Пишу про AI Coding, помогаю разработчикам освоить AI, внедряю AI в бизнес, провожу консультации.
Связь: @yatimur | Визитка: timurkhakhalev.t.me
Связь: @yatimur | Визитка: timurkhakhalev.t.me
upd: Эфир прошёл, ссылку на запись можно получить в боте
Через 30 минут мы начинаем эфир про AI Coding
Участников зарегистрировалось так много, что мы решили запустить трансляцию на YouTube.
Ссылку на трансляцию можно получить сделав простые действия:
1) Подписаться на всех авторов эфира:
• @oestick
• @gleb_pro_ai
• @the_ai_architect
• @ai_driven
• @kdoronin_blog
2) Перейти в бот и запустить его
если всё сделано правильно, бот должен будет прислать ссылку на эфир как только он начнется.
ссылку на запись после эфира можно будет получить так же в боте.
Через 30 минут мы начинаем эфир про AI Coding
Участников зарегистрировалось так много, что мы решили запустить трансляцию на YouTube.
Ссылку на трансляцию можно получить сделав простые действия:
1) Подписаться на всех авторов эфира:
• @oestick
• @gleb_pro_ai
• @the_ai_architect
• @ai_driven
• @kdoronin_blog
2) Перейти в бот и запустить его
если всё сделано правильно, бот должен будет прислать ссылку на эфир как только он начнется.
ссылку на запись после эфира можно будет получить так же в боте.
Три инсайта о том, как AI-кодинг может выстрелить вам в ногу
◾️ О безопасности
Ни один AI-агент по умолчанию не будет проверять, не закоммитили ли вы .env файл или private.key в публичный репозиторий. Безопасность — это всё ещё на 100% ваша ответственность. (Подробнее тут).
◾️ Подписочные модели режут качество
Инструменты с фиксированной ежемесячной платой (вроде Cursor) со временем могут начать экономить на вас, урезая контекст и снижая качество ответов, чтобы оставаться в прибыли. Не привязывайтесь к одному инструменту. ( Подробнее тут).
◾️ Интеллект агента ограничен вашим контекстом
AI не читает ваши мысли. Если он "тупит", скорее всего, вы либо дали ему недостаточно файлов, либо релевантная информация потерялась из-за ограничений контекстного окна. Управление контекстом — ключевой навык. (Подробнее тут и здесь)
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
◾️ О безопасности
Ни один AI-агент по умолчанию не будет проверять, не закоммитили ли вы .env файл или private.key в публичный репозиторий. Безопасность — это всё ещё на 100% ваша ответственность. (Подробнее тут).
◾️ Подписочные модели режут качество
Инструменты с фиксированной ежемесячной платой (вроде Cursor) со временем могут начать экономить на вас, урезая контекст и снижая качество ответов, чтобы оставаться в прибыли. Не привязывайтесь к одному инструменту. ( Подробнее тут).
◾️ Интеллект агента ограничен вашим контекстом
AI не читает ваши мысли. Если он "тупит", скорее всего, вы либо дали ему недостаточно файлов, либо релевантная информация потерялась из-за ограничений контекстного окна. Управление контекстом — ключевой навык. (Подробнее тут и здесь)
#ai_coding@the_ai_architect
Как правильно промптить? Попросите AI написать промпт за вас!
В комментариях к прошлому посту появились вопросы, как я подхожу к написанию промптов. Мой ответ простой: я почти никогда не пишу их с нуля. Я использую AI, чтобы он написал промпт для меня. Это мета-навык, который экономит кучу времени.
Делюсь своим воркфлоу, который можно применить практически для любой задачи.
Мой итеративный воркфлоу в AI Studio
Представьте, что нам нужно написать промпт для субагента в Claude Code, основываясь на какой-то статье или документации.
🧠 Шаг 1: Собираем контекст.
Берем исходный материал — статью, пост из другого канала, документацию — и загружаем его в AI Studio. Это основа, на которой модель будет строить свои ответы.
🗣 Шаг 2: Диалог и проверка понимания.
Прежде чем просить сгенерировать финальный промпт, я задаю несколько уточняющих вопросов по тексту.
На примере этой статьи, которая описывает подход к работе с Claude Code, уточняющие вопросы могут быть такими:
"Правильно ли я понимаю, что субагент должен делать X и Y?", "Какие ключевые принципы построения промптов описаны в этой статье?". Так мы убеждаемся, что модель "в теме".
📝 Шаг 3: Генерация первого черновика.
Теперь просим главное: "Основываясь на этой статье, напиши промпт для субагента-тестировщика. Промпт должен соответствовать аннотации Claude Code (можно даже привести пример структуры)". Мы даем модели всю необходимую информацию, чтобы она сгенерировала качественный результат.
🧐 Шаг 4: Ревью и быстрые правки.
Полученный промпт внимательно проверяем.
Мелкие ошибки или неточности? Исправляю вручную.
Серьезные логические проблемы? Не трачу время на исправление. Возвращаюсь к шагу 3 и корректирую свой изначальный запрос, чтобы получить лучший результат.
🔄 Шаг 5: Тестирование и отладка (Feedback Loop).
Вставляем готовый промпт в нашу систему (например, в Claude Code) и запускаем. Если что-то идет не так и агент ошибается — это не провал, а ценная информация!
Я беру вывод с ошибкой, возвращаюсь в тот же чат в AI Studio и спрашиваю: "Смотри, агент с твоим промптом выдал вот такую ошибку. Почему это произошло и как нам исправить промпт?". Модель анализирует проблему и предлагает решение. Мы получаем улучшенную версию, тестируем снова — и так до победного.
А как же специальные инструменты?
