AI‑расширения для VS Code позволяют писать код без согласования с IT‑службой. На первый взгляд – ускорение разработки, но каждый запрос к нейросети может «случайно» отправить ключи, пароли или внутренние API наружу. Традиционные средства мониторинга такие утечки просто не видят, а злоумышленники получают бесплатный канал к конфиденциальной информации.
Отсутствие централизованного аудита плагинов создает слепые зоны в безопасности. Пример из среды 1С‑Битрикс показывает, как AI‑агенты получали доступ к почте, календарю и CRM, сохраняли личные данные сотрудников в локальных JSON‑файлах, которые потом попали в репозитории. В феврале 2026 года инфостилер Vidar использовал такие базы для целевых атак – компании были вынуждены тратить миллионы на исправление уязвимостей и восстановление репутации.
Практические шаги, которые действительно работают: 1️⃣ Централизованный whitelist – в список разрешённых расширений попадают только проверенные плагины после аудита безопасности. 2️⃣ Автоматический сканинг кода на AI‑генерированные фрагменты – выявляем и блокируем подозрительные обращения к внешним сервисам ещё до продакшна. 3️⃣ Обучение разработчиков правилам безопасного использования генеративных инструментов: какие данные нельзя передавать плагинам и как проверять полученный код на уязвимости.
Почему это важно сейчас? Без контроля над VS Code‑плагинами компания рискует утечкой конфиденциальной информации и миллионами расходов на исправление ошибок. Внедрение whitelist и автоматического аудита уже в текущем квартале может сократить потенциальные потери на 20–30 % и сохранить конкурентоспособность продукта.