Содержание

В феврале 2025 года сооснователь OpenAI и бывший руководитель ИИ в Tesla Andrej Karpathy опубликовал в X одну фразу, которая разнесла по миру новый термин: vibe coding.

"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."

Год спустя, в 2026 году, термин оказался в центре поляризованной дискуссии. Сам Карпатый предложил его переименовать, в корпоративном сегменте растёт число инцидентов безопасности, и при этом для инди-разработчиков, стартапов и внутренних инструментов он закрепился как стандартный стиль программирования. В этой статье мы разбираем определение и актуальные споры с опорой на официальные источники и отраслевые данные.

СПЕКТР СТИЛЕЙ КОДИНГА · 2026

Vibe coding = «доверяем ИИ, не читая код»

— между традиционным кодингом и agentic engineering

ТРАДИЦИОННЫЙ
Ручной код
Люди проектируют, пишут и проверяют. ИИ — помощник.
VIBE CODING
Плыви по течению
Промпт → ИИ генерирует → запускается → дальше. Код не читается.
AGENTIC ENG.
Дизайн + ИИ-исполнение
Человек проектирует ограничения, ИИ ускоряет реализацию.

Vibe coding непобедим для одноразовых прототипов.
Если выкатываете в продакшен — двигайтесь к концу спектра agentic engineering.

1. Что такое vibe coding?

Vibe coding — стиль программирования, построенный на том, чтобы обсуждать, что должен делать код, а не писать или читать сам код. Вы описываете желаемое ИИ (Claude, GPT, Cursor Composer и т. д.) на естественном языке, запускаете и просите править, не читая сгенерированный код.

В основе три идеи:

  • Отпустить привязанность к коду: убрать ощущение собственности над «кодом, который я написал».
  • Если работает — хорошо: как только заработало, понимание внутренностей приходит позже — или никогда.
  • Управление через диалог: при багах или ошибках просто говорите ИИ «исправь». Достаточно вставить стектрейс.

Типичный пример: инди-разработчик вводит «собери игру Тетрис на Pygame» → Claude возвращает 500 строк кода → запускает → шарик не падает, говорит «блоки не вращаются» → получает исправленную версию. Сделано без единой строки, написанной самостоятельно.

2. Карпатый придумал термин — и через год предложил переименовать

Фразу «vibe coding» придумал Andrej Karpathy в X (бывший Twitter) в феврале 2025. Он использовал её, описывая опыт связки Cursor Composer (тогда работал на Sonnet) и SuperWhisper (голосовой ввод) для сборки приложений почти полностью голосом.

Что произошло за следующий год:

  • Август 2025: ведущие LLM преодолели 60% на SWE-bench, и vibe coding стал ощущаться реальным.
  • Декабрь 2025: Карпатый рассказал о резком переломе в собственном рабочем процессе — в ноябре 80% писал руками, в декабре 80% генерировал ИИ.
  • Февраль 2026: Карпатый предложил отказаться от названия «vibe coding» и заменить его на «agentic engineering». Различие: vibe = говоришь, чего хочешь, и принимаешь то, что вернётся; agentic engineering = проектируешь систему, задаёшь ограничения и используешь ИИ для ускорения реализации, которую уже продумал.

Так что vibe coding в странном положении — термин, который популяризировал концепцию, но автор больше его не рекомендует. Рынок всё равно его использует, потому что никакое другое слово не передаёт тот же оттенок «непринуждённости» и «свободы от чтения кода».

3. Типичный рабочий процесс

Хватит абстракций — вот цикл, который реально гоняют люди.

VIBE LOOP

Опиши → Сгенерируй → Запусти → Ответь

1
ОПИШИ — скажи это
«Сделай Тетрис.» «Добавь экран входа.» «Исправь этот баг.» Простые пожелания на естественном языке — без техзадания.
2
СГЕНЕРИРУЙ — ИИ пишет
Cursor, Claude Code, Lovable и т. д. создают или правят несколько файлов. Вы просто прокручиваете код.
3
ЗАПУСТИ — попробуй
Запускаете. Открываете в браузере. Прогоняете тесты. Работает — отлично. Нет — переходите к следующему шагу.
4
ОТВЕТЬ — обратная связь
Вставьте ошибку дословно. Скажите «сделай красным» или «сделай быстрее» — естественный язык подойдёт. Возврат к шагу 1.

