Технологічний огляд
Що таке вайбкодинг?
Термін народився у лютому 2025 року з одного поста в соціальній мережі. Андрій Карпаті — співзасновник OpenAI, колишній директор з AI у Tesla — описав новий підхід до написання коду:
“There’s a new kind of coding I call «vibe coding», where you fully give in to the vibes, embrace exponentials, and forget that the code even exists.” — Andrej Karpathy, 2 лютого 2025
Вайбкодинг — це новий підхід до програмування, коли людина просто описує штучному інтелекту, що вона хоче отримати, а не пише код вручну. Карпаті наголосив, що такий спосіб підійде для одноразових проєктів «на вихідні», і називати це програмуванням уже не можна. Це підхід, коли ШІ не асистує — він фактично ведучий розробник, а людина задає тон і напрям.
Ідея звучала як жарт, але вже за менше ніж рік перетворилася на реальність. У 2025 Collins Dictionary назвав «vibe coding» словом року.
Популярні інструменти: Cursor, Claude Code, Replit, Lovable, Bolt, OpenAI Codex. За даними JetBrains State of Developer Ecosystem 2025, майже 90% розробників, що використовують AI, економлять щонайменше годину на тиждень, а близько 20% — вісім і більше годин.
Ризики: швидкість проти безпеки
Вайбкодинг знижує поріг входу в розробку до мінімуму, але платою за швидкість нерідко стає безпека.
Згідно зі звітом Veracode GenAI Code Security Report 2025, 45% AI-генерованого коду містить вразливості безпеки, а багато LLM обирають небезпечні методи майже в половині випадків. У деяких мовах цей показник перевищує 60%. Java показала найгірший результат — 72%.
Дослідження грудня 2025 року порівняло п’ять провідних інструментів — Claude Code, OpenAI Codex, Cursor, Replit та Devin — і виявило в 15 тестових застосунках загалом 69 вразливостей. Близько 45 з них отримали рейтинг «низький/середній», частина — «високий», кілька — «критичний».
Команда AI Red Team у Databricks підтвердила: вайбкодинг може призводити до критичних вразливостей на кшталт виконання довільного коду та пошкодження пам’яті — навіть коли згенерований застосунок виглядає цілком функціональним. Водночас дослідники показали, що цілеспрямовані security-промпти суттєво знижують кількість небезпечних місць у коді без значної втрати якості.
Чи є підводні камені?
Вайбкодинг знижує поріг входу в розробку до рекордного мінімуму — але платою за швидкість нерідко стає безпека.
⚠️ Дані звіту Veracode GenAI Code Security Report 2025 Близько 45% AI-генерованого коду містить вразливості, що відповідають категоріям OWASP Top 10. У деяких мовах програмування цей показник перевищує 60% — зокрема, Java показала найгірший результат: 72%.
Дослідження грудня 2025 року, яке порівняло п’ять провідних вайбкодинг-інструментів (Claude Code, OpenAI Codex, Cursor, Replit та Devin), виявило в 15 тестових застосунках загалом 69 вразливостей. З них близько половини отримали рейтинг «середній/низький», частина — «високий», а кілька — «критичний».
Основні категорії ризиків:
- Hardcoded credentials — ШІ часто вбудовує ключі та паролі прямо в код для швидкості
- Injection-атаки — ненадійна обробка введення користувача
- Broken authentication — слабкі механізми авторизації
- Залежності без перевірки — сторонні бібліотеки приймаються без аудиту
- Відсутність тестування — speed-first підхід обходить pentest та статичний аналіз
Команда AI Red Team у Databricks підтвердила: вайбкодинг може призводити до критичних вразливостей на кшталт виконання довільного коду — навіть коли згенерований застосунок виглядає цілком функціональним.
Водночас дослідники показали: цілеспрямовані security prompts (запити з акцентом на безпеку) суттєво знижують кількість небезпечних місць у коді без значної втрати якості результату.
Чи видалятимуть ШІ-застосунки з App Store та Google Play?
Коротка відповідь: масового видалення ШІ-застосунків не буде. Але обидві платформи суттєво посилили вимоги до них — і застосунки, що не виконають нові правила, справді ризикують бути відхиленими або видаленими.
Apple App Store: прозорість понад усе
У листопаді 2025 року Apple оновила App Store Review Guidelines, зробивши акцент на тому, як застосунки поводяться з даними користувачів у контексті ШІ.
