Depositphotos
Вайб-кодинг набирає популярності та звільняє програмістів, але може принести й додаткові витрати. Також він приховує потенційні небезпеки, і це не тільки “діри” у самому ПЗ.
Іноді якість коду є настільки поганою, що не зменшує, а збільшує час роботи та витрати зусиль. Стаття TechCrunch про це розпочинається досить емоційно: “Одного разу Карла Ровер проплакала 30 хвилин після того, як їй довелося перезапустити проєкт, котрий вона писала за допомогою вайб-коду”. Йдеться про сумний досвід веброзробниці з 15-річним стажем. Вона створює моделі машинного навчання для ритейлу.
Початково Карла “називала вайб-кодування прекрасною, нескінченною коктейльною серветкою, на якій можна постійно писати ідеї”. Але досвід виявився “гіршим за роботу няньки”, через помилки та непередбачуваність ШІ.
“Оскільки мені потрібно бути швидкою та дивовижною, я обрала скорочений шлях і не переглядала ці файли після автоматичної перевірки. Коли я робила це вручну, я виявляла багато помилок. Коли я використовувала сторонній інструмент, я виявляла ще більше. […] Я уявляла, ніби ШІ-помічник був співробітником. Це не так”.
Звіт компанії Fastly показав: щонайменше 95% з майже 800 опитаних розробників заявили, що витрачають додатковий час на виправлення коду, згенерованого штучним інтелектом, причому навантаження такої перевірки найбільше лягає на плечі старших розробників. Чисельні проблеми з кодом, згенерованим ШІ, лежать в діапазоні від помилок через “галюцинації” до ризиків безпеки та видалення важливих даних.
Карла Ровер порівнює роботу за допомогою ШІ з поведінкою маленької дитини:
“Це як дати кавник розумній шестирічній дитині та сказати: “Будь ласка, віднеси це в їдальню та налий кави для родини”.
Програміст з 20-річним стажем Ферідун Малекзаде порівнює з іншою віковою категорією. Він витрачає близько 50% свого часу на написання вимог, від 10% до 20% власне на вайб-кодинг та від 30% до 40% на виправлення.
“Як найняти впертого, зухвалого підлітка, щоб він допоміг вам щось зробити. Вам доводиться 15 разів просити його щось зробити. Зрештою, він робить дещо з того, про що просили, дещо, про що не просили, та на шляху до цього ламає купу речей”.
Дехто з опитаних TechCrunch кодерів налаштований оптимістично. Молодий розробник Елвіс Кімара розмірковує про майбутнє та “нову норму” для програмістів:
“Ми не просто писатимемо код. Ми керуватимемо системами штучного інтелекту, братимемо на себе відповідальність за збої та діятимемо більше як консультанти для машин”.
Робота з кодом, згенерованим штучним інтелектом, стала настільки проблемною, що з’явилася ціла нова галузь, з фахівцями з виправлення помилок вайб-кодингу, резюме котрих можна знайти в LinkedIn. Як повідомляє 404 Media, фрілансери та цілі компанії роблять бізнес на виправленні неякісного ПЗ.
“Я пропоную послуги з виправлення вайб-коду вже близько двох років, починаючи з кінця 2023 року. Наразі я регулярно працюю приблизно з 15-20 клієнтами, а також над додатковими разовими проєктами протягом року», — розповів програміст Хамід Сіддікі.
Фахівець каже, що до нього часто звертаються команди, котрі використовують ШІ для написання коду, але відчувають потребу у “поліруванні”. Йдеться не тільки про помилки, але й про відповідність результату баченню розробників. Серед поширених проблем — непослідовний дизайн фронтенду, невідповідність брендингу, погано оптимізована продуктивність та функції, які працюють, але здаються незграбними або незрозумілими користувачеві. Часто доводиться вдосконалювати колірні схеми, анімацію та макети для кращої відповідності.
Компанія Ulam Labs має слоган: “Ми прибираємо за вайб-кодом. Буквально”. Розробники описують свою діяльність як доведення “до розуму” нашвидкуруч створених проєктів, щоб зробити їх надійнішими. “Це схоже на знешкодження бомби”.
Сайт VibeCodeFixers.com створений для вайб-кодерів, котрим необхідний досвідчений розробник, щоб виправити або завершити проєкти. Майже 300 фахівців опублікували свої профілі на сайті. Молодий сервіс наразі опікується лише 30-40 проєктами та активно залучає нових учасників.
“Більшість цих вайб-кодерів — це або менеджери продуктів, або продавці, або власники малого бізнесу, і вони думають, що можуть щось створити. Тож для них це більше стосується прототипування. Vibe-кодування зараз перебуває на початковій стадії. Дуже зручно передати бажання щодо прототипу, але я не думаю, що вони насправді мають на меті зробити його схожим на застосунок промислового рівня”, — розповів 404 Media Сватантра Сохні, засновник платформи.
Великою проблемою, яку визначає Сохні, є перевитрати на останніх 10-20% створення проєкту. Теоретично, на цьому етапі іноді дешевше та ефективніше починати все спочатку після вайб-кодингу, але на практиці люди прив’язуються до початкової розробки та прагнуть саме виправлень. За його словами, такі розробники спочатку радіють результату, але потім раптово щось ламається, і вони “втрачають авторитет”.
Раніше ITC.ua писав про суттєвий рівень вразливості продуктів вайб-кодингу, відзначений у дослідженні Veracode. Згідно з ним 45% результатів містили суттєві “діри” та потенційно небезпечні несправності, як помилки авторизації та валідації. Також ми писали про шкідливі команди для ШІ, котрі зловмисники можуть вбудовувати узовнішні джерела, як невидимий текст на сайті тощо. Помічник ШІ сканує вебресурси, сприймає цей текст як підказки користувача та виконує шкідливі дії
Видання Cybernews звертає увагу на щось більш зловісне — вбудоване зловмисне ПЗ, про яке не знають навіть автори проєктів. Дослідники з Unit 42, підрозділу безпеки Palo Alto Networks, попереджають, що ШІ-асистенти кодування можуть підключатися до інтегрованих середовищ розробки та залучати до проєкту небезпечні елементи.
Непряме впровадження запитів є однією з найочевидніших вразливостей. Зловмисники так само можуть вбудувати шкідливі запити в тисячі онлайн-джерел, включаючи вебсайти, репозиторії, документи або API, до яких помічники штучного інтелекту можуть отримати доступ та обробляти їх.
Це відкриває другий вектор атаки — контекстні вкладення також можуть бути використані для зловживання. Самі користувачі можуть ненавмисно вказувати джерела, забруднені хакерами. Зловмисники іноді захоплюють навіть ресурси на деяких з найпопулярніших репозиторіїв. У результаті шкідливий елемент потрапляє в проєкт.
Протидією, як і у випадку з просто неякісним кодом, є ретельна перевірка, особисто або сторонніми автоматичними засобами. Дослідники побоюються, що можуть виникнути нові форми атак, оскільки системи ШІ стають більш автономними та інтегрованими.
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.