Как вайб-кодинг и расширения для VS Code могут навредить вашему бизнесу — и как этого избежать

Привет! Меня зовут Роман Стрельников, я руководитель направления информационной безопасности в «1С-Битрикс». В этой статье расскажу про опасности ИИ-программирования для бизнеса и как их минимизировать.

Сейчас происходит самый большой сдвиг в программировании за последние десятилетия. Искусственный интеллект ^[1] зашел туда, где до этого работали только программисты. Раньше код писали разработчики, инфраструктуру настраивали администраторы, а остальные работники организаций выполняли свои задачи, не связанные с IT. Зоны ответственности были чётко распределены. 

Сегодня сотрудник может использовать ИИ и сам решить проблемы, для которых раньше нужно было подключать кого-то из IT-команды. Это меняет и конфигурацию бизнеса, и модель рисков. Изменения не остановить: без ИИ бизнес быстро проиграет конкурентам. Но нужно разумно подойти к управлению нейросетями и доверию продуктам, которые получаются благодаря искусственному интеллекту.

Уже есть вайб-кодинг, AI-агенты, автоматические проверки безопасности. Все понимают, что появляются новые риски. Крупные компании начали прописывать регламенты для работы с ИИ-инструментами. 

Сегодня рассказываю с примерами, как ИИ-программирование может навредить бизнесу, если его не контролировать. В конце разберем, что делать и как сократить опасности, на которых компании уже начинают терять миллионы.

Что будет в статье:

• Охота за данными пользователей ^[2]

• 220 000 открытых дверей ^[3]

• ИИ-разработчик, который ошибся на 1.78 миллиона долларов ^[4]

• Бухгалтер, который стал разработчиком ^[5]

• «Расширение для VS Code» ^[6]

• Что делать — практические рекомендации для бизнеса ^[7]

• Заключение: Quo Vadis? ^[8]

Охота за данными пользователей

Кража паролей и кража цифровой личности

Раньше хакеры воровали пароли, логины и другие чувствительные данные, которые могли использовать в своих целях. Как безопасники, мы боролись с этим простыми понятными способами: ставили 2-факторку, просили усложнять пароли и менять их почаще. Бизнес тоже понимал: пароль — это ключ. Потерял пароль — получил риск убытков.

Можно поменять пароль и заблокировать доступ. Это как потерять карточку от банка и перекрыть доступ к своим счетам. С запуском AI-агентов этот этап закончился, потому что теперь могут украсть не просто пароль, а личность целиком.

Как это работает: пользователь устанавливает на локальную машину или в облако ИИ-агента и даёт доступ к почте, календарю, мессенджерам, CRM, заметкам. Самый популярный пример такого сервиса на сегодня — OpenClaw, агент с открытым исходным кодом, который набрал уже 200 000 звезд на GitHub. Результат поисковой выдачи от 4-го марта 2026:

Теперь пользователь говорит агенту: «Забронируй встречу. Ответь клиенту в чате. Согласуй договор». 

ИИ постепенно берёт на себя всю повседневную работу, но чтобы работать эффективно, он должен понимать, кто вы есть. Для этого в рабочих JSON-файлах или базах данных внутри папок приложения сохраняются данные пользователя. В них фиксируется история решений, манера общения и краткое содержание диалогов. 

Первые инциденты

13 февраля 2026 года инфостилер Vidar начал целенаправленно охотиться за профилями, которые сохраняет OpenClaw. И если находит локальные папки ИИ-агентов, они утекают злоумышленникам.

Базы данных ИИ-ассистентов, которые крадёт Vidar, позволяют злоумышленникам не просто подключиться к агенту, но и вести переписку в мессенджерах и почте от имени пользователя, точно имитируя его стиль общения для проведения атак.

Почему бизнесу должно быть страшно

Представьте, что у топ-менеджера украли цифровой профиль.

Злоумышленник видит, что завтра назначена оплата поставщику. Анализирует месяц переговоров, понимает нюансы сделки, и пишет письмо бухгалтеру:

«Срочно. По договору №482. Поставщик сменил расчетный счет. Реквизиты в приложении. Подтверди оплату до 14:00».

Идеальный стиль, точный контекст, правильный шаблон документов. Подозрений — ноль. Это не фишинг в классическом смысле, а глубоко персонализированная атака на основе социальной инженерии через ИИ. 

Что получается: пароль можно сменить за минуту. Стиль общения — нет. Поведенческий профиль — нет. Историю отношений — тоже нет. Это формируется годами. 

