Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Вайб-кодинг мертв — и ваш стартап, вероятно, выпустил катастрофу безопасности

Карпати придумал это. Карпати убил это. Данные говорят, что он был прав.

Андрей Карпатый — соучредитель OpenAI и бывший руководитель ИИ в Tesla — ввел термин «вайб-кодинг» в феврале 2025 года, описывая стиль разработки, при котором вы «полностью отдаетесь вайбам», принимая код, сгенерированный ИИ, не обязательно понимая каждую строку. Словарь Collins назвал его словом года 2025. Инструменты взорвались: Cursor, Replit, Bolt, Lovable и Claude Code привлекли миллиарды венчурного финансирования. GitHub сообщил, что 46% всего нового кода, коммитируемого сегодня, генерируется ИИ. В зимней партии Y Combinator 2025 года 25% стартапов имели кодовые базы, на 95% или более сгенерированные ИИ. Вайб был безупречным.

Четырнадцать месяцев спустя пришло похмелье. И сам Карпатый объявил вайб-кодинг устаревшим — не потому, что инструменты не работают, а потому, что индустрия перешла к чему-то лучшему и более сложному: агентной инженерии, где разработчики управляют ИИ-агентами, а не слепо принимают их результат. Данные объясняют, почему этот переход был необходим.

Ключевой вывод

Вайб-кодинг — описание того, что вы хотите, и отправка в продакшн всего, что генерирует ИИ — создает катастрофические проблемы безопасности и надежности. Цифры: 40-62% кода, сгенерированного ИИ, содержит уязвимости безопасности. Защита от межсайтового скриптинга не работает в 86% случаев. Только в марте 2026 года 35 новых CVE были напрямую вызваны кодом, сгенерированным ИИ. У Amazon было 4 критических сбоя сервиса за одну неделю из-за развертываний с ИИ-кодом. Прирост скорости реален. Цена — безопасность, поддерживаемость и технический долг, который накапливается незаметно, пока продакшн не взорвется.

Цифры безопасности, о которых никто не хочет говорить

Данные о безопасности кода, сгенерированного ИИ, однозначны и тревожны. Компания по безопасности Tenzai создала 15 идентичных приложений, используя пять популярных инструментов вайб-кодинга — Claude Code, OpenAI Codex, Cursor, Replit и Devin. Результат: 69 уязвимостей в этих приложениях. Шесть были критическими — то есть они могли быть использованы для получения несанкционированного доступа, кражи данных или захвата контроля над системами. Это не было тестированием малоизвестных крайних случаев; это были стандартные веб-приложения, созданные со стандартными промптами.

Более широкие исследования подтверждают эту закономерность. От 40% до 62% кода, сгенерированного ИИ, содержит уязвимости безопасности, в зависимости от исследования и инструмента. ИИ не может защитить от межсайтового скриптинга (XSS) в 86% случаев — одной из самых базовых и хорошо изученных веб-уязвимостей. Пулл-реквесты, написанные ИИ, показывают в 2,74 раза более высокие показатели уязвимостей безопасности, чем код, написанный человеком. Только в марте 2026 года 35 новых CVE (Common Vulnerabilities and Exposures) были напрямую связаны с кодом, сгенерированным ИИ — по сравнению с 6 в январе. Тенденция ускоряется по мере того, как больше кода, сгенерированного ИИ, попадает в продакшн.

Инцидент с Amazon кристаллизовал проблему для корпоративной аудитории. Согласно Financial Times, сбой сервиса Amazon в декабре был вызван ботом для кодирования ИИ. Впоследствии компания пережила четыре критических инцидента за одну неделю. Внутренняя записка Amazon признала, что меры безопасности «еще не полностью установлены» — замечательное признание для одной из самых сложных инженерных организаций в мире. Amazon теперь требует, чтобы старшие инженеры подписывали любые изменения кода с помощью ИИ, сделанные младшими и средними инженерами. Компания, которая стала пионером облачных вычислений в масштабе, была вынуждена добавить человеческих привратников специально потому, что ИИ-коду нельзя было доверять.

