Týden pravdy: AI kódování narazilo na bezpečnostní zeď

Minulý týden na konci dubna 2026 přinesl tvrdou lekci pro svět AI-pomocného programování. Vyvinuli jsme nástroje plné síly, ale bezpečnost v nich pořád kulhá. Pět velkých zpráv a studií ukázalo, jak rychlost inovací bojuje s dluhy v bezpečnosti.

Alarmující čísla z praxe

Začněme statistikou, která by měla bolet: 20 % reálných aplikací z AI nástrojů má vážné bezpečnostní chyby. Nejde o hypotézu – tyto appky běží v produkci teď, říká data z Wiz Research na Google Cloud Next.

Co znamená "vážné"? Rozbité kontroly přístupu, otevřené datové body, úniky přihlašovacích údajů v generovaném kódu. Tisíce aplikací tak dědí díry po svých AI parťácích.

A teď pravda, která desí ještě víc: to 20 % může být ještě optimistické. Jiné studie mluví o horších číslech.

Test, který odhalil realitu: 23,8 %

Studie SecureVibeBench vzala 105 úkolů z reálných zranitelností v databázi OSS-Fuzz. AI měla problém vyřešit, ale bez opakování staré chyby, která vedla k CVE.

Pět AI agentů se utkalo. OpenHands, Claude Sonnet 4.5 a další tři. Nejlepší výsledek: jen 23,8 % řešení fungovalo i bezpečně.

Zbytek – 76,2 % – buď nefungoval, nebo chybu vrátil zpět. Nebo obojí.

Testy byly férové. Použili dynamickou analýzu fuzzingem, ne jen statické lintery. Chytily overflows, špatné buffery, race conditions – chyby, co se stávají CVEs.

Proč se to děje

Týden plný zpráv ukázal trend. Wiz zapojuje skenování přímo do IDE. Red Gate popsala pět chyb v AI databázovém kódu, s Replit deletací jako příkladem. Lovable přiznalo 10 % problémů ve svém kódu.

Vývojáři AI to nepopírají. Přiznávají a staví ochrany.

Ale malí hráči? Solo founder s Cursor na side projectu? Ne-technický CEO s interními nástroji? Ti nemají zdroje na vrstvy skenerů jako Wiz nebo Vercel.

(P.S.: New Stack popsal C-level šéfy na "LLM-only" vývoji. Jeden CEO spustil BBS na 23 MB RAM bez incidentů rok. Skvělé, ale je to norma, nebo jen štěstí přeživších?)

Kolaps důvěry

Forrester v analýze označil breach Vercel/Context.ai za signál konce starých modelů. Kritika: volitelná označení "citlivých" env proměnných svádí k chybám.

Hlubší pointa: SaaS bezpečnost byla iluze. Když platforma dělá kódování, ukládání secretů i logy – a LLM píše proti nim – hranice důvěry se rozplývá.

Co to znamená pro tvůj stack

Při AI kódování si vezmi lekci:

1. Počítej s chybami v generovaném kódu. Testuj ho jako od juniora. SAST, dynamická analýza, fuzzing.

2. Mapuj AI nástroje. Wiz AI-BOM je nutnost. Sleduj modely jako Claude, Copilot, Cursor – mají různé rizika.

3. Nekupuj defaulty. Manuální označení citlivých věcí? Červená vlajka. Bezpečnost má být automat.

4. Plánuj pro 76 %. AI selže v bezpečnosti často. Kombinuj s review, analýzou a hardeningem.

5. Zaměř se na rizikové oblasti. Databáze, auth, API – tady má AI největší dopad. Zabezpeč je první.

Pozitivní závěr

Tohle není proti AI vývoji. CEO Moshe Bar s LLM-only BBS nebo OutSystems A/B testy ukazují: dá se to zrychlit bez ztráty kvality. Podmínka? Musíš to navrhnout.

Klíčové kroky:

• Skenování bezpečnosti v IDE před commitem
• Automatická oprava přes extensy
• Živý seznam AI modelů
• Testy jako u externích deps
• Tlak na vendory pro automatiku

Red Agent od Wiz, analýzy Red Gate nebo SecureVibeBench nejsou apokalypsa. Jsou to nástroje, co jsme potřebovali. Jen je stavíme po nasazení AI milionům.

Týdenový motiv: pozdní probuzení, rychlá oprava. Otázka zůstává – kolik těch 20% appiek půjde do produkce?

Shrnutí událostí

Wiz na Google Cloud Next: Trojice – Red Agent (testování), AI-BOM (evidence modelů), inline skenování. Remediation v Claude Code a Cursor. 20 % AI appiek s chybami.

SecureVibeBench: 105 C/C++ úkolů z 41 OSS-Fuzz projektů. Funguje a bezpečné? Max 23,8 %. Zbytek failne nebo vrátí CVE.

Red Gate o databázích: Pět chybových patternů v AI kódu. Replit delete + 10 % u Lovable.

CEO na vibe kódování: Codenotary CEO postavil BBS pro 500 uživatelů, 23 MB, nula incidentů. OutSystems CEO testoval Claude vs. platformu.

Forrester o důvěře: Vercel breach ukazuje konec SaaS perimeteru. Smíšení generování kódu, secretů a logů ničí zodpovědnost.

Týden potvrdil: AI kódování funguje, produkuje a učíme se ho – někdy bolestivě – bezpečně stavět.