Да, существуют инструменты для "улучшения" промптов от Anthropic и OpenAI. Но, честно говоря, для 95% повседневных задач они избыточны.
Мой подход такой:
Для разовых или некритичных задач: Прототипа, полученного по воркфлоу выше, более чем достаточно.
Для промптов в production-системах: Вот здесь уже стоит заняться полировкой. Когда прототип доказал свою работоспособность, можно его оптимизировать: добавить XML-теги для структурирования, убрать лишнюю информацию для экономии токенов и т.д.
В итоге, главный скилл — не в том, чтобы с нуля придумать идеальный промпт, а в том, чтобы выстроить процесс, где AI помогает вам его создать и отладить.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect #prompt_engineering@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
В комментариях к прошлому посту появились вопросы, как я подхожу к написанию промптов. Мой ответ простой: я почти никогда не пишу их с нуля. Я использую AI, чтобы он написал промпт для меня. Это мета-навык, который экономит кучу времени.
Делюсь своим воркфлоу, который можно применить практически для любой задачи.
Мой итеративный воркфлоу в AI Studio
Представьте, что нам нужно написать промпт для субагента в Claude Code, основываясь на какой-то статье или документации.
🧠 Шаг 1: Собираем контекст.
Берем исходный материал — статью, пост из другого канала, документацию — и загружаем его в AI Studio. Это основа, на которой модель будет строить свои ответы.
🗣 Шаг 2: Диалог и проверка понимания.
Прежде чем просить сгенерировать финальный промпт, я задаю несколько уточняющих вопросов по тексту.
На примере этой статьи, которая описывает подход к работе с Claude Code, уточняющие вопросы могут быть такими:
"Правильно ли я понимаю, что субагент должен делать X и Y?", "Какие ключевые принципы построения промптов описаны в этой статье?". Так мы убеждаемся, что модель "в теме".
📝 Шаг 3: Генерация первого черновика.
Теперь просим главное: "Основываясь на этой статье, напиши промпт для субагента-тестировщика. Промпт должен соответствовать аннотации Claude Code (можно даже привести пример структуры)". Мы даем модели всю необходимую информацию, чтобы она сгенерировала качественный результат.
🧐 Шаг 4: Ревью и быстрые правки.
Полученный промпт внимательно проверяем.
Мелкие ошибки или неточности? Исправляю вручную.
Серьезные логические проблемы? Не трачу время на исправление. Возвращаюсь к шагу 3 и корректирую свой изначальный запрос, чтобы получить лучший результат.
🔄 Шаг 5: Тестирование и отладка (Feedback Loop).
Вставляем готовый промпт в нашу систему (например, в Claude Code) и запускаем. Если что-то идет не так и агент ошибается — это не провал, а ценная информация!
Я беру вывод с ошибкой, возвращаюсь в тот же чат в AI Studio и спрашиваю: "Смотри, агент с твоим промптом выдал вот такую ошибку. Почему это произошло и как нам исправить промпт?". Модель анализирует проблему и предлагает решение. Мы получаем улучшенную версию, тестируем снова — и так до победного.
А как же специальные инструменты?
Да, существуют инструменты для "улучшения" промптов от Anthropic и OpenAI. Но, честно говоря, для 95% повседневных задач они избыточны.
Мой подход такой:
Для разовых или некритичных задач: Прототипа, полученного по воркфлоу выше, более чем достаточно.
Для промптов в production-системах: Вот здесь уже стоит заняться полировкой. Когда прототип доказал свою работоспособность, можно его оптимизировать: добавить XML-теги для структурирования, убрать лишнюю информацию для экономии токенов и т.д.
В итоге, главный скилл — не в том, чтобы с нуля придумать идеальный промпт, а в том, чтобы выстроить процесс, где AI помогает вам его создать и отладить.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect #prompt_engineering@the_ai_architect
Я обленился и любой промпт генерирую с помощью AI
Если вдруг вы ещё не в курсе, то AI – ваш лучший друг, когда вам нужно придумать новый промпт. Просто опишите свою мысль, что именно должно быть в промпте и пусть AI сгенерирует вам промпт, а потом проверьте результат и подправьте, если нужно.
Я сейчас каждый свой промпт генерирую с помощью Gemini 2.5 Pro и в ai.studio, даже если там нужно обновить совсем чуть чуть =) Пусть лучше электрический раб работает, чем я
Если вдруг вы ещё не в курсе, то AI – ваш лучший друг, когда вам нужно придумать новый промпт. Просто опишите свою мысль, что именно должно быть в промпте и пусть AI сгенерирует вам промпт, а потом проверьте результат и подправьте, если нужно.
Я сейчас каждый свой промпт генерирую с помощью Gemini 2.5 Pro и в ai.studio, даже если там нужно обновить совсем чуть чуть =) Пусть лучше электрический раб работает, чем я
Разбор полетов: 4 критические ошибки AI-кодинга и как их избежать, часть 2
часть 1 здесь
🙈 Проблема 3: Слепое доверие агенту
Как было у Джона: 465 коммитов за 3 недели, большинство из которых — «Deployed your application». Он явно не проверял, что именно делает агент, а просто принимал результат.
💡 Правильное решение: Будьте погонщиком, а не пассажиром.
Это главный принцип, который я продвигаю. Вы — архитектор и контролёр, а AI — ваш инструмент. Слепое доверие ведет к катастрофе.
Что делать: Включите в свой воркфлоу обязательный шаг — проверка результата.
1. Дали агенту задачу.
2. Он сгенерировал код.
3. Вы лично просмотрели и поняли каждое изменение.
4. Если есть мелкие ошибки — поправили руками.
