Многие команды сейчас экспериментируют с ИИ. Ставят ИИ-инструменты и удивляются как резво растёт кодовая база. Но счастье длится недолго. Очень быстро выясняется что количество багов растёт с той же, а порой и опережающей скоростью. А аудиты, хоть ИИ и сделал их доступнее, раздувают бэклог на недели вперёд.
Типичная история 2026 года. ИИ-революция случилась быстрее, чем мы осознали что произошло и что с этим делать. А главное, как выстраивать процессы разработки по-новому, чтобы удержать этот код от взрыва в продакшене.
Цифры которые не сходятся
93% разработчиков используют ИИ-инструменты для кода ежемесячно. JetBrains подтверждают независимо: 92.6%. Cursor, GitHub Copilot, Claude Code стали базовой инфраструктурой буквально за год.
Казалось бы, продуктивность должна взлететь. Не взлетела. Шесть независимых исследований сошлись на одной цифре: реальный прирост продуктивности в организациях примерно 10%. Не 2x. Не 50%. Десять процентов.
Дальше интереснее. Рандомизированное контролируемое исследование METR (июль 2025) показало: опытные разработчики с ИИ-инструментами тратили на задачи на 19% БОЛЬШЕ времени. При этом были уверены что стали на 20% быстрее.
Разрыв между ощущением и реальностью: 39 пунктов.
Почему? ИИ ускоряет набор кода. Это приятная часть, она создаёт ощущение скорости. А думать, ревьюить, дебажить, проектировать архитектуру? Ничего из этого не ускорилось. Скорее замедлилось. Больше кода = больше работы на всех остальных этапах.
Бутылочное горлышко сместилось
Если применить теорию ограничений Голдратта к софтверной команде, картина проясняется. Написание кода занимает 25-35% цикла разработки. Остальные 65-75%: сбор требований, ревью кода, проверка безопасности, тестирование, деплой и бесконечные митинги.
ИИ ускорил первые 25-35%. Остальное не ускорилось. В большинстве организаций замедлилось. Больше кода ревьюить. Больше тестировать. Больше поддерживать.
CEO Cursor Майкл Труэлл сказал прямо: “Cursor значительно ускорил написание продакшен-кода. Но для большинства команд ревью кода выглядит так же, как три года назад.”
А потом Cursor купил Graphite. Стартап для code review. Эта покупка честнее любого маркетинга показала, где реальное ограничение.
Данные Faros AI подтверждают. Команды с высоким adoption ИИ мержили на 98% больше пулл-реквестов. Время ревью выросло на 91%. Баги выросли на 9%. Метрики DORA показали снижение по 25 процентных пунктов adoption. Не рост. Снижение.
Кризис скорости в одном предложении: кода стало больше, а всё что идёт после написания захлебнулось.
Кризис безопасности которого никто не ждал
Здесь история становится мрачной.
45% ИИ-кода не проходит тесты безопасности. От 40 до 62% содержат уязвимости или архитектурные дефекты. Плотность уязвимостей в ИИ-коде в 2.7 раза выше чем в написанном людьми. Это не крайние случаи. Это базовый результат когда ИИ пишет код без контроля.
Veracode проанализировал 1.6 миллиона приложений. 82% компаний имеют security debt (было 74% годом ранее). Критические уязвимости выросли с 8.3% до 11.3%. Veracode называет разрыв между обнаружением и исправлением “кризисом.”
10 000+ новых findings в месяц теперь приходится на ИИ-код. Рост в 10 раз за год.
Атакующие поняли это быстрее защитников. Когда ИИ генерирует код в 10 раз быстрее, а люди не успевают ревьюить, математика на стороне тех кто ищет уязвимости. 57% организаций признают что ИИ-инструменты создают новые риски. 70% сообщают о подтверждённых или предполагаемых уязвимостях.
По типам уязвимостей картина конкретная. SQL injection и XSS в ИИ-коде встречаются в 86% случаев. Log injection в 88%. Захардкоженные credentials появляются в инструментах для enterprise. Самое опасное: архитектурные уязвимости (обход аутентификации, некорректное управление сессиями) выросли на 153%.
Ревью кода раньше было трудоёмкой, но управляемой задачей. Теперь оно требует человеческого суждения в объёме который не масштабируется.
Почему так вышло
Кризис не был неизбежным. Он архитектурный. Организации оставили старые процессы ревью и просто добавили в очередь ИИ-код. Команда безопасности всё ещё проверяла вручную. Ревью всё ещё зависело от двух живых людей. Скорость генерации выросла в 10 раз. Ничего после генерации не перестроили.
Поэтому кризис починим. Мы не провалились с ИИ-инструментами. Мы провалились с перестройкой процессов под мир дешёвого и быстрого кода. Инструменты стали лучше. Системы вокруг них остались прежними.
Что реально работает
Выигрывают не те команды которые пишут больше всего ИИ-кода. Выигрывают те кто перестроили весь пайплайн, а не только этап написания.
Проверка безопасности как часть процесса, а не послесловие. Ревью перестроено под объём. ИИ обрабатывает рутину. Люди принимают решения которые реально требуют суждения.
Команды с реальным улучшением метрик DORA приняли что code review теперь на критическом пути. Добавили ревьюеров. Автоматизировали что можно автоматизировать. Перестали считать “скомпилировалось и тесты прошли” достаточным для продакшена.
ИИ это компонент в системе. Не замена процессу. ИИ пишет код. Люди убеждаются что этот код стоило писать.
Что я вижу на практике
Я использую Claude Code каждый день. Разрыв между ощущением и реальностью виден невооружённым глазом. Код который я писал бы час, ИИ пишет за десять минут. Потом я трачу ещё минут двадцать на перепроверки. Бывает что ИИ забывает сделать несколько шагов из плана. Или тесты написаны криво и не ловят реальную проблему.
Но реальный выигрыш есть. Не 60x как обещают маркетологи. У меня получается честных 10x. Правда, это на моих задачах: своя кодовая база, знакомый контекст, чёткие спецификации. METR мерил другое: опытные девы на незнакомом репозитории. Так что цифры разные, но направление у всех одно. Выигрыш масштабируется с тем, насколько вы понимаете что делаете.
Если смотреть шире, ИИ-подход это не только про то как сделать программистов эффективнее. Он про то как открыть двери в разработку для всех кто раньше хотел, но не мог разобраться с кодом. ИИ это демократизация разработки. Главное чтобы у ИИ было достаточно контекста и документация была в порядке.
ИИ быстрее всего когда вы точно знаете что хотите и можете описать конкретно. ИИ медленнее всего когда вы ещё не знаете что хотите и используете код чтобы это выяснить. Тогда вы итерируете одновременно над спецификацией и реализацией, и это множит время.
Каждый мой проект получает полный набор тестов и проверку безопасности до деплоя. Не потому что ИИ пишет плохой код. А потому что ИИ пишет правдоподобный код. А правдоподобный это самый опасный вид неправильного. Ревью ловит то что ИИ пропускает. Тесты не блестящие. Зато система работает стабильно.
Итого
ИИ-революция в разработке реальна. Она просто приехала быстрее чем процессы которые должны были удержать этот код от создания security debt и бэклога ревью.
Команды которые закроют этот разрыв, выпустят работающий софт в 2026. Остальные будут ревьюить код до тепловой смерти вселенной.
Хватит мерить спринт строчками кода. Мерьте сколько функционала реально доехало до пользователей.
Автор: prohronus