Опасности для бизнеса в целом остались теми же, как при краже других данных: риск финансовых и репутационных потерь, подделки решений руководства, мошенничества в переговорах. Но теперь от них не защититься так просто, если инфостилер украдет личность сотрудника.

Главный вопрос, который должны задавать себе сегодня компании: «Чьи “цифровые личности” прямо сейчас лежат на компьютерах сотрудников? И кто имеет к ним доступ?»

220 000 открытых дверей

Что за двери

Попробуйте представить, что у бизнеса есть 220 000 офисов по всему миру. В каждом стоят сейф с деньгами, договорами, персональными данными клиентов и сотрудников.
И в каждом офисе дверь к этим данным открыта для всех. Именно так сегодня выглядит ситуация с тысячами установок AI-агентов.

Как установка агента может открыть дверь ко всей компании

Агент можно настроить так, чтобы доступ к нему был только с локального компьютера — для этого сервис должен принимать запросы только с адреса 127.0.0.1. Если вместо это поставить порт 0.0.0.0, то агент будет принимать запросы со всех доступных сетевых интерфейсов: локальной сети, Wi-Fi, Ethernet, публичного IP-адреса. Если у машины есть публичный IP — агент будет доступен через него.

В итоге, если сервер имеет публичный IP или находится в небезопасной локальной сети, порт 0.0.0.0 делает агента доступным для внешнего мира, так как он больше не ограничен «внутренним» адресом 127.0.0.1.

По умолчанию в настройках доступ снаружи закрыт. Но чтобы было удобнее работать с OpenClaw и другими инструментами такого же типа, пользователь часто открывает агента для подключения снаружи. Так с ним можно работать с планшета, подключаться с телефона, синхронизировать данные и отправлять команды.

Для возможности внешнего постороннего доступа должны совпадать и некоторые другие условия, но при вайб-кодинге пользователь может случайно снять некоторые барьеры, которые обычно должен пройти внешний запрос. Например, созданная программа может не требовать авторизации. В итоге появится реальная опасность того, что к вашему агенту может подключиться любой. А если программа запущена на сервере компании, она может дать доступ к внутренней системе.

Это не просто теория. В феврале специалисты по безопасности решили проверить, сколько открытых инстансов AI-агентов доступно в интернете. На момент первой проверки их было 40 000. Через неделю — 135 000. Еще через неделю — 220 000, и это число всё ещё растёт:

Это только те инстансы, которые видны из внешнего интернета. Неизвестно, сколько ещё открыто внутри корпоративных сетей. Для подключения к такому открытому порту нужно всего несколько секунд. Не нужно даже подбирать пароль и обходить 2-факторную защиту. Достаточно просто просканировать интернет и найти открытую дверь.

Если агент подключен к CRM, мессенджерам, почте, календарю — то злоумышленник получает доступ к лидам, сделкам, контрактам, истории общения и всей остальной внутренней бизнес-информации. А главное, он может действовать от имени агента, который, в свою очередь, действует от имени сотрудника.

Если раньше пользователи иногда ставили зловредное ПО, которое могло навредить только локально, то установка агента без настроек безопасности открывает инфраструктуру компании всему миру. Теперь вопрос не в том, есть ли у вас такая проблема, а в том, когда вы о ней узнаете.  Пока бизнес обсуждает продуктивность и возможности вайб-кодинга, хакеры уже сканируют открытые двери.

ИИ-разработчик, который ошибся на $1,78 млн

Деталь, о которой все забывают: ИИ нельзя доверять полностью

Даже если систему никто не взломает, проблемы могут прийти с другой стороны.

Использовать AI-агентов удобно и быстро. Поэтому, несмотря на опасности, его используют и руководители, и сотрудники. Но есть очевидная деталь, о которой легко забыть: ИИ не понимает, что он пишет. Он просто предсказывает следующее слово-токен на основе изученных огромных массивов данных. 

Агенты не понимают бизнес-логику и что такое деньги и клиенты. Поэтому использовать их в критически важных сценариях без проверки нельзя.

История Moonwell

15 февраля 2026 года разработчики криптоплатформы Moonwell обновляли смарт-контракты. Обычная процедура — подключили новый ценовой сервис, который передаёт актуальную стоимость валюты. Логика ^[9] простая: программа умножает курс токена к ETH на цену ETH в долларах и получает цену токена в долларах.