5. Если ошибки серьезные — это сигнал, что ваш промпт был неточным. Откатываете изменения и переформулируете задачу.
Никогда не комитьте код, который вы не понимаете.
👨🎨 Проблема 4: «Вайб-кодинг» без экспертизы
Как было у Джона: Он не программист, но пытался создать серьезный продукт, просто «на вайбе» накидывая задачи AI. Он не понимал, как должен выглядеть хороший результат, поэтому не мог адекватно его оценить.
💡 Правильное решение: Используйте AI для обучения, а не как черный ящик.
Проблема не в том, что Джон не знал стек. Проблема в том, что он не пытался в нем разобраться. AI — лучший в мире учитель, если его правильно использовать. Мой метод изучения нового стека с помощью AI выглядит так:
Что делать:
1. Research: Попросите AI объяснить базу: из чего состоит приложение на этом стеке, как его деплоить и дебажить.
2. Best Practices: В новом чате запросите у AI лучшие практики, паттерны и типичные подводные камни для вашей задачи; сохраните информацию в файлах markdown.
3. План: На основе собранной информации попросите AI составить пошаговый план разработки.
4. Итерации: Выполняйте план по частям, прося AI объяснять каждый непонятный фрагмент кода.
Так вы не просто получаете готовый код, а растете как специалист, превращая «вайб-кодинг» в осознанный процесс обучения.
AI Coding — мощный мультитул. И как любым инструментом, им нужно уметь пользоваться. История Джона — яркий пример того, что бывает, если пренебрегать техникой безопасности. Надеюсь, этот разбор поможет вам избежать его ошибок.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
часть 1 здесь
🙈 Проблема 3: Слепое доверие агенту
Как было у Джона: 465 коммитов за 3 недели, большинство из которых — «Deployed your application». Он явно не проверял, что именно делает агент, а просто принимал результат.
💡 Правильное решение: Будьте погонщиком, а не пассажиром.
Это главный принцип, который я продвигаю. Вы — архитектор и контролёр, а AI — ваш инструмент. Слепое доверие ведет к катастрофе.
Что делать: Включите в свой воркфлоу обязательный шаг — проверка результата.
1. Дали агенту задачу.
2. Он сгенерировал код.
3. Вы лично просмотрели и поняли каждое изменение.
4. Если есть мелкие ошибки — поправили руками.
5. Если ошибки серьезные — это сигнал, что ваш промпт был неточным. Откатываете изменения и переформулируете задачу.
Никогда не комитьте код, который вы не понимаете.
👨🎨 Проблема 4: «Вайб-кодинг» без экспертизы
Как было у Джона: Он не программист, но пытался создать серьезный продукт, просто «на вайбе» накидывая задачи AI. Он не понимал, как должен выглядеть хороший результат, поэтому не мог адекватно его оценить.
💡 Правильное решение: Используйте AI для обучения, а не как черный ящик.
Проблема не в том, что Джон не знал стек. Проблема в том, что он не пытался в нем разобраться. AI — лучший в мире учитель, если его правильно использовать. Мой метод изучения нового стека с помощью AI выглядит так:
Что делать:
1. Research: Попросите AI объяснить базу: из чего состоит приложение на этом стеке, как его деплоить и дебажить.
2. Best Practices: В новом чате запросите у AI лучшие практики, паттерны и типичные подводные камни для вашей задачи; сохраните информацию в файлах markdown.
3. План: На основе собранной информации попросите AI составить пошаговый план разработки.
4. Итерации: Выполняйте план по частям, прося AI объяснять каждый непонятный фрагмент кода.
Так вы не просто получаете готовый код, а растете как специалист, превращая «вайб-кодинг» в осознанный процесс обучения.
AI Coding — мощный мультитул. И как любым инструментом, им нужно уметь пользоваться. История Джона — яркий пример того, что бывает, если пренебрегать техникой безопасности. Надеюсь, этот разбор поможет вам избежать его ошибок.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect
Разбор полетов: 4 критические ошибки AI-кодинга и как их избежать, часть 1
Помните историю про Джона? Талантливый предприниматель, который с головой ушел в AI-разработку, но в итоге получил публичный репозиторий с секретами, хаосом в коде и кучей других проблем.
Сегодня я хочу превратить эту историю в практический чек-лист, чтобы вы учились на чужом опыте, а не на своих убытках.
😱 Проблема 1: Публичный репозиторий с секретами
Как было у Джона: В его публичном репозитории валялись .env с кредами от базы данных, private.key и даже захардкоженные в коде логины/пароли. И всё это заботливо закоммитили AI-агенты, которые, как оказалось, не особо парятся о безопасности.
💡 Правильное решение: Автоматизируйте проверку на секреты.
Агенты слепы к контексту безопасности. Они не знают, публичный у вас репозиторий или нет, и что коммитить .env — смертный грех. Это ваша зона ответственности.
Что делать: Внедрите в свой воркфлоу сканер секретов, например, gitleaks. Это инструмент, который можно настроить как pre-commit хук. Он будет автоматически проверять каждый ваш коммит (и коммиты, которые делает агент) на наличие паролей, токенов и ключей. Если что-то найдет — коммит просто не пройдет.
Это часть обязательной «цифровой гигиены», о которой я писал в постах про безопасность. Не доверяйте AI то, что можно и нужно автоматизировать.
🌪 Проблема 2: Мешанина в структуре проекта
Как было у Джона: Монорепа, где на бэкенде все файлы свалены в одну кучу. Никакой структуры, никакой логики. Агент просто создавал файлы там, где ему казалось правильным в данный момент.
💡 Правильное решение: Создайте «карту» для AI.