Ключова зміна — правило 5.1.2 Якщо застосунок передає будь-які персональні дані стороннім AI-сервісам (OpenAI, Anthropic, Google Gemini, ElevenLabs тощо), він зобов’язаний: (1) явно повідомити користувача, яким конкретно сервісам і які дані передаються, та (2) отримати явну згоду до передачі даних. Загальних формулювань у Privacy Policy більше недостатньо.
Крім того, Apple заборонила присвоювати застосункам назви на кшталт «ChatGPT Assistant» або «Claude Helper» і використовувати кольорові схеми, що імітують брендинг OpenAI чи Anthropic. Застосунки, що маскуються під відомі AI-бренди або встановлюють завищену ціну за доступ до публічних моделей без доданої цінності, також потрапляють під підвищений scrutiny.
Що загрожує порушникам: відхилення при поданні нових версій або видалення з магазину. Не миттєве і масове — а прицільне, після виявлення невідповідності.
Google Play: AI на захисті самого Play
Google пішла дещо іншим шляхом: замість того, щоб обмежувати AI-застосунки, компанія використовує штучний інтелект для захисту самої платформи від шкідливих програм.
1,75М застосунків заблоковано в Google Play у 2025 році
80К акаунтів розробників заблоковано за спроби публікації шкідливих програм
255К застосунків заблоковано за надмірний доступ до чутливих даних користувачів
Згідно з офіційним Google Android App Ecosystem Safety Report (лютий 2026), компанія інтегрувала генеративні AI-моделі в процес перевірки — щоб рецензенти-люди швидше знаходили складні зловмисні патерни. Кожен застосунок проходить понад 10 000 автоматичних перевірок безпеки до публікації, а моніторинг продовжується після неї.
У січні 2025 року Google також оновила Google Play AI Content Policy, запровадивши чіткі вимоги для застосунків, що публікують або використовують AI-генерований контент: обов’язкове маркування AI-виводу, суворіша модерація та посилені вимоги для застосунків, орієнтованих на молоду аудиторію.
Єдиний виняток, де видалення відбулося масово У 2023 році Apple видалила понад 100 AI-застосунків з китайського App Store — на вимогу місцевого регулятора (закони КНР про генеративний ШІ вимагали ліцензій від MIIT). Це рішення Apple прийняла з посиланням на «незаконний контент у Китаї» і не стосується решти світу.
Що буде далі?
Регуляторний тиск на AI-застосунки зростає, але вектор спрямований не на заборону, а на прозорість та відповідальність. Ось головні тенденції:
- Disclosure як новий стандарт. Вже зараз App Store відхиляє застосунки без явної згоди на AI-обробку даних. Це вимога, яка нікуди не дінеться.
- Якість понад кількість. Google прибирає зі Store застосунки з мінімальною функціональністю — сторінки тексту, одиночні шпалери, клони без цінності. ШІ-застосунки, що не пропонують нічого нового, теж під загрозою.
- Регуляторний фактор. Законодавство ЄС (Digital Operational Resilience Act) і США вимагає документованих перевірок безпеки навіть для AI-написаного коду.
- Google інвестує ще більше в AI-перевірку в 2026 році — це офіційно заявлено в їхньому звіті.
Висновок
Вайбкодинг — це не тимчасовий хайп і не просто інструмент для «проєктів на вихідні». Collins Dictionary не дарма назвав його словом 2025 року: цей підхід справді змінює хто, як і з якою швидкістю може створювати програмне забезпечення.
Але зі зростанням доступності приходить і зростання відповідальності. App Store та Google Play не збираються виганяти ШІ-застосунки — вони зобов’язують їх бути чесними з користувачами щодо того, куди йдуть їхні дані, і безпечними в тому, що генерується. Для тих, хто вайбкодить MVP і планує випустити його у світ — це сигнал: швидкість важлива, але security review стає не опцією, а вимогою ринку.
Джерела: Collins English Dictionary · Andrej Karpathy (X/Twitter, Feb 2025) · Apple App Store Review Guidelines (Nov 2025) · Google Android App Ecosystem Safety Report (Feb 2026) · Veracode GenAI Code Security Report 2025 · JetBrains State of Developer Ecosystem 2025 · Google Play Policy Announcement (Apr 2026) · TechCrunch · DOU.ua