Разработчик попросил AI сгенерировать нужный фрагмент. Агент сделал всё красиво, но забыл умножение. Сервис начал возвращать цену токена к ETH как итоговую долларовую цену без пересчёта. В итоге вместо $2200 токен стал стоить $1,12.

Что дальше: разница в цене была замечена в миллисекунды. Началась автоматическая перекупка. Через 4 минуты аномалию обнаружили, но за эти 4 минуты уже было выкуплено 1096 токенов на 1.78 миллионов долларов.

Сложность еще в том, что во многих системах нет кнопки «вырубить немедленно». Требуется голосование, и процедура может занимать дни.

В итоге платформа потеряла деньги и репутацию. Пользователи не будут разбираться, кто ошибся — человек или алгоритм. Для них ошиблась компания. И это правда, потому что основная причина в человеческой безответственности. AI стал соавтором убытков, но не первопричиной.

Последствия для бизнеса

Сегодня больше половины разработчиков в мире регулярно используют нейросети для написания кода. Это огромная экономия времени. При этом ошибки ^[10] AI неочевидны, он может галлюцинировать и не чувствовать абсурда. Человек, пишущий код вручную, скорее заметит, что формула выглядит подозрительно короткой. ИИ просто выполнит задание, а ответственность понесет компания.

Теперь бизнесу нужно бояться не только хакеров, но собственных инструментов. Одна пропущенная операция умножения уже унесла почти два миллиона, не считая последствий для репутации. Задайте себе вопрос, сколько таких умножений могут пропустить ваши разработчики, доверившись AI? Без проверки цена ошибки может быть катастрофической.

Бухгалтер, который стал программистом

Что автоматизируют сотрудники и какие риски это несет

Сегодня благодаря вайб-кодингу бухгалтер может за выходные написать программу составления отчетов, юрист — автоматизировать проверку договоров, а маркетолог — собрать интеграцию с CRM. 

Вот два примера. Они не реальные, но могут такими быть.

Пример №1. Риск утечки из-за незнания технических деталей

Бухгалтер Елена читает статью про вайб-кодинг, ставит ИИ и просит написать программу: «Напиши скрипт, который будет забирать выписку из банка, сверять с CRM и отправлять отчет в Telegram». На создание программы уходит 3 часа, а бухгалтер будет экономить 2-3 дня каждый месяц.

Елена не знает, что такое GitHub и где хранятся код, токены и ключи доступа. Она не программист и думает, что если программа крутится на её локальном компьютере за корпоративным файерволом, то всё безопасно. 

В чём риск: Елена думает, что файервол — это бетонная стена. Но ИИ-инструменты, которыми она писала код, всё равно могли отправить фрагменты данных или конфигурации на серверы разработчиков нейросети. Если она вставляла в промпты реальные данные компании, они уже вышли за периметр инфраструктуры бизнеса.

Это не всё: если Елена уйдет, компания останется с кодом, который никто не проверял на уязвимости и который невозможно поддерживать. Если в программе есть критическая ошибка или скрытая backdoor-дыра, через которую можно выкачать данные, бизнес узнает об этом только после взлома.

Пример №2. Риск утечки из-за случайного открытия публичных данных

Бухгалтер Дмитрий тоже автоматизировал рутину и проверяет договоры созданным через вайб-кодинг приложением. Он знает, что такое GitHub, гордится своим решением и выкладывает код в публичный репозиторий. Дмитрий аккуратно оформил проект, написал инструкцию и поделился с коллегами. Но по ошибке в репозиторий попали ключи доступа к CRM, токены идентификации и настройки конфигурации. 

В чём риск: как только ключи и токены попадают в публичный репозиторий GitHub, боты-сканеры скачают их за секунды. Даже если Дмитрий удалит файл через 5 минут, в истории коммитов всё останется.

Теперь у любого человека в мире есть ключи от CRM компании. Можно украсть базу клиентов, изменить суммы в договорах или просто всё удалить. Это не просто риск, это прямой путь к уголовному делу о разглашении коммерческой тайны или нарушении закона о персональных данных (GDPR/ФЗ-152).

Новая версия Shadow IT

Раньше Shadow IT называли установку запрещенного или несогласованного IT-отделом ПО внутри компании. Теперь все стало серьезнее, потому что сотрудники сами создают это ПО. 

Человек пишет код через AI-агента, подключает к CRM, базе, почте и запускает в рабочее использование. Но никто не знает, как устроен этот код, какие библиотеки использует, какие уязвимости имеет и другие важные детали. Это уже не просто левая программа, которую установили без спроса, а полноценная интеграция в инфраструктуру.