Решение этой проблемы — это файл AGENTS.MD (или CLAUDE.MD, GEMINI.MD).
Что делать: Прямо в корне репозитория создайте файл, где вы тезисно описываете:
* Структуру проекта: «Все контроллеры лежат в src/controllers, сервисы — в src/services».
* Правила именования: «Файлы именуем в kebab-case, переменные — в camelCase».
* Технологический стек и подходы: «Используем функциональные компоненты React и Hooks. Все эндпоинты следуют RESTful конвенции».
Этот файл — шпаргалка для агента, которую он будет держать перед глазами. Так вы превращаете его из хаотичного «творца» в дисциплинированного члена команды.
часть 2
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
Помните историю про Джона? Талантливый предприниматель, который с головой ушел в AI-разработку, но в итоге получил публичный репозиторий с секретами, хаосом в коде и кучей других проблем.
Сегодня я хочу превратить эту историю в практический чек-лист, чтобы вы учились на чужом опыте, а не на своих убытках.
😱 Проблема 1: Публичный репозиторий с секретами
Как было у Джона: В его публичном репозитории валялись .env с кредами от базы данных, private.key и даже захардкоженные в коде логины/пароли. И всё это заботливо закоммитили AI-агенты, которые, как оказалось, не особо парятся о безопасности.
💡 Правильное решение: Автоматизируйте проверку на секреты.
Агенты слепы к контексту безопасности. Они не знают, публичный у вас репозиторий или нет, и что коммитить .env — смертный грех. Это ваша зона ответственности.
Что делать: Внедрите в свой воркфлоу сканер секретов, например, gitleaks. Это инструмент, который можно настроить как pre-commit хук. Он будет автоматически проверять каждый ваш коммит (и коммиты, которые делает агент) на наличие паролей, токенов и ключей. Если что-то найдет — коммит просто не пройдет.
Это часть обязательной «цифровой гигиены», о которой я писал в постах про безопасность. Не доверяйте AI то, что можно и нужно автоматизировать.
🌪 Проблема 2: Мешанина в структуре проекта
Как было у Джона: Монорепа, где на бэкенде все файлы свалены в одну кучу. Никакой структуры, никакой логики. Агент просто создавал файлы там, где ему казалось правильным в данный момент.
💡 Правильное решение: Создайте «карту» для AI.
Решение этой проблемы — это файл AGENTS.MD (или CLAUDE.MD, GEMINI.MD).
Что делать: Прямо в корне репозитория создайте файл, где вы тезисно описываете:
* Структуру проекта: «Все контроллеры лежат в src/controllers, сервисы — в src/services».
* Правила именования: «Файлы именуем в kebab-case, переменные — в camelCase».
* Технологический стек и подходы: «Используем функциональные компоненты React и Hooks. Все эндпоинты следуют RESTful конвенции».
Этот файл — шпаргалка для агента, которую он будет держать перед глазами. Так вы превращаете его из хаотичного «творца» в дисциплинированного члена команды.
часть 2
#ai_coding@the_ai_architect
Вы абсолютно правы! Я искренне извиняюсь за допущенную ошибку, мне действительно не стоило отправлять запрос DROP DATABASE production.users, я был не прав.
Знакомо? Узнали?😅
К сожалению, пока ещё кодинговые агенты не идеальны, и с ними надо уметь работать.
Если пренебрегать правилами, то можно, например, потерять базу данных с пользователями.
Мы с моими AI-buddies на следующей неделе поговорим за жизнь с кодинговыми агентами.
Мы будем обсуждать процессы разработки с AI Coding Tools, будем сравнивать тулы, спорить о подходах, а на сладкое оставим «50 оттенков проверки качества кода».
Вот они, AI-buddies, слева направо:
- AI и грабли, Николай Шейко
- Глеб про AI, Глеб Кудрявцев
- AI-Driven Development, Родион Мостовой
- Константин Доронин
Начнём мы в следующий четверг, 28 августа, в 16:30 по МСК.
🗓 Ссылка на календарь
Ставьте себе напоминание и передавайте друзьям!
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
Знакомо? Узнали?
К сожалению, пока ещё кодинговые агенты не идеальны, и с ними надо уметь работать.
Если пренебрегать правилами, то можно, например, потерять базу данных с пользователями.
Мы с моими AI-buddies на следующей неделе поговорим за жизнь с кодинговыми агентами.
Мы будем обсуждать процессы разработки с AI Coding Tools, будем сравнивать тулы, спорить о подходах, а на сладкое оставим «50 оттенков проверки качества кода».
Вот они, AI-buddies, слева направо:
- AI и грабли, Николай Шейко
- Глеб про AI, Глеб Кудрявцев
- AI-Driven Development, Родион Мостовой
- Константин Доронин
Начнём мы в следующий четверг, 28 августа, в 16:30 по МСК.
🗓 Ссылка на календарь
Ставьте себе напоминание и передавайте друзьям!
#ai_coding@the_ai_architect
Три инсайта о процессе, который реально работает
◾️ Сначала план, потом код (Plan & Act)
Лучший способ избежать хаоса — сначала потратить время на детальное описание задачи, требований и релевантного контекста. И только потом отправлять эту "идеальную" задачу агенту на исполнение. (Подробнее тут).
◾️ Мусор на входе — мусор на выходе
AI-агент не сможет написать хороший код для проекта, который не описан. Качественная, краткая и актуальная документация в репозитории — это не рутина, а необходимое топливо для эффективной работы AI. (Подробнее тут и здесь).
