---
title:

Спеціалісти проти універсалів: як ШІ увійде в SDLC

date: 2026-03-09
tags: [#ai, #security, #anthropic, #cybersecurity, #sdlc, #agents ]
draft: false
---

https://cybersecuritynews.com/claude-ai-22-firefox-vulnerabilities/

TL;DR: Claude Opus 4.6 за два тижні знайшов 22 вразливості у Firefox, 14 з них — високої критичності. Firefox фазили та сканували десятиліттями — і все одно пропустили цілі класи багів.

Чому наявні інструменти не впоралися? Фазер кидає випадкові дані на вхід і чекає на збій. Статичний аналізатор звіряє код із базою шаблонів. Обидва підходи сліпі до багів, які вимагають розуміння логіки програми.

Claude працював інакше. Читав історію комітів, знаходив патч із доданою перевіркою меж — і шукав інші гілки коду, де таку саму перевірку забули. Аналізував передумови, до яких фазер не діставався за розумний час. Розумів алгоритм LZW-компресії в CGIF і будував вхідні дані, які ламали саме його. Це вже не тупий перебір, а результат експертного аналізу коду.

Цей приклад цікавий не сам по собі, а як ілюстрація: ШІ-агенти вже можуть бути сильнішими за наявні інструменти в задачах, де потрібна експертиза, але не потрібне глибоке розуміння нюансів бізнес-логіки конкретного проєкту. І безпека — не єдина область, де це так. Наприклад:

  • продуктивність
  • відповідність стандартам
  • спостережуваність
  • документованість

Спільна властивість цих задач у тому, що експертиза набагато важливіша за широке предметне знання, якого немає в коді. Агенту не потрібно розуміти, що кнопку додали через нову регуляцію в одній із країн — достатньо знати, що раніше її не було, а тепер вона є.

Питання — в якій формі ця експертиза прийде в SDLC. І тут є два шляхи.

Універсальний агент — один інструмент в IDE або хмарі, який пише код, шукає баги, оптимізує, документує. Cursor, Claude Code, Copilot рухаються в цьому напрямку.

Де виграє універсал:

  • контекст проєкту — бачить архітектуру, бізнес-логіку та зв’язки між компонентами цілком, а не лише код окремого файлу
  • міждисциплінарні знахідки — помічає, що оптимізація продуктивності ламає безпеку
  • простота впровадження — один інструмент замість десяти підписок та оркестрації між ними

Спеціалізовані агенти — кожен з яких глибоко знає одну область. Один агент — експерт із безпеки, інший — із продуктивності, третій — із документації. Вбудовані в CI/CD, працюють паралельно.

Де виграє спеціаліст:

  • глибина експертизи — всі ресурси в одну область плюс закриті дані та зворотний зв’язок від реальних користувачів, це конкурентна перевага, яку універсалу складно повторити
  • ізоляція — незалежні цикли оновлень, оновлення одного агента не ламає інші