Последствия для бизнеса: хаос вместо автоматизации

Вот риски, которые несёт компания, если не контролирует вайб-кодинг работников.

Утрата цифрового суверенитета. Самовольные интеграции превращают корпоративную ИТ-инфраструктуру в серую зону. Доступ к чувствительным данным утекает через самодельные инструменты, минуя контролируемые шлюзы и регламенты безопасности.

Технологический долг и скрытые угрозы. Код, написанный сотрудниками без технического опыта ^[11], — это кот в мешке. Без профессионального аудита и проверки логики система уязвима: любая ошибка в реализации может стать открытой дверью для атаки или привести к критическому сбою.

Коллективная безответственность. Когда вайб-кодинг становится массовым, персональная ответственность за инциденты исчезает. Локальная ошибка одного сотрудника в уязвимом приложении может парализовать работу всей компании, но расплачиваться за это будет весь бизнес.

Как выглядит ситуация сейчас и что с этим делать

Сотрудники не хотят навредить, они хотят упростить работу. Но в результате создают сотни самодельных интеграций. А эти интеграции могут создать серьезную опасность для бизнеса. В лучшем случае — просто перестать работать в любой момент. В худшем — содержать уязвимости или хранить ключи доступа в открытом виде.

Запрещать использование AI бессмысленно, потому что прогресс не остановить. Но не создать безопасные условия для вайб-кодинга будет еще опаснее. Потому что иначе руководитель узнает о проблеме из новости об утечке.

Расширение для VS Code

До этого мы говорили про опасности, которые создают сотрудники. В этом разделе рассказываю про проблемы самих инструментов.

Есть среда разработки VS Code, созданная командой Microsoft. Это лёгкий и быстрый редактор кода, для которого существуют тысячи расширений, некоторые из которых очень популярны. VS Code — один из стандартов индустрии, который используют уже 50 миллионов человек:

Помощники с безграничной властью

Расширения добавляют новые возможности и упрощают разработку: красиво подсвечивают код, запускают сервер, показывают документацию. А ещё они имеют почти неограниченный доступ к системе: могут читать файлы, запускать программы, выполнять код и отправлять данные в интернет. Это нужно для работы, но если в расширении есть уязвимость, последствия могут быть катастрофическими, особенно внутри компании.

Четыре уязвимых расширения на 128 миллионов загрузок

Чтобы понять, насколько уязвимость опасна, используется система CVSS (Common Vulnerability Scoring System). Оценка уязвимости по ней выставляется от 0 до 10.

За 2025–2026 годы было найдено много критических уязвимостей в популярных расширениях VS Code. Вот 4 примера. 

Live Server. Рейтинг CVSS равен 9.1. 72 миллиона установок. 

Позволяет через специально подготовленную ссылку заставить расширение отдать любой файл с компьютера разработчика. Достаточно, чтобы разработчик перешел по вредоносной ссылке.

Чаще всего это расширение нужно, чтобы быстро посмотреть, как выглядит сайт при сборке фронтенда. Разработчик запускает локальный сервер, открывает страницу в браузере и смотрит на результат работы.

Уязвимость в расширении позволяет злоумышленнику заставить страницу браузера выполнить хакерский скрипт, который зависит от запущенного расширения. Если разработчик переходит на такую страницу, а в это время у него запущен LiveServer, вредоносный скрипт страницы может заставить расширение вернуть любой файл из локальной системы.

Code Runner. Рейтинг CVSS равен 7.8. 37 миллионов установок.

Разработчик запускает код прямо в редакторе. Уязвимость может позволить злоумышленнику выполнить произвольный код на машине разработчика. Можно установить троян, запустить майнер, удалить файлы.

Markdown Preview. Рейтинг CVSS равен 8.8. 8,5 миллионов установок. 

Позволяет выполнять JavaScript, сканировать порты, красть данные.

Microsoft Live Preview. 11 миллионов установок. Здесь уязвимость оперативно закрыли.
Но это скорее исключение, потому что Microsoft.

Всего на эти расширения приходится более 128 миллионов установок. Это 128 миллионов потенциальных точек входа.

Для использования этих уязвимостей не нужны взломы и подбор паролей. Нужно только, чтобы разработчик установил их — а еще, чтобы совпали определенные условия.