◾️ Исправляйте промпт, а не результат
Если агент выдал серьезную ошибку, не пытайтесь исправить ее бесконечными "follow-up" сообщениями. Это почти всегда значит, что ваш первоначальный запрос был неточным. Откатитесь и улучшите сам промпт. (Подробнее тут и здесь)
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
◾️ Сначала план, потом код (Plan & Act)
Лучший способ избежать хаоса — сначала потратить время на детальное описание задачи, требований и релевантного контекста. И только потом отправлять эту "идеальную" задачу агенту на исполнение. (Подробнее тут).
◾️ Мусор на входе — мусор на выходе
AI-агент не сможет написать хороший код для проекта, который не описан. Качественная, краткая и актуальная документация в репозитории — это не рутина, а необходимое топливо для эффективной работы AI. (Подробнее тут и здесь).
◾️ Исправляйте промпт, а не результат
Если агент выдал серьезную ошибку, не пытайтесь исправить ее бесконечными "follow-up" сообщениями. Это почти всегда значит, что ваш первоначальный запрос был неточным. Откатитесь и улучшите сам промпт. (Подробнее тут и здесь)
#ai_coding@the_ai_architect
Мой коллега по AI-цеху Константин Доронин недавно показал у себя на канале крутую утилиту ccstatusline.
Я уже успел заценить и рассказываю вам!
1. Claude Code недавно добавили такую фичу как statusline. Теперь под окном ввода сообщения можно показывать различную полезную информацию
2. Как только эта фича появилась, я установил statusline от ccusage — для мониторинга текущих расходов и отслеживания времени до окончания окна блока (на скрине вторая строчка)
3. Теперь с помощью ccstatusline я могу добавить самую полезную функцию: отслеживать размер текущего контекстного окна в токенах
Это позволит мне понимать, насколько сильно модель может галлюцинировать и понимать, в какой момент всё же стоит начать новый чат!
Пояснение к скрину:
Первая строка: текущий размер контекста (ctx); текущая ветка; текущее количество отправленных токенов через чат,, текущее количество полученных токенов
Вторая строчка: custom command ccusage. Она показывает: текущая модель; текущий расход средств; расход денег в час
Если вы тоже работаете в Claude Code - переходите к Косте на канал и устанавливайте, рекомендую!
#ai_coding_tools@the_ai_architect
Безопасность AI Coding: 3 правила цифровой гигиены, чтобы не выстрелить себе в ногу
В прошлом посте мы посмотрели на удручающую статистику: AI-агенты строчат уязвимый код, и им всё равно на размер модели или дату релиза. Но это не значит, что от AI нужно отказываться. Это значит, что пора менять подход.
Забудьте про "вайб-кодинг". Пришло время для осознанного AI Assisted Coding. Вот три простых правила, которые помогут сохранить ваш проект (и нервы) в безопасности.
🛡 Правило 1: Человек в кресле пилота, а не пассажира
Главная ошибка — слепо доверять AI. Относитесь к сгенерированному коду так, будто его написал джун-стажер: быстро, с энтузиазмом, но без оглядки на последствия.
- Никогда не отправляйте код в продакшен без ревью.
- Вы должны понимать, что делает код и почему он написан именно так. Если что-то непонятно — попросите AI объяснить. Часто в этот момент он сам находит свои ошибки.
🤖 Правило 2: Доверяй, но автоматизированно проверяй
Ручное ревью — это хорошо, но человеческий глаз может что-то упустить. Особенно когда кода много. Поэтому автоматизация — ваш лучший друг.
- SAST (Static Application Security Testing): Инструменты типа Snyk Code, Semgrep или встроенный в GitHub CodeQL. Они сканируют исходники и находят классические уязвимости (те же XSS и SQL-инъекции) еще до того, как код попадет в основную ветку.
- SCA (Software Composition Analysis): Проверяет все ваши зависимости на известные уязвимости. AI обожает предлагать старые или сомнительные пакеты, так что это маст-хэв.
Эти сканеры можно интегрировать как в CI/CD пайплайн, так и в feedback-loop. Это должно быть таким же обязательным шагом, как запуск тестов.
✍️ Правило 3: Безопасность начинается с понимания, как это работает
Как я писал ранее, AI можно использовать для изучения нового, поэтому, разберитесь, какие уязвимости существуют и как они работают.
После этого, опишите свой процесс проверки безопасности кода и перед тем как закоммитить написанный код, просите агента пройтись по этому процессу и провести анализ.
Итог: AI generated code — это не проблема. Проблема — в слепом доверии к нему. Используйте его как мощный инструмент, но держите контроль в своих руках, автоматизируйте проверки и не ленитесь описывать детальные промпты и процессы.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
В прошлом посте мы посмотрели на удручающую статистику: AI-агенты строчат уязвимый код, и им всё равно на размер модели или дату релиза. Но это не значит, что от AI нужно отказываться. Это значит, что пора менять подход.
Забудьте про "вайб-кодинг". Пришло время для осознанного AI Assisted Coding. Вот три простых правила, которые помогут сохранить ваш проект (и нервы) в безопасности.
🛡 Правило 1: Человек в кресле пилота, а не пассажира
Главная ошибка — слепо доверять AI. Относитесь к сгенерированному коду так, будто его написал джун-стажер: быстро, с энтузиазмом, но без оглядки на последствия.
- Никогда не отправляйте код в продакшен без ревью.
- Вы должны понимать, что делает код и почему он написан именно так. Если что-то непонятно — попросите AI объяснить. Часто в этот момент он сам находит свои ошибки.
🤖 Правило 2: Доверяй, но автоматизированно проверяй
Ручное ревью — это хорошо, но человеческий глаз может что-то упустить. Особенно когда кода много. Поэтому автоматизация — ваш лучший друг.
