AI píše kód. Odpovědnost ale pořád nese člověk.

Ještě před několika lety znamenalo vytvoření webové aplikace týdny nebo měsíce práce. Dnes stačí otevřít některý z AI nástrojů, popsat požadovanou funkcionalitu a během odpoledne vznikne použitelný prototyp. Právě proto se v posledních měsících rozšířil pojem „vibecoding“, tedy situace, kdy člověk nechá AI generovat většinu kódu a sám se soustředí hlavně na zadávání požadavků a testování výsledku.

Na první pohled to vypadá jako revoluce. A do určité míry skutečně je. Jenže rychlost vytvoření produktu a odpovědnost za produkt jsou dvě zcela odlišné věci. A právě tady se celý problém láme.

Není pochyb o tom, že AI zásadně mění způsob vývoje softwaru. Nástroje jako ChatGPT, Claude, Cursor nebo Windsurf dokážou generovat celé komponenty, API endpointy, databázové modely i testy. To, co dříve zabralo několik dní, dnes vznikne během hodin.

Pro startupy, freelancery i malé firmy je to obrovská příležitost. Náklady na vstup do světa vývoje výrazně klesly a vzniká prostor pro produkty, které by ještě před několika lety dávaly ekonomický smysl jen větším týmům.

Současně ale vznikla i iluze, že když aplikace funguje, je práce hotová. Ve skutečnosti bývá funkční demo teprve začátek. Produkční software musí řešit mnohem více věcí než jen to, zda se zobrazí správná stránka nebo uloží data do databáze. Musí řešit bezpečnost, správu zranitelností, aktualizace, monitoring, auditní stopy a schopnost reagovat na incidenty.

Na papíře to vypadá jednodušeji než v reálném provozu.

Kolem evropských regulací bývá často zbytečně mnoho emocí. V případě Cyber Resilience Actu je ale základní myšlenka poměrně jednoduchá. Pokud uvedete digitální produkt na trh, nesete odpovědnost za jeho kybernetickou bezpečnost. Výrobce nebo dodavatel proto musí řešit bezpečnostní rizika během celého životního cyklu produktu. Nestačí software jednou vytvořit, nasadit a dál se o něj nestarat.

Nejde přitom o zákaz AI ani o snahu brzdit inovace. Regulace pouze připomíná něco, co bylo pravda vždy. Pokud zákazník používá váš produkt a dojde k bezpečnostnímu incidentu, nebude řešit, jestli vám s vývojem pomohl ChatGPT, Claude nebo Cursor. Bude řešit vás.

To je poměrně zásadní rozdíl.

Často se vede debata o tom, zda AI generuje kvalitní kód. Jenže to není nejdůležitější otázka. Mnohem důležitější je, zda člověk rozumí tomu, co nasazuje do produkce.

Představme si jednoduchý scénář. AI doporučí konkrétní open-source knihovnu, vývojář ji bez většího ověření použije a aplikace bez problémů funguje. Zákazník je spokojený, projekt se považuje za dokončený a všichni jdou dál. O několik měsíců později se ale objeví kritická zranitelnost, která umožní útočníkům získat přístup k datům.

V tu chvíli nikoho nebude zajímat, že knihovnu doporučil jazykový model. Odpovědnost zůstává na dodavateli produktu. Stejný princip platí pro autentizaci, databázové dotazy, Docker konfigurace nebo cloudovou infrastrukturu. Problém tedy není samotná technologie, ale způsob jejího nasazení.

AI může udělat vývoj rychlejší. Nedokáže ale převzít odpovědnost za rozhodnutí, která udělal člověk.

V posledních dvou letech se opakovaně objevují předpovědi, že AI nahradí programátory. Realita může být mnohem zajímavější. AI pravděpodobně výrazně sníží množství času potřebného k samotnému psaní kódu, současně ale poroste význam lidí, kteří dokážou rozhodovat o architektuře, bezpečnosti a provozu.

Jinými slovy: méně času se bude trávit implementací a více času řízením rizik. Firmy totiž nepotřebují pouze software, který funguje dnes. Potřebují software, který bude bezpečně fungovat i za rok, za dva nebo za pět let.

A právě tam začíná být důležitá zkušenost. Ne s promptováním, ale s odpovědností.

Možná největší omyl současné debaty spočívá v tom, že lidé zaměňují automatizaci za přenesení odpovědnosti. AI totiž odpovědnost nesnižuje. Pouze zvyšuje rychlost, s jakou lze něco vytvořit.

To platí jak pro kvalitní produkt, tak pro budoucí problém. Stejný nástroj, který dnes umožní vytvořit aplikaci za víkend, může během stejného víkendu vytvořit i bezpečnostní dluh, který se projeví až za několik měsíců nebo let.

Právě proto začínají být stále důležitější témata jako governance, audit, dokumentace, monitoring nebo řízení zranitelností. Nejsou tak atraktivní jako ukázky nových AI nástrojů, ale právě na nich bude stát dlouhodobá udržitelnost většiny AI projektů.

Cyber Resilience Act pravděpodobně nezabije vibecoding. Zabíjí ale jednu nebezpečnou představu: že lze vytvořit komerční software bez pochopení toho, co se pod jeho kapotou skutečně děje.

AI je bezpochyby největší produktivní nástroj, který vývojáři za poslední roky dostali do rukou. Současně ale připomíná starou pravdu. Čím jednodušší je něco vytvořit, tím důležitější je vědět, za co nesete odpovědnost.

Rozdíl mezi úspěšnými a neúspěšnými projekty proto možná nebude v tom, kdo používá lepší AI model. Rozhodovat bude spíše to, kdo dokáže rychlost AI spojit s odpovědností, bezpečností a dlouhodobě udržitelným provozem.