Этот 4-шаговый цикл прогоняется десятки и сотни раз, чтобы собрать одну функцию.
Это совсем другой зверь, нежели традиционный линейный поток «дизайн → реализация → тест».

4. Ведущие инструменты

По состоянию на май 2026, ниже инструменты, в которых стиль vibe coding работает особенно хорошо.

ИнструментПоставщикСильные стороныТипичное применение
Claude CodeAnthropicДолгие автономные задачи, интеграция MCP, режим «расскажи и потом пиши» помогает реально понимать кодБольшие изменения в существующих репо, проекты с нуля
Cursor ComposerCursorИнтеграция с IDE, мульти-файловое редактирование, взлетел в популярности благодаря КарпатомуИнди-разработка, MVP стартапов
Codex CLIOpenAIИнтегрирован GPT-5.5, силён в автоматизации терминалаCLI-инструменты, скрипты, ops-автоматизация
LovableНезависимый стартапСпециальный UI «уговори приложение в существование», сам же деплоитПрототипы SaaS для не-инженеров
v0VercelСпециализация на UI-компонентах, гладкий путь от генерации до деплояЛендинги, чисто фронтенд-задачи
Bolt.newStackBlitzПолностью работает в браузере, генерирует full-stack веб-приложения из шаблонаОбучение, демо, внутренние инструменты
DevinCognitionАвтономный агент. Даёшь ему тикет — выдаёт PRСлот «дополнительного инженера» в команде

Если вы не-инженер и используете это для обучения или прототипов, смотрите на Lovable, v0 и Bolt.new. Если вы профессиональный инженер, работающий с существующим кодом, текущие фавориты — Claude Code, Cursor и Codex CLI.

5. Тёмная сторона — реальность безопасности и качества

«Vibe coding кайфовый. Выкатить его в продакшен — другая история». Этот разрыв стало невозможно игнорировать в 2026 году, и независимые цифры безжалостны.

ДАННЫЕ О БЕЗОПАСНОСТИ И КАЧЕСТВЕ · 2026

Тёмная сторона vibe coding в цифрах

— «весело» не значит «безопасно»

Всплеск CVE
Март 2026: 35 CVE (производных от vibe coding)
против января 2026: примерно ×6
Georgia Tech Vibe Security Radar
Доля уязвимостей
40–62% сгенерированного ИИ кода содержит уязвимость
Медиана отраслевых опросов
Обнаружение SSRF
Среди 5 ведущих ИИ-агентов кодинга
100% внесли один и тот же тип SSRF-уязвимости
Tenzai, декабрьское исследование
Доля серьёзных проблем
Код в соавторстве с ИИ: ×1,7 от человеческой нормы
Уязвимости безопасности: ×2,74
CodeRabbit, анализ 470 PR
Утечка секретов
3,2% ИИ-коммитов раскрывают API-ключи и пр.
Человеческие коммиты: 1,5% — примерно ×2
CSA 2026
Обнаружение XSS
В образцах кода от 5 ведущих LLM
86% содержали XSS-уязвимость
Georgetown CSET

Escape.tech просканировал 5 600 публично развёрнутых vibe-кодед приложений и нашёл 2 000 критических уязвимостей, 400 раскрытых API-ключей и 175 утечек PII (медицинские и платёжные данные). «Работает» и «безопасно» — не одно и то же.

Это не история «ИИ — это плохо», а структурная проблема стиля разработки, который проталкивает непрочитанный код в продакшен. Тот же ИИ в руках людей, добавляющих ревью и верификацию, демонстрирует радикально более низкий уровень инцидентов.