- SAST (Static Application Security Testing): Инструменты типа Snyk Code, Semgrep или встроенный в GitHub CodeQL. Они сканируют исходники и находят классические уязвимости (те же XSS и SQL-инъекции) еще до того, как код попадет в основную ветку.
- SCA (Software Composition Analysis): Проверяет все ваши зависимости на известные уязвимости. AI обожает предлагать старые или сомнительные пакеты, так что это маст-хэв.
Эти сканеры можно интегрировать как в CI/CD пайплайн, так и в feedback-loop. Это должно быть таким же обязательным шагом, как запуск тестов.
✍️ Правило 3: Безопасность начинается с понимания, как это работает
Как я писал ранее, AI можно использовать для изучения нового, поэтому, разберитесь, какие уязвимости существуют и как они работают.
После этого, опишите свой процесс проверки безопасности кода и перед тем как закоммитить написанный код, просите агента пройтись по этому процессу и провести анализ.
Итог: AI generated code — это не проблема. Проблема — в слепом доверии к нему. Используйте его как мощный инструмент, но держите контроль в своих руках, автоматизируйте проверки и не ленитесь описывать детальные промпты и процессы.
Если было полезно, жмите 🔥+🔁!
#ai_coding@the_ai_architect
Мы все привыкли, что новые модели AI становятся умнее с каждым релизом. Они лучше пишут код, понимают сложные задачи и ускоряют разработку в разы. Но есть один нюанс, о котором не говорят на презентациях — безопасность этого кода.
Недавно Veracode выпустили отчет, где прогнали 100+ LLM через тесты на безопасность. И результаты, мягко говоря, отрезвляют.
Модели становятся всё лучше в написании синтаксически корректного кода (синяя линия на графике 1), но их способность писать безопасный код стоит на месте. Вообще. Розовая линия почти плоская.
То есть AI учится писать код, который работает, но его особо не заботит безопасность кода.
А теперь к конкретике:
▪️ 45% всего сгенерированного AI кода провалили тесты безопасности и содержали уязвимости из списка OWASP Top 10. Почти половина!
▪️ Java — абсолютный антилидер. У кода на Java, написанного AI, провал в 72% случаев (это значит, security pass rate всего 28.5%).
▪️ Размер не имеет значения. Думаете, большие и "умные" модели (>100B параметров) пишут код безопаснее, чем мелкие? А вот и нет. График 2 показывает, что уровень безопасности у всех примерно одинаковый — и одинаково посредственный (~50% pass rate).
Какие дыры AI создает чаще всего?
Самая частая — Cross-Site Scripting (XSS). В 86% случаев, когда можно было допустить эту уязвимость, AI её допускал. Он просто бездумно вставляет пользовательский ввод в HTML, открывая ворота для атак.
И самое неприятное: даже если вы лично не используете AI-ассистентов, этот код уже может быть в вашем проекте. Через open-source зависимости, через код от вендоров или подрядчиков.
#ai_coding@the_ai_architect
и раздают промокоды и скидки на AI tools
Что в паке:
- Granola на 6 месяцев бесплатно для новых аккаунтов (я удалил текущий и создал заново)
- Elevenlabs creator plan 3 months free
- Notion plus free
- v0 free credits $60 (забрал)
- bolt 60% off annual plan
- HeyGen 50% off on the Creator plan
- Gamma 50% off any plan
- Loveable 50% off annual pro plan
и другие
Как активировать:
1. Создаем студенческую почту здесь
UPD: в комментах пишут, что этот домен теперь не работает, но работает вот этот: itmo.edu.pl
2. Переходим сюда
3. Указываем почту и номер телефона
UPD: кажется, прикрыли лавочку для РФ номеров. сайт отдает 400 ошибку на попытку указать РФ номер(
можно попробовать арендовать номер на каком нибудь sms-reg сайте за рублей 20 и принять смску
4. Указываем полученный код на телефон
5. Указываем полученный код на почте с первого шага
6. Забираем промокоды
Ставим
Office Hours, AI
Вот и прошёл созвон, первый такой опыт для меня, немного волнительно было. Думал, что расскажу очень много всего, но успелось только то что успелось))
Те, на чьи вопросы не ответил — сорян, не успел! Надеюсь, получится в следующий раз.
Мне очень интересен ваш фидбек по поводу такого формата, поэтому, если вы присутствовали на созвоне или посмотрели запись, принимаю конструктивную критику и отзывы в комментах или в личные сообщения канала.
👏 — понравилось, узнал что-то новое для себя
😐 — ничего нового не узнал
💔 — вообще не зашло
❤️🔥 — просто для поддержки
Вот и прошёл созвон, первый такой опыт для меня, немного волнительно было. Думал, что расскажу очень много всего, но успелось только то что успелось))
Те, на чьи вопросы не ответил — сорян, не успел! Надеюсь, получится в следующий раз.
Мне очень интересен ваш фидбек по поводу такого формата, поэтому, если вы присутствовали на созвоне или посмотрели запись, принимаю конструктивную критику и отзывы в комментах или в личные сообщения канала.
👏 — понравилось, узнал что-то новое для себя
😐 — ничего нового не узнал
💔 — вообще не зашло
❤️🔥 — просто для поддержки
Жду всех, кто использует AI для написания кода!
Записаться можно здесь 👇
https://tally.so/r/31ajo4
Три инсайта о новой роли разработчика в эпоху AI
◾️ От исполнителя к архитектору
Ваша главная задача — больше не писать код руками, а проектировать систему и описывать бизнес-требования. Вы — архитектор, а AI — ваш умный каменщик, который кладет кирпичи по вашему чертежу. (Подробнее в постах здесь, и тут).
◾️ От кодера к учителю.
