Чи безпечно кодування Vibe? Нарешті з'явилося дослідження, яке глибоко розглядає це питання. Ось що показало дослідження: Агенти програмування ШІ можуть писати функціональний код. Але функціональність не означає безпечність. Зростання популярності «віб-кодування», коли розробники передають завдання агентам ШІ з мінімальним контролем, прискорюється. Більше автономії, більше швидкості, більше продуктивності. Припущення: якщо це працює, то достатньо добре. Але робочий код і безпечний код — це не одне й те саме. Це нове дослідження представляє SUSVIBES — бенчмарк із 200 реальних запитів на функції з відкритих проєктів, зокрема завдань, які раніше призводили до вразливих реалізацій при призначенні людським програмістам. Результати вражають! Коли SWE-агент із Claude Sonnet 4 бере на себе ці завдання, 61% рішень є функціонально правильними. Лише 10,5% захищені. Це величезна різниця. Шість із десяти агентських рішень працюють. Приблизно один із десяти безпечний для виробництва. Дослідники протестували кілька агентів фронтиру і виявили послідовну закономірність: усі агенти погано працюють у сфері безпеки програмного забезпечення. Це не питання конкретної моделі. Це системно. Ще більш тривожно: додавання підказок про вразливості до запитів на функції, попередження агентів про потенційні проблеми з безпекою не може їх вирішити. Контрзаходи, які здаються очевидними, не працюють для цих агентних систем. Оскільки розробники чи організації змагаються з впровадженням AI-кодувальних агентів для швидкості та ефективності, вони можуть обміняти безпеку на швидкість. 🔖 (зберіть у закладки) Папір: