Самоуспокоенность от автоматизации, версия для безопасности

Самый опасный момент — не первый день, а девяностый. В первый день вы осторожны: читаете каждый дифф, прогоняете промпт-атаку, проверяете обработчик загрузок. Потом выходит сотня изменений, и ничего плохого не происходит, и проверки начинают ощущаться как церемония. Вы пропускаете шлюз ревью «всего один раз» на маленьком изменении. Маленькое изменение добавляет эндпоинт без проверки авторизации. Какое-то время ничего не происходит, потому что «ничего не происходит» — это ровно то, как дыра в безопасности выглядит изнутри.

Это самоуспокоенность от автоматизации, направленная на безопасность, и здесь она хуже, чем где-либо ещё, потому что провалы безопасности молчаливы и отложены. Сломанная функция наказывает вас через минуты. Сломанная проверка прав вознаграждает вас видимым успехом ровно до самого взлома. Отсутствие катастрофы — не доказательство безопасности, это нормальное состояние уязвимого приложения, которое просто пока не нашли.

Защита в том, чтобы сделать шлюз достаточно дешёвым, чтобы вы его не пропускали, и достаточно автоматическим, чтобы вы не могли его пропустить. Поставьте сканирование секретов и audit в CI, чтобы они запускались без участия вашей памяти, и держите промпт-атаку под рукой для всего, что касается auth, данных или загрузок. Держите одну линию: изменение, которое работает с пользовательскими данными или правами, не выходит в релиз, пока кто-то — вы, с честной помощью AI, — активно не попытается его сломать. Скорость в vibe coding берётся из хороших шлюзов, а не из веры в то, что тишина означает, что всё в порядке.