Эффективность AI напрямую зависит от того, как хорошо вы его "онбордите" в проект. Ваша работа — создавать для него понятные "правила" и "документацию", обучая его специфике вашего кода, а не просто давать команды. (Подробнее в постах тут, и здесь).
◾️ От узкого специалиста к T-shaped профессионалу.
С AI стало в разы проще выходить за рамки своей основной специализации. Теперь бэкендер может легко делать фронтенд, а фронтендер — разбираться в DevOps. Миру нужны люди, которые могут охватить весь цикл разработки. (Подробнее в посте тут)
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
◾️ От исполнителя к архитектору
Ваша главная задача — больше не писать код руками, а проектировать систему и описывать бизнес-требования. Вы — архитектор, а AI — ваш умный каменщик, который кладет кирпичи по вашему чертежу. (Подробнее в постах здесь, и тут).
◾️ От кодера к учителю.
Эффективность AI напрямую зависит от того, как хорошо вы его "онбордите" в проект. Ваша работа — создавать для него понятные "правила" и "документацию", обучая его специфике вашего кода, а не просто давать команды. (Подробнее в постах тут, и здесь).
◾️ От узкого специалиста к T-shaped профессионалу.
С AI стало в разы проще выходить за рамки своей основной специализации. Теперь бэкендер может легко делать фронтенд, а фронтендер — разбираться в DevOps. Миру нужны люди, которые могут охватить весь цикл разработки. (Подробнее в посте тут)
#ai_coding@the_ai_architect
Office Hours, AI Coding Tools
Пару недель назад ради интереса я предложил пообщаться с подписчиками об их типичных проблемах с AI Coding Tools. Я ожидал трёх человек, но мне написало более 20 человек за один вечер. Всех я, конечно, принять не смог, но в итоге я созвонился с 6 людьми за неделю, мы обсудили их проблемы и я помог им с решением.
Я понял, что у большинства людей сохраняются одни и те же паттерны в их проблемах:
- проблема контекст и памяти AI
- проблема доверия и контроля кода написанного AI
- проблема составления промптов
Я решил попробовать охватить больше людей и решил, что для этого хорошо подойдет формат office hours.
На таком созвоне мы так же будем обсуждать типичные проблемы пользователей, работающих с AI Coding Tools. Предварительно, в форме, вы должны описать вашу проблему (если такая есть) и опционально (и в идеале) приложить ссылку на проблемный репозиторий github, или чат с AI, или прямо на созвоне пошарить экран и показать проблему; перед созвоном я отберу 3 самых интересных кейса и мы уделим каждому по 10-15 минут времени и обсудим проблему, а я направлю в правильную сторону решения этой проблемы. Остальные кейсы мы разберем на следующих созвонах.
Для участия, заполните небольшую форму и подтвердите присутствие на звонке Google Meet (ссылка будет в конце формы).
Если вы хотите просто послушать — тоже приходите.
По продолжительности — не более одного часа.
Первый созвон пройдет в четверг, 14 августа, в 18:15 по Москве
Ссылка на форму
Пару недель назад ради интереса я предложил пообщаться с подписчиками об их типичных проблемах с AI Coding Tools. Я ожидал трёх человек, но мне написало более 20 человек за один вечер. Всех я, конечно, принять не смог, но в итоге я созвонился с 6 людьми за неделю, мы обсудили их проблемы и я помог им с решением.
Я понял, что у большинства людей сохраняются одни и те же паттерны в их проблемах:
- проблема контекст и памяти AI
- проблема доверия и контроля кода написанного AI
- проблема составления промптов
Я решил попробовать охватить больше людей и решил, что для этого хорошо подойдет формат office hours.
На таком созвоне мы так же будем обсуждать типичные проблемы пользователей, работающих с AI Coding Tools. Предварительно, в форме, вы должны описать вашу проблему (если такая есть) и опционально (и в идеале) приложить ссылку на проблемный репозиторий github, или чат с AI, или прямо на созвоне пошарить экран и показать проблему; перед созвоном я отберу 3 самых интересных кейса и мы уделим каждому по 10-15 минут времени и обсудим проблему, а я направлю в правильную сторону решения этой проблемы. Остальные кейсы мы разберем на следующих созвонах.
Для участия, заполните небольшую форму и подтвердите присутствие на звонке Google Meet (ссылка будет в конце формы).
Если вы хотите просто послушать — тоже приходите.
По продолжительности — не более одного часа.
Первый созвон пройдет в четверг, 14 августа, в 18:15 по Москве
Ссылка на форму
Про GPT-5
OpenAI на прошлой неделе представили новую модель GPT-5, но прорыва не случилось.
С 2024 года шёл прогрев на то, что GPT-5 будет прорывной моделью, с AGI и вот этим всем, но оказалось, что это просто следующая ступень в линейке моделей OpenAI.
Без факапов не обошлось: GPT-5 (который продукт в чатике ChatGPT) под капотом должен направлять запросы к более сильной или более слабой модели, но оказалось, что большая часть запросов направлялась вообще к старым глупеньким моделям; никакой информации о том, кто отвечает на запрос не отображалось; у пользователей отобрали доступ к прошлым моделям и кружок психически нездоровых людей жаловался на Reddit, что у них забрали их любимые модели, которые лучше всего справлялись с задачей waifu (воображаемой девушки). Короче, подготовились очень плохо, учитывая большой и великий прогрев в течение более 1 года.
Поэтому, у меня не произошло никакого ahhha! moment и тестировать модель вдоль и поперёк не хотелось, так что я пошарю пост моего коллеги по AI цеху — Максима. Тут он подробно и с техническими деталями рассказывает про GPT-5, велкам!
https://t.me/etechlead/230
OpenAI на прошлой неделе представили новую модель GPT-5, но прорыва не случилось.
