Comments 10
А потом придет CISO и скажет - теперь с вас 200% к расходам на проверку вашего AI который надо валидировать на соответствия отраслевым нормам, правилам и законам.
Так и будет, и это, кстати, ровно та же болезнь, просто с другого бока.
CISO добавит свой слой проверок — и сделает это абсолютно правильно, AI и впрямь надо валидировать на соответствие. Но смотрите, что произойдёт дальше: эти 200% к расходам тоже осядут в дашборде как «затраты на безопасность AI» — и точно так же никто не свяжет их с результатом. Просто к строке «потратили на внедрение» добавится строка «потратили на проверку внедрения», а столбик «что получили» как был пустым, так и останется.
Получается двойной театр: одни играют в adoption, другие — в compliance, и оба показывают зелёные галочки. А вопрос финдиректора от этого только злее: теперь вы потратили вдвое — и что?
Поэтому я и гну линию про стоимость на результат. Она единственная переживает и CISO, и CFO одновременно: если AI-сценарий не окупается даже без затрат на комплаенс — его надо резать, а не валидировать. Дешевле перестать делать ненужное, чем сертифицировать его на соответствие.
этот ваш кисо должен отправить юристов к фирме, предоставляющий инференс, и всё, пачка подписанных бумажек решает юридические вопросы.
Если финдир спросит «что нам дал AI за прошлый квартал»
Простите, а что нам дал финдир за прошлый квартал? Сократилось ли время доставки изменения, которое видит клиент? Упала ли стоимость инцидентов? Выкатили ли роадмап тем же составом? Ну вот то-то же. Пусть задает такие вопросы своему AI ассистенту.
Если ваш финдир увидит такой коммент он реально сократит время доставки, вашей зарплаты, причем может даже оптимизировать и исключить должность сотрудника который не понимает кто и за что в компании отвечает и какие несет обязаности.
У нас узкое место переехало в ревью пулл реквестов за ai, это стало съедать огромное количество времени и иногда уходить в цикл правок
соответственно следующий логичный виток это перенос существенной доли рутины ревью в AI? И что мешает уже сейчас начать иcпользовать отдельный AI для Ревью и проверок Соответствия?
Возможно что у половины организаций использующих AI для кодинга до половины потока срежется на этом - как минимум так получается если судить по статьям про тех кто уткнулся в кодинг от AI и научился с этим жить.....
Направление вы поймали верно — отдельный AI на ревью и комплаенс это уже не гипотеза, инструменты есть, и народ катит их в прод прямо сейчас. Вопрос только в том, какую именно половину ревью он срезает.
Потому что в ревью две разные работы, которые мы по привычке зовём одним словом. Первая — дешёвая и механическая: стиль, очевидные баги, забытые тесты, «соответствует ли правилу». Вот её AI снимает отлично, и слава богу — её и раньше наполовину делали линтеры и статика. Вторая — дорогая: имеет ли этот кусок смысл в этой системе, ляжет ли в архитектуру, не рванёт ли через полгода, и понимает ли вообще автор, что он только что выкатил. Это не поиск дефектов, это перенос контекста и общая ответственность за код. Вот она с места не двигается.
И тут ловушка ровно из той же оперы, что в статье. AI пишет код, другой AI ревьюит его на соответствие, оба рисуют зелёные галочки. Снаружи — два контроля, по факту — двойной театр: один играет в adoption, второй в комплаенс, а вопрос «а оно нам вообще нужно в таком виде и в таком объёме» не задаёт никто. Галочка от человека и галочка от AI на дашборде выглядят одинаково — поэтому так соблазнительно отдать машине не дешёвую половину, а дорогую. Дёшево же, и красиво.
Про «срежется половина потока» я бы поосторожничал. Статьи про тех, кто «уткнулся и научился жить», — это обычно те, кто выжил и рассказал; кто утонул в объёме AI-кода, статей не пишет. На практике AI не столько сокращает ревью, сколько переносит его: перестаёшь вычитывать синтаксис и начинаешь ловить, где модель сорок раз скопировала тонко неправильный паттерн или придумала несуществующий метод. А объём, который тот же AI и генерит, легко съедает всё, что AI-ревью сэкономил.
Так что да, рутину отдавать правильно. Главное — отдавать именно рутину, а не то, что под неё маскируется. И мерить не «сколько галочек закрыли», а пережил ли релиз контакт с продом.
Тут вопрос правильности использования, а не применимости инструмента когда ты понимаешь его ограничения и знаешь что он имеет особенности его вполне можно использовать - но использовать надо именно что правильно!
я бы еще сказал так - Целепологание всегда были проблемой в головах менеджеров - потому что они не понимают технической части - теперь хотя бы можно попросить нейросеть сделать текстовое описание и логическую блок схему кода с указанием того что именно в этом коде и куда движется понятным языком....
а еще вопрос корректной формализации норм и требований - нейросеть достаточно умная и тупая чтобы найти большинство дыр в том же Compliance.
Так что наверное надо сначала построить саму Схему Ревью кода потом уже разбираться с тем где и какие инструменты применимы в ней и вполне может статься что тут надо сделать несколько уровней/конвейером с агрегацией данных и подготовкой отчета через несколько разных нейросетей....
Зелёный дашборд adoption — не отчёт. Разговор про AI, к которому ваш финдиректор готов лучше вас