Многие из этих уязвимостей появились еще в 2025 году и до сих пор не закрыты. Возможно, это потому, что производители расширений не всегда считают безопасность приоритетом. Если расширение удобно, его используют. А что внутри, часто не проверяют.

Последствия для бизнеса

Каждый разработчик — это точка входа. На машинах программистов могут лежать ключи доступа к серверам, SSH-ключи, токены и пароли. Если хакер получает доступ к машине разработчика, он забирает ключи, идет в продакшен, базу и корпоративную сеть. Это классическая атака с закреплением и дальнейшим распространением по инфраструктуре.

Одно уязвимое расширение и один клик по ссылке ставят под удар всю компанию. В каждой компании, где используется VS Code, существует такой риск. При этом сотрудники не виноваты в последствиях. Они ставят расширения, чтобы ускорить работу. А проблемы, которые вызовут эти программы, в итоге лягут на бизнес.

Что делать — практические рекомендации для бизнеса

Есть простые шаги для повышения безопасности. Это не сложные технические дебри и не миллионы инвестиций. Разбираем по порядку.

Шаг 1. Создать песочницу

Для экспериментов нужна изолированная среда, которая не имеет доступа к интернету. Это отдельный тестовый контур: виртуальная машина, отдельный сервер, изолированное облако. Главное, чтобы не было никакого доступа к реальным рабочим данным.

В песочнице разрешается экспериментировать свободно, а за её пределами — только по регламенту. Сотрудники будут использовать AI, но можно сделать так, чтобы эксперименты не проводились на продакшене.

Логика простая. Если люди хотят что-то автоматизировать — сначала они должны протестировать это в песочнице. Если всё работает, технические специалисты проверят безопасность нового инструмента. После проверки программу можно переносить в боевую среду. Это сразу снимает половину рисков.

Шаг 2. Минимальные права

Любому новому инструменту для начала можно выдавать только минимальный доступ. Ровно столько, сколько нужно для работы. Например, если скрипт выгружает счета, то нельзя разрешать ему менять реквизиты. Если агент читает календарь, он не должен удалять встречи. С минимальными правами, даже если инструмент будет взломан,
ущерб будет ограничен.

Простой вопрос от руководителя к сотруднику, который навайбкодил новый инструмент: «Зачем программе этот доступ?» Если ответ: «Ну, вдруг пригодится» — доступ не даем.

Шаг 3. Аудит инструментов

Нельзя защититься от того, о существовании чего не знаешь. Поэтому периодически необходимо проводить ревизию: какие расширения стоят у разработчиков, какие AI-агенты используют сотрудники, есть ли самодельные скрипты. Проверяйте установленные расширения по CVE, а репозитории — на утечки секретов.

Это базовая инвентаризация, без которой любые меры будут гаданием.

Шаг 4. Обучить сотрудников

Большинство проблем появляются из-за незнания. Бухгалтер не знает, что нельзя хранить ключи в коде, а юрист не знает, что агент может быть открыт в интернете. Разработчик может не знать, что расширение уязвимо.

Можно провести вебинар и рассказать про риски, как не хранить ключи в открытых источниках, как проверять настройки и куда сообщать о проблемах. Важно не запрещать, а объяснять: мы не против AI, но за безопасное использование. Так сотрудники становятся союзниками, а не источником угроз.

Шаг 5. Заложить бюджет на безопасность разработки

Контролировать вручную вайб-разработку невозможно, потому что AI генерирует слишком много кода. Поэтому нужны инструменты:

• Статический анализ кода.

• Динамический анализ

• Проверка зависимостей.

• Поиск токенов и ключей.

• Пентест — по возможности, потому что дорого.

На самом деле все инструменты стоят денег. Но это страховка от больших убытков. История Moonwell показала, что одна строка кода может унести миллионы. К сожалению, даже полная автоматизация не решит все на 100%, но без неё наверняка будет хаос.

Заключение: Quo vadis?

Мы вступили в эпоху, где каждый сотрудник — потенциальный разработчик. 

Запретить AI нельзя, потому что это автоматически означает проиграть конкурентам. А если пустить использование вайб-кодинга на самотёк, можно проиграть хакерам. 

Решение лежит в осознанном управлении рисками. Не нужно паниковать и вводить полный запрет на искусственный интеллект, достаточно установить понятные правила игры.

Будущее наступило: AI ускоряет бизнес, и это хорошо. Вопрос не в том, использовать ли его или нет. Вопрос — как сделать так, чтобы это будущее было безопасным.