This media is not supported in your browser
VIEW IN TELEGRAM
Apiiro опубликовали исследование о том, как использование ИИ-ассистентов влияет на качество кода.
Итоги такие:
– коммитов стало в 3–4 раза больше,
– а уязвимостей — в 10 раз больше.
ИИ реально снижает количество опечаток и синтаксических багов. Но архитектурные проблемы растут: поломки авторизации, утечки ключей, ошибки конфигурации облака.
В одном кейсе обновление заголовка Authorization было внесено не во все сервисы — и это открыло доступ к внутренним эндпоинтам.
Почему так? Потому что умение писать код ≠ умение писать код с ИИ. Ассистенты дают скорость, но если разработчики не умеют правильно их использовать, ошибки становятся критичнее и глубже.
Остановить — нет. Направить — да.
Я думаю ключевая проблема здесь — разработчики получили инструмент, к которому не были готовы ни они сами, ни руководство. Ручное ревью — must have. У вас же освободилось время от рутины, так потратьте его на ревью кода, внедрите дополнительное ревью с помощью LLM. Собственно вывод Apiiro такой:
When You Add an AI Coding Assistant, Add an AI AppSec Agent in Parallel
Мне понравилась позиция Кевина Вейла, CPO в OpenAI: «ИИ, который вы используете сегодня, — это худший ИИ, который вы когда-либо будете использовать». Модели становятся лучше каждые несколько месяцев. Поэтому строить продукты и процессы стоит под возможности будущего, а не под ограничения настоящего.
Мой вывод: важно обучать команды работать с ИИ уже сейчас. Понимать, где допустим «чистый вайб», а где нужен «осознанный вайб». Когда технологии сделают очередной скачок — подготовленные команды окажутся в выигрышной позиции.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥2
Злоумышленники заразили 18 популярных пакетов с общим трафиком 2,6 млрд загрузок в неделю. В список попали chalk, debug, ansi-styles, color-convert, color-name и ещё пачка «цветовых кирпичиков», которые тянет половина JS-экосистемы.
Как провели атаку?
Фишинговое письмо.
Josh Junon (qix) — автор популярных пакетов, получил имейл, якобы от поддержки npm: «Перепройдите 2FA до 10 сентября, иначе аккаунт заблокируем».
Он кликнул по ссылке → credentials ушли злоумышленникам.
Через этот доступ они выложили новые версии пакетов уже с закладкой.
В заражённые версии встроили malware-модуль, который при установке подгружал вредоносный код, а тот, в свою очередь, перехватывал операции с криптокошельками: копируешь адрес — он тихо подменяется на адрес атакующего.
Какая опасность?
Масштаб: речь не про «какой-то obscure пакет», а про базовые кирпичи JS. Их тянут React, Next.js и тысячи других проектов.
Крипто-угроза: если твой сервис взаимодействует с криптой, деньги могли утекать на кошельки атакующих.
Долгосрочный эффект: даже после удаления пакетов заражённые версии могут кэшироваться в CI/CD пайплайнах, зеркалах и локальных зависимостях.
Но если вы не вайб-кодили крипто сервисы, то вам нечего боятся, кроме лишнего кода в билде 😄
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👀3🔥1😁1
Любопытно, и как мне расценивать пункт:
В контексте остальных пунктов, которые помечены ✅.
❌ - как единственный не выполненный пункт
ИЛИ
❌ - как вырезаны все чувствительные данные
❓Что думаете? Ставьте реакцию:
👍 - как вырезаны все чувствительные данные
😁 - как недоделанная до конца задача
❌ Никаких паролей или токенов в репозитории
В контексте остальных пунктов, которые помечены ✅.
❌ - как единственный не выполненный пункт
ИЛИ
❌ - как вырезаны все чувствительные данные
❓Что думаете? Ставьте реакцию:
👍 - как вырезаны все чувствительные данные
😁 - как недоделанная до конца задача
😁12👍1
Делюсь схемой заработка в Threads с вайбом 😄
Сначала пишешь что уже заработал. Для достоверности прикладываешь фотку любого входящего перевода.
Когда в комментариях спрашивают как - говоришь, что у тебя есть курс «как заработать в Threads». Зевака покупает, и вот ты уже заработал.
