Guided Prompt для проверки безопасности кода: структура важнее общего запроса

LLM пропускают половину уязвимостей при общем запросе «проверь безопасность» — модель сканирует взглядом, а не методично. Особенно на больших скриптах: GPT-4o и Gemini находят только 42-51% проблем (пропускают жёсткие пароли в коде, слабое шифрование, открытые порты). Guided prompt с чёткими шагами проверки увеличивает обнаружение с 42% до 89% — вместо «найди уязвимости» даёшь чеклист: шаг 1 — пароли в коде, шаг 2 — алгоритмы шифрования, шаг 3 — сетевые порты. Модель проходит каждый аспект отдельно. Бонус-депрессняк: при генерации кода модели врут молча — 75% кода от ChatGPT содержал уязвимости БЕЗ предупреждений, даже с явной просьбой «сделай безопасно» почти половина (44%) всё равно небезопасна.