6. Vibe против agentic engineering

Предложение Карпатого о переименовании в 2026 году стоит понять — оно проясняет операционный выбор, который вам предстоит сделать.

ИзмерениеVibe CodingAgentic Engineering
Стартовая точка«Хочу собрать вот это»«Вот как я хочу это спроектировать»
ОграниченияНеявные, оставлены на интерпретацию ИИЯвные, сообщённые ИИ
Понимание кодаНе требуется — достаточно подтвердить результатТребуется — ИИ выступает ускорителем
РевьюТолько «запускается ли?»Diff'ы, проектные решения, безопасность
Где уместноЛичные эксперименты, обучение, одноразовый кодПродакшен-системы, долгая эксплуатация, общие активы
Режим отказаИнциденты безопасности, неподдерживаемый кодЗамедление темпа, попадание в «коробку» ИИ
Кто главныйИИЧеловек (ИИ — усилитель)

Можно использовать одни и те же инструменты (Claude Code, Cursor) и превратить их в vibe coding или agentic engineering в зависимости от своей позиции. Важно осознанно понимать «в каком режиме я сейчас?» и переключаться намеренно.

7. "Vibe & Verify" — правила применения на практике

Лучшая практика, стандартизирующаяся в 2026 году, — это "Vibe & Verify": сохраняем лёгкость доверия письма к ИИ, но всегда вставляем верификацию на выходе.

(1) Переключайте режимы по уровню риска

  • Низкий риск (личные инструменты, обучение, скрипты): полный vibe вполне ок.
  • Средний риск (внутренние инструменты, MVP, одноразовые прототипы): vibe + smoke-тест + быстрый скан безопасности.
  • Высокий риск (продакшен, данные клиентов, всё публичное): режим agentic engineering обязателен. Даже если писали в vibe-режиме, не пушьте без человеческого ревью + автоматических сканов безопасности + добавленных тестов.

(2) Три вещи, которые всегда делать с ИИ-сгенерированным кодом

  1. Смотрите diff: пропускать каждую строку — норма для одноразового кода. Для общего кода хотя бы пробегитесь глазами по diff'у.
  2. Запустите security-линтер: semgrep, bandit, truffleHog и пр. Механические проверки на секреты, SSRF и XSS — не подлежат обсуждению.
  3. Заставьте ИИ написать тесты: всегда добавляйте «теперь напиши тесты» тому же ИИ. Код без тестов даже не считается vibe coding'ом.

(3) Не теряйте навык чтения кода

Слишком привыкнете к vibe coding — и в момент, когда ИИ ошибётся, или в момент, когда придётся подхватывать чужой код, вы обнаружите, что не можете его прочитать. Сам Карпатый неоднократно подчёркивал важность способности понимать сгенерированный ИИ код на уровне деталей. Даже вайбя, вырабатывайте привычку периодически останавливаться и реально читать код; в долгосрочной перспективе именно там формируется реальный разрыв в навыках.

(4) Не вайбьте свои секреты

API-ключи, пароли БД, токены доступа в продакшен — никогда не отдавайте их ИИ и не позволяйте записывать их в код. Дисциплина .env + .gitignore + переменных окружения не подлежит обсуждению, vibe или нет. Те 400 раскрытых ключей, что нашёл Escape.tech, — это ровно случаи, когда эта базовая гигиена ломалась.

8. Кому, на чём и насколько глубоко стоит вайб-кодить

ПрофильГде уместен vibe codingНа что обратить внимание
Не-инженеры (PM, дизайнеры, основатели)Прототипы, внутренние инструменты, скрипты автоматизацииВсё, что касается реальных данных клиентов, — привлекайте инженера
Junior-инженеры (0–2 года)Обучение, личные проекты, рабочие помощникиСлишком много вайба — фундаментальные навыки не разовьются. Выделяйте намеренное время «читать код»
Mid-level инженерыУскорение рутины, генерация документации, добавление тестовДля продакшен-рефакторингов склоняйтесь к agentic engineering
Senior-инженерыСпарринг-партнёр для проектирования спецификаций, быстрые мульти-вариантные прототипы, чтение легаси-кодаРеальная ценность — использовать vibe как ускоритель мышления
Security / SREOps-инструменты, мониторинг-скрипты, дашбордыВсё, что касается продакшена, требует строгого Vibe & Verify

