ИИ-инструменты — Cursor, Copilot, Lovable, v0 — стремительно меняют способ создания сайтов. Но у этого есть оборотная сторона: ИИ-сгенерированный код часто содержит проблемы безопасности, которые разработчик просто не замечает.
Мы проверили 20 публичных сайтов, созданных с помощью AI-инструментов. Вот что нашли:
Утечки ключей API (35% сайтов)
Самая частая проблема — ключи Stripe, OpenAI, SendGrid прямо в JavaScript-бандле. ИИ генерирует код с хардкодом переменных окружения, и разработчик не всегда понимает, что эти значения уйдут в публичный JS.
Открытые debug-эндпоинты (20% сайтов)
Маршруты /api/debug, /api/test, /_debug с полными данными запросов — обычная практика при разработке, которую ИИ не убирает автоматически перед запуском.
Отсутствие CSP и HSTS (70% сайтов)
Заголовки безопасности не настраиваются по умолчанию в большинстве AI-генераторов.
Как проверить свой сайт
Запустите аудит Tiker — мы проверяем все эти проблемы автоматически с помощью Gitleaks и анализа HTTP-заголовков.