---
title:

Специалисты против универсалов: как ИИ войдёт в SDLC

date: 2026-03-09
tags: [#ai, #security, #anthropic, #cybersecurity, #sdlc, #agents ]
draft: false
---

https://cybersecuritynews.com/claude-ai-22-firefox-vulnerabilities/

TL;DR: Claude Opus 4.6 за две недели нашёл 22 уязвимости в Firefox, 14 из них — высокой критичности. Firefox фаззили и сканировали десятилетиями — и всё равно пропустили целые классы багов.

Почему существующие инструменты не справились? Фаззер бросает случайные данные на вход и ждёт сбоя. Статический анализатор сверяет код с базой шаблонов. Оба подхода слепы к багам, которые требуют понимания логики программы.

Claude работал иначе. Читал историю коммитов, находил патч с добавленной проверкой границ — и искал другие ветки кода, где такую же проверку забыли. Анализировал предусловия, до которых фаззер не добирался за разумное время. Понимал алгоритм LZW-компрессии в CGIF и строил входные данные, которые ломали именно его. Это уже не тупой перебор, а результат экспертного анализа кода.

Этот пример интересен не сам по себе, а как иллюстрация: ИИ-агенты уже могут быть сильнее существующих инструментов в задачах, где нужна экспертиза, но не нужно глубокое понимание нюансов бизнес-логики конкретного проекта. И безопасность — не единственная область, где это так. Например:

  • производительность
  • соответствие стандартам
  • наблюдаемость
  • документированность

Общее свойство этих задач в том, что экспертиза гораздо важнее широкого предметного знания, которого нет в коде. Агенту не нужно понимать, что кнопку добавили из-за новой регуляции в одной из стран — достаточно знать, что раньше её не было, а вот теперь она есть.

Вопрос — в какой форме эта экспертиза придёт в SDLC. И тут есть два пути.

Универсальный агент — один инструмент в IDE или облаке, который пишет код, ищет баги, оптимизирует, документирует. Cursor, Claude Code, Copilot движутся в эту сторону.

Где выигрывает универсал:

  • контекст проекта — видит архитектуру, бизнес-логику и связи между компонентами целиком, а не только код отдельного файла
  • междисциплинарные находки — замечает, что оптимизация производительности ломает безопасность
  • простота внедрения — один инструмент вместо десяти подписок и оркестрации между ними

Специализированные агенты — каждый из которых глубоко знает одну область. Один агент — эксперт по безопасности, другой — по производительности, третий — по документации. Встроены в CI/CD, работают параллельно.

Где выигрывает специалист:

  • глубина экспертизы — все ресурсы в одну область плюс закрытые данные и обратная связь от реальных пользователей, это конкурентное преимущество, которое универсалу сложно повторить
  • изоляция — независимые циклы обновлений, обновление одного агента не ломает другие