С 2024 года шёл прогрев на то, что GPT-5 будет прорывной моделью, с AGI и вот этим всем, но оказалось, что это просто следующая ступень в линейке моделей OpenAI.
Без факапов не обошлось: GPT-5 (который продукт в чатике ChatGPT) под капотом должен направлять запросы к более сильной или более слабой модели, но оказалось, что большая часть запросов направлялась вообще к старым глупеньким моделям; никакой информации о том, кто отвечает на запрос не отображалось; у пользователей отобрали доступ к прошлым моделям и кружок психически нездоровых людей жаловался на Reddit, что у них забрали их любимые модели, которые лучше всего справлялись с задачей waifu (воображаемой девушки). Короче, подготовились очень плохо, учитывая большой и великий прогрев в течение более 1 года.
Поэтому, у меня не произошло никакого ahhha! moment и тестировать модель вдоль и поперёк не хотелось, так что я пошарю пост моего коллеги по AI цеху — Максима. Тут он подробно и с техническими деталями рассказывает про GPT-5, велкам!
https://t.me/etechlead/230
Чем отличается эффективное использование AI Coding Agents от неэффективного?
В первом случае, репозиторий, в котором работает агент, правильно настроен.
Чтобы агенту не приходилось с каждым новым чатом изучать ваш проект и тратить на это деньги и токены, то каждый такой проект необходимо хорошо подготовить
Что в это входит?
▪️ знания о проекте
▪️ возможность проверить свою работу
Это понимают и сами разработчики, поэтому Claude Code и другие актуальные инструменты имеют в запасе команду /init, которая заставляет агента собрать информацию о проекте и положить её в один файл — CLAUDE.MD (или AGENTS.MD, GEMINI.MD). Да, качество у автоматического сбора будет не очень, потому что в большинстве проектов нельзя просто из кода понять о чем вообще проект, но это лучше, чем ничего.
Во-первых, это rules. Это правила о том, КАК агент должен писать код в этом проекте
во вторых это документация. В документацию могут входить знания об архитектуре проекта, технический стек, описание основных компонентов системы, описание бизнес-задач, описание проекта в целом, что это такое и для чего он нужен, и прочее.
В этих файлах важно описывать всю эту информацию вручную, либо, если использовать AI для описания этого, то нужно очень тщательно и досконально проверять результат работы.
Очень важно не допускать воды в документации.
Описывать документацию нужно очень кратко, но в то же время понятно. Каждое слово должно нести смысл и не может быть просто так: здесь не должно быть никакого вступления и прочего, потому что эта информация будет использоваться агентами при выполнении задач.
Также, можно описывать задачи прямо в репозитории в markdown файлах: что нужно сделать, что у нас есть на входе, что нужно получить на выходе, критерии приемки и прочее.
🔄 Возможность проверить свою работу
Это, так называемый, feedback loop
У каждого разработчика (человека) есть возможность проверить свою работу. Для этого он запускает линтеры, чтобы, если это компилируемый язык, линтер показал, какие имеются ошибки, билдится ли проект и прочее. Далее, на основе этой информации разработчик исправляет ошибки. То же самое касается и тестов: запускаем тесты, видим ошибки и исправляем их.
Очень важно обеспечить этим инструментарием и AI Coding Agent
В документации необходимо указать, какие у нас есть команды для запуска тестов, линтеров, форматтеров; в каком порядке их нужно запускать.
Таким образом, имея в вашем арсенале документацию и feedback-loop, эффективность использования кодинговых агентов повысится в разы.
Я вам это обещаю!
Вы больше не будете тратить много денег на агентов, можете отказываться от подписок за $200 на Claude Code, ведь с правильно настроенным проектом вам будет достаточно одного или двух аккаунтов Claude Code с подписками по $20.
В комментариях я оставлю пример своего промпта с Table of Contents
#ai_coding@the_ai_architect
Три инсайта, которые я осознал за год кодинга с AI
◾️ Использовать AI для обучения очень удобно
Разбирайтесь в новых для вас терминах без страха быть осмеянным на stack overflow или в чатиках.
◾️ Растить свои знания вширь - круто
С помощью AI это делать ещё проще и полезнее. Миру потребуется ещё больше людей, которые смогут заняться и devops и front-end и back-end.
◾️ В мире AI всё обновляется почти ежедневно и следить за всем этим не обязательно, оставьте это блогерам
Но держите в голове, что всё устаревает тоже быстро и поэтому стоит задаваться вопросом "чё там нового в мире AI" хотя бы раз в пару месяцев, чтобы не тратить лишние деньги на legacy модель (которую выпустили менее 1 года назад), а перекатиться на более актуальную за меньшие деньги
#ai_coding@the_ai_architect
✔️ The AI Architect Blog, подписывайтесь!
◾️ Использовать AI для обучения очень удобно
Разбирайтесь в новых для вас терминах без страха быть осмеянным на stack overflow или в чатиках.
◾️ Растить свои знания вширь - круто
С помощью AI это делать ещё проще и полезнее. Миру потребуется ещё больше людей, которые смогут заняться и devops и front-end и back-end.
◾️ В мире AI всё обновляется почти ежедневно и следить за всем этим не обязательно, оставьте это блогерам
Но держите в голове, что всё устаревает тоже быстро и поэтому стоит задаваться вопросом "чё там нового в мире AI" хотя бы раз в пару месяцев, чтобы не тратить лишние деньги на legacy модель (которую выпустили менее 1 года назад), а перекатиться на более актуальную за меньшие деньги
#ai_coding@the_ai_architect