Резюме

  • Vibe coding — стиль «доверяем ИИ, не читая код», предложенный Карпатым в феврале 2025.
  • Сам Карпатый затем предложил переименовать его в «agentic engineering» в 2026 — для продакшен-работы нужны дизайн, ограничения и человеческое суждение.
  • Основные инструменты: Claude Code, Cursor Composer, Codex CLI, Lovable, v0, Bolt.new, Devin.
  • Реальность безопасности: 40–62% ИИ-кода содержит уязвимости, SSRF был обнаружен у всех 5 ведущих агентов, число CVE выросло в 6 раз за три месяца.
  • Vibe & Verify: переключайте режим по уровню риска, смотрите diff'ы, запускайте сканы безопасности, заставляйте ИИ писать тесты, никогда не вайбьте свои секреты.
  • Не теряйте «способность читать код» — чем больше вайбите, тем больше периодические остановки для понимания происходящего становятся долгосрочным дифференциатором навыков.

FAQ

Q1. Если Карпатый переименовал, то «vibe coding» уже мёртвый термин?

Он по-прежнему широко используется на рынке, потому что нет другой фразы, передающей оттенок «непринуждённо доверь ИИ». Прагматичный ход — относиться к ним как к взаимодополняющим: «режим непринуждённого исследования = vibe coding», «продакшен-режим = agentic engineering».

Q2. Нормально ли новичку начинать с vibe coding?

Да — но читайте и код тоже. Если только вайбить, не на что будет опереться, когда ИИ ошибётся. Реалистичный путь — использовать радость от «у меня есть рабочий код» как мотивацию вначале, затем постепенно увеличивать долю времени, которое вы тратите на реальное понимание кода.

Q3. Как продать vibe coding начальнику на работе?

Принесите три вещи: (1) операционные правила Vibe & Verify, (2) сканирование безопасности, встроенное в CI, и (3) код-ревью остаются такими же строгими, как раньше. Когда сможете чётко сказать «мы повышаем скорость, не снижая планки», большинство организаций согласится.

Q4. Чем vibe coding отличается от старого «AI-assisted coding» (Copilot и т. д.)?

Разница в том, кто за рулём. Copilot — модель «парного программирования»: человек пишет код, а ИИ дополняет. Vibe coding делает ИИ главным, а человек только разговаривает и подтверждает. Граница размытая, и на практике многие разработчики перемещаются между двумя режимами.

Q5. С какого инструмента начать?

Для инди-разработки или обучения попробуйте Lovable, Bolt.new или v0 (только в браузере, ничего ставить не нужно). Для серьёзной разработки ПО попробуйте Claude Code или Cursor — Claude Code — это CLI, Cursor интегрирован с IDE, выбирайте по вкусу. Выбор Карпатого — Cursor Composer.

Q6. Что насчёт авторских прав на ИИ-написанный код?

На май 2026, базовая позиция и в США, и в Японии: код, сгенерированный исключительно ИИ, не охраняется авторским правом. Код, который человек существенно модифицировал или курировал, может стать охраняемым. Больший коммерческий риск — лицензионное загрязнение: ИИ заново выдаёт GPL или другой лицензированный код в вашу кодовую базу — поэтому добавьте проверку лицензий в CI.

Q7. «Заберёт ли vibe coding работу у инженеров»?

Рыночная ставка для «инженеров, которые только пишут код» движется вниз. С другой стороны, ценность проектирования спецификаций, архитектурных решений, безопасности и продакшен-эксплуатации, наоборот, выросла именно из-за распространения vibe coding. Люди, которые умеют «читать, судить и чинить» большой объём ИИ-кода, в дефиците по состоянию на 2026 год.