Метрики качества кода рассказывают ту же историю с другой стороны. Изменчивость кода — скорость, с которой код пишется, коммитится, а затем переписывается — выросла на 41%. Дублирование кода увеличилось в четыре раза. Тщательный рефакторинг, который поддерживает здоровье кодовых баз со временем, упал с 25% измененных строк в 2021 году до менее 10% к 2024 году. Академическая статья января 2026 года утверждала, что вайб-кодинг «тихо убивает открытый исходный код», снижая вовлеченность разработчиков с мейнтейнерами, которые поддерживают критическую инфраструктуру. Когда разработчики перестают читать код, потому что его генерирует ИИ, они также перестают вносить вклад в проекты сообщества, от которых зависит их код.

Почему скорость без понимания создает бомбы замедленного действия

Фундаментальная проблема вайб-кодинга не в том, что ИИ генерирует плохой код — а в том, что разработчики отправляют код, который они не понимают. Когда человек пишет уязвимость, человек понимает окружающий код достаточно хорошо, чтобы найти и исправить проблему во время отладки. Когда ИИ генерирует уязвимость, разработчик, который его запросил, часто не может определить проблему, потому что он никогда не понимал логику кода с самого начала. Баг становится черным ящиком внутри черного ящика.

Это создает сложный технический долг. Каждый фрагмент кода, сгенерированного ИИ, который разработчик не полностью понимает, добавляет еще один непрозрачный слой к системе. Когда эти слои взаимодействуют — а они всегда это делают, в конце концов — результирующие баги чрезвычайно трудно диагностировать, потому что никто в команде не имеет ментальной модели того, как система действительно работает. Они знают только то, что сказали ИИ, что они хотели. Разрыв между намерением и реализацией растет незаметно, пока продакшн не выйдет из строя способами, которые никто не может объяснить.

Проблема сжигания кредитов усугубляет это. Один анализ от сообществ разработчиков приложений показал, что пользователи Lovable сожгли 400 кредитов только на исправление багов — то есть они потратили значительные ресурсы на исправление кода, который ИИ сгенерировал неправильно, используя тот же ИИ для попытки исправлений, создавая новые проблемы в процессе. Этот цикл — генерировать, обнаружить баг, попросить ИИ исправить, ввести новый баг, повторить — это темная сторона разработки с помощью ИИ. Каждый раунд сжигает кредиты или вычислительное время, и кодовая база накапливает слои заплаток поверх заплаток, которые ни один человек не рассматривал целостно.

📬 Получаете пользу от этого?

Один практический инсайт по ИИ в неделю. Плюс бесплатный пакет промптов при подписке.

Подписаться бесплатно →

Что заменило вайб-кодинг (и что действительно работает)

Индустрия разделилась в начале 2026 года по предсказуемой линии: опытные разработчики, использующие инструменты ИИ, видели реальный прирост продуктивности на 10-30%, в то время как неопытные разработчики, использующие те же инструменты, производили больше результата с худшим качеством. Разница не в инструменте — а в том, понимает ли человек то, что генерирует ИИ.

Опытные инженеры используют инструменты кодирования ИИ как ускорители для хорошо понятных паттернов: CRUD-операции, интеграции API, форматирование данных, утилитарные функции, шаблонный код. Они рассматривают результат, понимают его последствия и ловят проблемы безопасности перед коммитом. ИИ экономит время на реализации; человек обеспечивает суждение, архитектуру и контроль качества. Это то, что Карпатый теперь называет «агентной инженерией» — управление ИИ-агентами, а не некритичное принятие их результата. Улучшение продуктивности на 10-30% для правильно управляемого кодирования ИИ реально и устойчиво.

Не-разработчики, которые пытались создать продакшн-софт через чистые промпты — оригинальное обещание вайб-кодинга — столкнулись со стенами поддержки в течение недель. Данные Reddit от сообществ разработчиков показывают паттерн «обратной миграции»: пользователи, которые покинули no-code платформы ради инструментов кодирования ИИ, вернулись к визуальным билдерам после столкновения с бременем поддержки кода, сгенерированного ИИ. Платформы, которые сочетают помощь ИИ со структурированным визуальным построением, становятся прагматичной золотой серединой для не-разработчиков.