В курсе несколько сгенерированных советов от GPT, промпты для GPT, чтоб не напрягаться. И инструкция:
«Сначала напиши пост, что ты уже заработал, приложи фотку любого чека для достоверности, когда в комментариях спросят как, предложи им купить этот курс».
Ну вы поняли 😄
Делитесь с другими, схема видимо рабочая, потому что у меня таких постов в Threads что-то уж очень много.
@vibe_coding_channel
Сначала пишешь что уже заработал. Для достоверности прикладываешь фотку любого входящего перевода.
Когда в комментариях спрашивают как - говоришь, что у тебя есть курс «как заработать в Threads». Зевака покупает, и вот ты уже заработал.
В курсе несколько сгенерированных советов от GPT, промпты для GPT, чтоб не напрягаться. И инструкция:
«Сначала напиши пост, что ты уже заработал, приложи фотку любого чека для достоверности, когда в комментариях спросят как, предложи им купить этот курс».
Ну вы поняли 😄
Делитесь с другими, схема видимо рабочая, потому что у меня таких постов в Threads что-то уж очень много.
@vibe_coding_channel
😁12🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
GitHub выпустили крутую утилитку SpecKit для Spec-Driven Development.
На прошлой лекции я рассказывал, что такое Spec-Driven Development, но на всякий случай тут повторюсь. Это подход в вайб-кодинге, (пришедший из традиционной разработки) в котором вы, а точнее нейронка, прежде чем что-то разрабатывать, создает подробную спецификацию проекта, описывает все требования, системный дизайн и декомпозирует на задачи.
Цитата с GitHub:
Такой подход отлично лег в основу AI IDE - Kiro, они создали прекрасный интерфейс, в котором очень интуитивно можно создать все необходимые документы для дальнейшей разработки. GitHub теперь сделал тоже самое, но уже для CLI инструментов.
Утилитка устанавливается простой командой:
Из минусов сразу отмечу, что нет возможности использовать кастомные API ключи от моделей, ты можешь использовать только Github Copilot, Claude Code и Gemini CLI, для авторизации. Ну может и не минус, если у вас есть хотя бы какая-то подписка на Claude Code и Github Copilot. Если нету, а хочется попробовать, установите Gemini CLI, там есть бесплатные лимиты, их хватит для генерации спеки и задач.
После установки SpecKit и выбора провайдера, запускайте свой CLI инструмент, и у вас будет новая команда доступна -
Выбираете ее и описываете, что вы хотите создать. Когда готова спека, запускайте
❓Кто уже пробовал, как впечатления?
🎚️ @vibe_coding_channel
🎚️ @vibe_coding_community
На прошлой лекции я рассказывал, что такое Spec-Driven Development, но на всякий случай тут повторюсь. Это подход в вайб-кодинге, (пришедший из традиционной разработки) в котором вы, а точнее нейронка, прежде чем что-то разрабатывать, создает подробную спецификацию проекта, описывает все требования, системный дизайн и декомпозирует на задачи.
Цитата с GitHub:
Spec-Driven Development is a structured process that emphasizes:
- Intent-driven development where specifications define the "what" before the "how"
- Rich specification creation using guardrails and organizational principles
- Multi-step refinement rather than one-shot code generation from prompts
- Heavy reliance on advanced AI model capabilities for specification interpretation
Такой подход отлично лег в основу AI IDE - Kiro, они создали прекрасный интерфейс, в котором очень интуитивно можно создать все необходимые документы для дальнейшей разработки. GitHub теперь сделал тоже самое, но уже для CLI инструментов.
Утилитка устанавливается простой командой:
uvx --from git+https://github.com/github/spec-kit.git specify init <PROJECT_NAME>Из минусов сразу отмечу, что нет возможности использовать кастомные API ключи от моделей, ты можешь использовать только Github Copilot, Claude Code и Gemini CLI, для авторизации. Ну может и не минус, если у вас есть хотя бы какая-то подписка на Claude Code и Github Copilot. Если нету, а хочется попробовать, установите Gemini CLI, там есть бесплатные лимиты, их хватит для генерации спеки и задач.
После установки SpecKit и выбора провайдера, запускайте свой CLI инструмент, и у вас будет новая команда доступна -
/specify.Выбираете ее и описываете, что вы хотите создать. Когда готова спека, запускайте
/plan, а после него /tasks, чтобы разбить план имплементации на задачи, подзадачи.❓Кто уже пробовал, как впечатления?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3