Безопасность при работе с AI
Часть серии I vs AI: мой путь в Vibe Coding
Брюс Шнайер
“Security is a process, not a product” — Безопасность — это процесс, а не продукт.
Риск не в том, что кто-то увидит твой код или украдёт идею. Любой продукт на рынке можно скопировать, но нельзя заглянуть внутрь. А с AI — можно. Настоящий риск — утечка доступов. Один .env с токенами — и у злоумышленника ключи от базы, сервера, платёжки. Код можно переписать. Доступы — нет.
Prompt Injection
AI-агенты выполняют команды на твоём компьютере. Злоумышленники прячут вредоносные инструкции в README, комментариях кода, issue на GitHub. AI читает — AI выполняет. Это не теория — это происходит прямо сейчас.
Что делать:
- Секреты (
.env, ключи, credentials) — в.gitignoreи.claudeignore. Всегда - Клиентские данные — никогда. Используй mock-данные
- Корпоративный код — уточни политику компании
- Незнакомые репозитории — проверяй что AI делает, не давай слепого доступа
Правило
Относись к AI как к публичному Stack Overflow: не пиши туда то, что не готов показать всему интернету.