Для разработчиков практический вывод ясен: инструменты кодирования ИИ трансформируют в паре с инженерным суждением. Они катастрофичны, когда используются как замена инженерного суждения. Единственный навык ИИ, который имеет значение, применяется здесь так же, как и везде: способность оценивать результат ИИ и выносить суждение о том, правильный ли он, безопасный и подходящий для продакшна. Бесплатный оптимизатор промптов помогает писать более конкретные промпты для кодирования, которые производят лучший результат с первой попытки, сокращая циклы итераций, которые усугубляют проблемы качества. Для оптимизации в один клик внутри ChatGPT, Claude и Gemini, TresPrompt приносит это прямо в ваш рабочий процесс.

📬 Хотите больше такого?

Один практический инсайт по ИИ в неделю. Плюс бесплатный пакет промптов при подписке.

Подписаться бесплатно →

Часто задаваемые вопросы

Всегда ли вайб-кодинг плох?

Нет — он плох для продакшн-систем. Для прототипирования, исследования идей и обучения описание того, что вы хотите, и наблюдение за тем, как ИИ это генерирует, действительно полезно. Проблема в том, когда код прототипа попадает в продакшн без рассмотрения, тестирования безопасности или человеческого понимания его логики. Вайб-кодинг как исследование — это нормально. Вайб-кодинг как инженерия — опасно.

Является ли Claude Code частью проблемы вайб-кодинга?

Claude Code, как и любой инструмент кодирования ИИ, может использоваться ответственно или безответственно. Что отличает Claude Code от чистых инструментов вайб-кодинга, так это его агентный рабочий процесс — он запускает тесты, анализирует ошибки и итерирует решения, а не просто генерирует код один раз. Но даже результат Claude Code должен быть рассмотрен разработчиком, который понимает кодовую базу. Инструмент помогает инженерии; он не заменяет ее.

Должен ли я перестать использовать инструменты кодирования ИИ?

Абсолютно нет — прирост продуктивности реален для опытных разработчиков. Правильный ответ — управление, а не воздержание. Рассматривайте код, сгенерированный ИИ, перед коммитом. Запускайте сканеры безопасности на результате ИИ. Понимайте логику того, что генерирует ИИ, особенно для аутентификации, авторизации и обработки данных. Используйте ИИ для 80% кода, который следует стандартным паттернам, и пишите критические 20% сами.

Как сделать код, сгенерированный ИИ, более безопасным?

Три практики: (1) Включайте требования безопасности в ваши промпты — «обеспечьте валидацию ввода на всех пользовательских полях, используйте параметризованные запросы для доступа к базе данных, реализуйте защиту CSRF». Конкретные инструкции по безопасности производят более безопасный код. (2) Запускайте автоматизированные сканеры безопасности (Snyk, SonarQube, Semgrep) на весь код, сгенерированный ИИ, перед коммитом. (3) Требуйте человеческое рассмотрение кода для любого кода, сгенерированного ИИ, который касается аутентификации, авторизации, обработки платежей или обработки персональных данных.

В чем разница между вайб-кодингом и агентной инженерией?

Вайб-кодинг: опишите, что вы хотите → примите все, что генерирует ИИ → отправьте это. Агентная инженерия: определите задачу → ИИ генерирует решение → ИИ запускает тесты → ИИ выявляет сбои → ИИ итерирует → человек рассматривает результат → человек одобряет или перенаправляет. Разница в петле обратной связи и человеческом надзоре. Агентная инженерия использует ИИ как сотрудника; вайб-кодинг использует ИИ как замену.

Раскрытие: Некоторые ссылки в этой статье являются партнерскими ссылками. Мы рекомендуем только инструменты, которые лично тестировали и регулярно используем. Смотрите нашу полную политику раскрытия.