Вайб-кодинг закрепился как мейнстрим: Collins назвал термин словом 2025 года; 80% российских разработчиков уже попробовали подход, а 25% стартапов Y Combinator имеют кодовую базу, на 95% сгенерированную ИИ. Однако скорость и низкий порог входа соседствуют с рисками: по данным NYU Tandon, 40% кода Copilot содержит уязвимости, Veracode фиксирует 45% попаданий из OWASP Top-10, Wiz — серьёзные проблемы в 20% приложений. Практика показывает типовые сбои: SQL-инъекции, XSS, работа с устаревшими API, регрессии при итеративных правках, «усталость» модели и архитектурная слепота (всё в одном файле).

Эксперты (Артём Потёмин, ICT.Moscow) подчёркивают: ИИ — инструмент, а не замена компетенциям; продуктивность x2–x3 достигается только у профессионалов, которые формулируют требования, проверяют архитектуру и пишут тесты. Правильные области применения: прототипирование/MVP, boilerplate, тесты, изучение библиотек, рефакторинг под покрытием. Запрещённые зоны без ревью и тестов: критичная логика, ПДн, сложные алгоритмы и системы с повышенными требованиями к безопасности.

• Ключевые цифры: 80% (adoption в РФ), 25% YC / 95% AI-кода, 40%/45%/20% по уязвимостям (NYU/Veracode/Wiz).
• Антипаттерны: инъекции, XSS, устаревшие API, потеря правок, монолитный файл.
• Чек-лист профи: понимание кода, тесты, security-проверки, соответствие архитектуре, граничные случаи, читабельность.