрасной, бесконечной коктейльной салфеткой, на которой можно постоянно писать идеи». Но опыт оказался «хуже работы няни», из-за ошибок и непредсказуемости ИИ.
«Поскольку мне нужно быть быстрой и удивительной, я выбрала сокращенный путь и не просматривала эти файлы после автоматической проверки. Когда я делала это вручную, я обнаружила много ошибок. Когда я использовала сторонний инструмент, я обнаружила еще больше. […] Я представляла, будто ИИ-помощник был сотрудником. Это не так».
Отчет компании Fastly показал: по меньшей мере 95% из почти 800 опрошенных разработчиков заявили, что тратят дополнительное время на исправление кода, сгенерированного искусственным интеллектом, причем нагрузка такой проверки больше всего ложится на плечи старших разработчиков. Численные проблемы с кодом, сгенерированным ИИ, лежат в диапазоне от ошибок из-за «галлюцинаций» к рискам безопасности и удалению важных данных.
Карла Ровер сравнивает работу ИИ с поведением маленького ребенка:
«Это как дать кофейник умному шестилетнему ребенку и сказать: «Пожалуйста, отнеси это в столовую и налей кофе для семьи».
Программист с 20-летним стажем Феридун Малекзаде сравнивает с другой возрастной категорией. Он тратит около 50% своего времени на написание требований, от 10% до 20% собственно на вайб-кодинг и от 30% до 40% на исправления.
«Как нанять упрямого, дерзкого подростка, чтобы он помог вам что-то сделать. Вам приходится 15 раз просить его что-то сделать. В конце концов, он делает кое-что из того, о чем просили, кое-что, о чем не просили, и на пути к этому ломает кучу вещей».
Некоторые из опрошенных TechCrunch кодеров настроены оптимистично. Молодой разработчик Элвис Кимара размышляет о будущем и «новой норме» для программистов:
«Мы не просто будем писать код. Мы будем управлять системами искусственного интеллекта, брать на себя ответственность за сбои и действовать больше как консультанты для машин».
Экономия на кодинге — дополнительные расходы на исправления
Работа с кодом, сгенерированным искусственным интеллектом, стала настолько проблемной, что появилась целая новая отрасль, со специалистами по исправлению ошибок вайб-кодинга, резюме которых можно найти в LinkedIn. Как сообщает 404 Media, фрилансеры и целые компании делают бизнес на исправлении некачественного ПО.
«Я предлагаю услуги по исправлению вайб-кода уже около двух лет, начиная с конца 2023 года. Сейчас я регулярно работаю примерно с 15-20 клиентами, а также над дополнительными разовыми проектами в течение года», — рассказал программист Хамид Сиддики.
Специалист говорит, что к нему часто обращаются команды, которые используют ИИ для написания кода, но испытывают потребность в «полировке». Речь идет не только об ошибках, но и о соответствии результата видению разработчиков. Среди распространенных проблем — непоследовательный дизайн фронтенда, несоответствие брендингу, плохо оптимизированная производительность и функции, которые работают, но кажутся неуклюжими или непонятными пользователю. Часто приходится совершенствовать цветовые схемы, анимацию и макеты для лучшего соответствия.
У компании Ulam Labs есть слоган: «Мы убираем за вайб-кодом. Буквально». Разработчики описывают свою деятельность как доведение «до ума» наспех созданных проектов, чтобы сделать их более надежными. «Это похоже на обезвреживание бомбы».
Сайт VibeCodeFixers.com создан для вайб-кодеров, которым необходим опытный разработчик, чтобы исправить или завершить проекты. Почти 300 специалистов опубликовали свои профили на сайте. Молодой сервис пока занимается только 30-40 проектами и активно привлекает новых участников.
«Большинство таких вайб-кодеров — либо менеджеры по продуктам, либо продавцы, либо владельцы малого бизнеса, и они думают, что могут что-то создать. Поэтому для них это больше относится к прототипированию. Vibe-кодирование сейчас находится на начальной стадии. Очень удобно передать пожелание относительно прототипа, но я не думаю, что они на самом деле имеют целью сделать его похожим на приложение промышленного уровня», — рассказал 404 Media Сватантра Сохни, основатель платформы.
Большой проблемой, которую определяет Сохни, являются перерасходы на последних 10-20% создания проекта. Теоретически, на этом этапе иногда дешевле и эффективнее начинать все сначала после вайб-кодинга, но на практике люди привязываются к начальной разработке и стремятся именно к исправлениям. По его словам, такие разработчики сначала радуются результату, но потом внезапно что-то ломается, и они «теряют авторитет».
Злонамеренное ПО невольно
Ранее ITC.ua писал о существенном уровне уязвимости продуктов вайб-кодинга, отмеченном в исследовании Veracode. Согласно ему, 45% результатов содержали существенные «дыры» и потенциально опасные неисправности, как ошибки авторизации и валидации. Также мы писали о вредоноснх команды для ИИ, которые злоумышленники могут встраивать во внешние источники, как невидимый текст на сайте и тому подобное. Помощник ИИ сканирует веб-ресурсы, воспринимает этот текст как подсказки пользователя и выполняет вредоносные действия
Издание Cybernews обращает внимание на нечто более зловещее — встроенное вредоносное ПО, о котором не знают даже авторы проектов. Исследователи из Unit 42, подразделения безопасности Palo Alto Networks, предупреждают, что ИИ-ассистенты кодирования могут подключаться к интегрированным средам разработки и привлекать в проект опасные элементы.
Косвенное внедрение запросов является одной из самых очевидных уязвимостей. Злоумышленники также могут встроить вредоносные запросы в тысячи онлайн-источников, включая веб-сайты, репозитории, документы или API, к которым помощники искусственного интеллекта могут получить доступ и обрабатывать их.
Это открывает второй вектор атаки — контекстные вложения также могут быть использованы для злоупотребления. Сами пользователи могут непреднамеренно указывать источники, загрязненные хакерами. Злоумышленники иногда захватывают даже ресурсы на некоторых из самых популярных репозиториев. В результате вредоносный элемент попадает в проект.
Противодействием, как и в случае с просто некачественным кодом, является тщательная проверка, лично или сторонними автоматическими средствами. Исследователи опасаются, что могут возникнуть новые формы атак, поскольку системы ИИ становятся более автономными и интегрированными.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: