Vibe Coding Protocols
Vibe Coding Protocols v1.4Последнее обновление: 25 мая 2026, 23:54 МСКПредыдущие публичные итерации: initial hub, v1.0 public system, v1.1 independent review, v1.2 self-protection and scalability, v1.3 information architecture / safety polish. Общие изменения v1.4: FAQ/content consistency check, AI IDE compatibility matrix, clearer Artifact Pack / Architecture Source of Truth links, Reviewer Agent clarification, architecture update triggers, mini-checklists for bot / AI-agent / mobile projects, AI-generated migration rollback, AI test strategy, PROMPTS.md example, CTA for teams / CTO и GEO/entity definitions.

Протоколы безопасного vibe coding

Как начинать, проверять и доводить AI-generated проекты: от стартовой архитектуры до hardening-аудита, шаблонов, security, legal, payments и production readiness.

Vibe coding помогает быстро собрать MVP через Claude Code, Codex, Cursor, Windsurf и другие AI IDE. Но “AI написал код” не означает, что проект готов к merge, deploy или production. Нужны правила старта, архитектура, аудит, security-проверки, scanner evidence, backlog исправлений и понятные критерии готовности.

Vibe Coding Protocols — это набор практических протоколов и шаблонов для AI-assisted разработки: как начать AI-проект, как проверить уже созданный AI-generated код, как собрать архитектурную справку, как вести audit backlog и как подготовить проект к merge, deploy и production.

Для Claude CodeДля CodexДля CursorДля WindsurfAI-generated projectsStarter → Hardening → TemplatesSecurity / Legal / PaymentsProduction readiness
Диагностический вход

Куда идти: быстрый выбор маршрута

Ответьте на 3 вопроса — и выберите нужный протокол.

Вопрос 1

У вас уже есть код?

Если кода еще нет — идите в Starter. Если код уже есть — чаще всего нужен Hardening.

Вопрос 2

Проект уже касается production?

Если уже есть пользователи, заявки, ПДн, оплата или планируется deploy, пропускайте “пофиксим потом” и идите в Hardening раньше.

Вопрос 3

Что вам нужно прямо сейчас?

Начать проект, проверить уже созданный, оформить артефакты или передать проект другому инженеру — это четыре разных маршрута.

Нет кода, есть только идея

Маршрут: Product Brief → Starter Protocol

Сначала превратите идею в ТЗ / Product Brief, затем выберите стек, starter path, active/deferred surfaces, AGENTS.md и первый безопасный vertical slice.

Код уже есть, но непонятно, можно ли его запускать

Маршрут: Hardening Protocol

Не начинайте сразу чинить. Сначала проведите code discovery, архитектурную справку, security/supply-chain проверку, device/legal/payment аудит и соберите backlog.

После аудита много находок

Маршрут: Templates / Artifact Pack

Используйте готовые markdown-шаблоны: AUDIT_BACKLOG.md, scanner report, legal checklist, payment checklist.

Проект надо передать разработчику или команде

Маршрут: Architecture Source of Truth

Соберите архитектурную справку: C4, boundaries, integrations, contracts, threat model, rollback, risks, ADR и readiness gates.

Определение

Что такое vibe coding

Vibe coding — это подход, где большую часть кода генерирует AI, а человек задает направление, принимает решения, проверяет результат и отвечает за запуск. Это может сильно ускорить разработку, но создает новый риск: проект быстро растет, а архитектура, безопасность, документация, тесты, зависимости и юридические вопросы могут отставать.

Vibe coding ≠ просто “попросить AI написать приложение”.
Зрелый vibe coding = правила для AI + архитектура + итерации + аудит + evidence + backlog исправлений.

Почему нужен протокол

Vibe coding security: как не запускать AI-проект вслепую

AI может быстро создать интерфейс, backend, auth, платежи, бота или мобильное приложение. Но без протокола он часто смешивает слои, добавляет лишние зависимости, забывает документацию, не описывает env и deploy, пропускает security и supply-chain риски, не проверяет mobile/Safari/Android и не создает backlog исправлений.

Что часто ломается
  • Нет правил старта и границ MVP.
  • Нет AGENTS.md, PROJECT_MAP.md и актуальной архитектуры.
  • Нет device/browser QA и readiness gates.
  • Нет legal/payment-проверки для РФ-контура.
  • Нет backlog и понятной точки остановки.
Маршруты

Выберите свой маршрут

Эти страницы не дублируют друг друга. Они помогают выбрать правильный следующий шаг в зависимости от стадии AI-проекта.

Я только начинаю AI-проект

Starter Protocol — стартовый протокол

Если проекта еще нет или он только в пустой папке, начните со стартовой архитектуры: intake, стек, MVP boundaries, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, security baseline, operational baseline, safe third-party intake и safe implementation plan.

  • solo founder
  • indie hacker
  • разработчик
  • новый AI-проект
  • Claude Code / Codex / Cursor / Windsurf

Я уже навайбкодил проект

AI Project Hardening Protocol v1.4 — протокол инженерной доводки

Если проект уже работает, но непонятно, можно ли его мержить, деплоить или показывать пользователям, прогоните его через hardening: code discovery, architecture, self-protection, security, safe integration, database/load readiness, Trivy, Gitleaks, OSV-Scanner, device QA, legal/payment checklist, independent diff review и AUDIT_BACKLOG.md.

  • AI-generated MVP
  • проект перед deploy
  • проект с оплатой
  • проект с ПДн
  • внешние API

Мне нужны готовые шаблоны

Artifact Pack — набор рабочих шаблонов

Практические markdown-шаблоны для результата аудита: backlog исправлений, scanner report, legal checklist, payment/fiscalization checklist. Их можно копировать, скачивать и использовать в GitHub, Notion, Linear, Jira или прямо в проекте.

Мне нужна архитектурная справка

Architecture Source of Truth — архитектурная справка проекта

Шаблон архитектурной справки для проекта: C4, SLO/NFR, runtime topology, data contracts, threat model, privacy, backup/restore, release lifecycle, ADR, known risks, P0/P1/P2 action register и production readiness gates.

Я делаю чатбота или AI-agent

Bot / AI-agent route — маршрут для бота или агента

Будущий маршрут

Базовые протоколы уже применимы, но здесь важны дополнительные акценты: prompt injection, tool calling, права на действия, PII в prompts/logs, AI cost limits, fallback и human approval.

Отдельный протокол для чатботов может появиться позже.

Вход / выход

Что вы получаете на выходе

РазделНа входеНа выходе
Starter Protocolидея, пустая папка или starter templateProduct Brief, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, first safe implementation plan
Hardening Protocolуже есть AI-generated кодaudit report, blockers, evidence map, scanner results, AUDIT_BACKLOG.md, план исправлений
Templatesесть findings или задачиmarkdown-шаблоны для backlog, scanner report, legal/payment checklist
Architecture Source of Truthпроект нужно передать, масштабировать или готовить к productionединый архитектурный source of truth для разработки, аудита и поддержки
Memory Bank

Memory Bank: единый контекст проекта

В этой методологии Memory Bank — это не обязательно отдельная папка. Это набор файлов, которые сохраняют устойчивый контекст проекта между AI-сессиями и людьми.

  • README.md — что это за проект и как его запускать.
  • AGENTS.md — правила работы AI-агентов.
  • PROJECT_MAP.md — карта файлов, entrypoints, routes/endpoints и компонентов.
  • ARCHITECTURE.md или Architecture Source of Truth — архитектура и границы.
  • SECURITY.md — security baseline.
  • AUDIT_BACKLOG.md — findings, risks, accepted risks, follow-up.
  • docs/PROMPTS.md — использованные prompts и версия протокола, если проект ведется через AI.

Публичные шаблоны на сайте — это только templates. Реальные документы проекта могут содержать sensitive details и должны храниться private / sanitized / encrypted.

Где я сейчас?

Таймлайн: где я нахожусь сейчас?

  1. Идея — Product Brief / ТЗ → Starter.
  2. Первая папка — Starter Protocol, active/deferred surfaces, first vertical slice.
  3. Первый working sliceLight Hardening и базовые critical blockers.
  4. Код перед deployStandard / Full Hardening: scanners, self-protection, database/load, legal/payment.
  5. FindingsTemplates / AUDIT_BACKLOG.
  6. Передача / ростArchitecture Source of Truth.

Нумерация prompt-шагов независима внутри каждого протокола: Starter использует Шаг -1 и Prompt 0–7, Hardening — Prompt 0–8.

Сравнение

Без протокола vs с протоколом

Без протоколаС протоколом
AI сам выбирает стекстек выбран осознанно
scope расползаетсяactive/deferred surfaces зафиксированы
docs появляются “потом”README / AGENTS / PROJECT_MAP создаются в начале
секреты и env всплывают случайно.env.example и security baseline есть до deploy
проект сложно передатьесть Architecture Source of Truth
после 50 промптов хаосесть Memory Bank и backlog
deploy делается вслепуюесть hardening и readiness gates
Связка материалов

Система из трех уровней

Эти материалы не конкурируют друг с другом. Они отвечают на разные этапы AI-разработки.

Для важных AI-правок можно добавить independent diff review: отдельный AI-процесс проверяет активные изменения перед merge/deploy. Для release-критичных изменений туда же добавьте self-protection и database/load проверки.

StartStarter Protocol

Подготовить проект до генерации кода: intake, границы, стек, AGENTS.md и docs.

BuildAI development

Вести AI-разработку по правилам: маленькие итерации, проверяемые решения и документация.

HardenHardening Protocol

Проверить self-protection, security, safe integrations, legal, payments, device QA, scanner checks и database/load readiness.

TrackBacklog

Перевести находки в AUDIT_BACKLOG.md, accepted risks и priority register.

ReleaseReadiness gates

Проверить Definition of Done, rollback, monitoring, docs и release evidence.

MaintainUpdates

Регулярные scans, dependency reviews, changelog и актуальная архитектурная справка.

Self-protection

Проект должен защищать не только пользователей, но и сам себя

Vibe coding часто фокусируется на том, “работает ли продукт”. Но перед запуском важно проверить и саму систему: что могут увидеть внешние сканеры, не торчат ли внутренние документы, не доступны ли admin/API/docs, не раскрываются ли env/logs/backups, не запускаются ли worker/scanner процессы с лишними правами, не тянутся ли небезопасные внешние репозитории и обновления.

  • private docs: архитектура, интеграции, AGENTS.md, PROJECT_MAP.md и internal runbooks не должны быть публичными;
  • scanner exposure: проверьте, что внешний сканер не видит лишнее;
  • worker/process isolation: фоновые задачи и browser/scanner automation не должны работать с лишними правами;
  • safe integration: внешние repo/API/package проходят quarantine/review;
  • safe updates: автообновление должно создавать PR, а не молча менять production;
  • continuous improvement: self-protection нужно периодически пересматривать.

Если проект только начинается — учтите это в Starter. Если код уже есть — проверьте это через Hardening.

Growth readiness

Проект должен выдерживать не только запуск, но и рост

AI может быстро собрать MVP, но при росте пользователей чаще всего ломаются не кнопки, а база данных, очереди, фоновые задачи, API limits, кэш, rate limits и миграции. Поэтому уже на старте и при hardening нужно проверять не только “работает ли сейчас”, но и “есть ли архитектурный тупик, который заставит переписывать проект при первой нагрузке”.

  • database schema and indexes;
  • migrations and rollback;
  • queues / background jobs;
  • rate limits и API quotas;
  • caching boundaries и idempotency;
  • observability, backup/restore, performance budget и scalability backlog.

Для нового проекта — Starter. Для существующего — Hardening. Для документации — Architecture Source of Truth.

Для команд

Для команд, тимлидов и CTO

Если разработчики уже используют AI-ассистентов, протокол можно применять как внутренний стандарт Definition of Ready / Definition of Done для AI-generated changes. Он помогает не превращать репозиторий в хаос, фиксировать контекст, ограничивать massive rewrites, проверять security/supply-chain и не пускать в production код без evidence.

Можно адаптировать протокол под командный workflow: Definition of Ready, Definition of Done, AGENTS.md, review gates, backlog и правила для AI-generated changes.

  • Единые правила для AI-агентов.
  • Stop conditions для больших изменений.
  • Review и hardening перед merge.
  • Memory Bank вместо контекста “только в чате”.
  • Audit backlog вместо хаотичных TODO.
Аудитория

Кому полезны Vibe Coding Protocols

Solo founderБыстро понять, можно ли запускать MVP и что реально блокирует релиз.
Indie hackerНе утонуть в хаосе после нескольких дней активного AI-кодинга.
РазработчикДать AI-агенту правила, доказательства и понятные инженерные границы.
Product ownerУвидеть, что блокирует release, а что можно осознанно отложить.
Команда без security-инженераПолучить первичный инженерный процесс до полноценного ручного аудита.
Проект в РФ-контуреНе забыть про ПДн, РКН, 152-ФЗ, cookies, онлайн-оплату, чеки и 54-ФЗ.
Когда использовать

Когда использовать эти протоколы

  • Перед началом нового AI-проекта.
  • После генерации MVP через AI.
  • Перед merge в main.
  • Перед первым deploy.
  • Перед запуском онлайн-оплаты.
  • Перед сбором заявок и персональных данных.
Еще триггеры
  • После подключения новой зависимости.
  • После добавления внешнего API или AI/LLM.
  • Перед передачей проекта другому разработчику.
  • Перед ручным аудитом, чтобы подготовить материалы.
  • После production incident, чтобы обновить правила и backlog.
Быстрый выбор

Какой протокол выбрать

СитуацияЧто открытьПочему
Проекта еще нетStarter ProtocolСначала нужны границы, стек, AGENTS.md и архитектура.
Проект уже работаетHardening ProtocolНужно проверить security, supply-chain, UX, legal и payments.
Много находок после аудитаTemplatesНужен backlog, scanner report и checklist-артефакты.
Проект перед передачей инженеруArchitecture Source of TruthНужен единый источник правды по архитектуре.
Чатбот / AI-agentStarter + HardeningДополнительно смотрим prompt injection, tool calls и AI costs.
Mobile appStarter + HardeningДополнительно проверяем permissions, secure storage и device QA.
AI handoff

Можно пройти самому — или дать ссылку своему AI

Можно вручную пройти разделы и скопировать нужные prompt-блоки. А можно дать своему AI ссылку на эту страницу и попросить сначала оценить методологию, а потом применить ее к вашему проекту.

Важно: AI не должен сразу писать код. Сначала он должен понять вашу стадию, оценить применимость протоколов, задать вопросы и предложить маршрут.

Изучи эту страницу: https://anmalishev.ru/expert/vibe-coding/

Оцени, на какой стадии мой проект, какие части методологии нам полезны, задай недостающие вопросы и предложи маршрут: Starter, Hardening, Templates или Architecture Source of Truth.

Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные проверки или смежные проблемы — выведи их отдельно в разделе “Что я мог упустить”.

Код пока не пиши.
Я нашел методологию для безопасного vibe coding и AI-assisted разработки:

https://anmalishev.ru/expert/vibe-coding/

Изучи эту страницу и связанные материалы.

Сначала не пиши код.

Сделай следующее:

1. Кратко оцени, насколько эта методология применима к нашему проекту.
2. Объясни, какие части нам точно полезны:
   - Starter Protocol;
   - Hardening Protocol;
   - Templates / Artifact Pack;
   - Architecture Source of Truth.
3. Определи, на какой стадии наш проект:
   - есть только идея;
   - есть Product Brief / ТЗ;
   - проект только начинается;
   - код уже есть;
   - проект готовится к deploy;
   - проект уже в production;
   - нужно передать проект другому разработчику.
4. Скажи, какой маршрут нам выбрать:
   - Product Brief → Starter;
   - Starter → first safe implementation;
   - Hardening;
   - Templates;
   - Architecture Source of Truth.
5. Сначала задай мне недостающие вопросы.
6. После вопросов составь пошаговый план применения этой методологии к нашему проекту.
7. Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные направления проверки или смежные проблемы — выведи их отдельно в разделе “Что я мог упустить”.
8. После выполнения перепроверь свой план: маршрут, риски, validation и follow-up.
9. Если найдешь баги рядом с задачей — исправь мелкие безопасные, а крупные вынеси в отчет и backlog.
10. В конце выведи: что сделано, что проверено, что не удалось проверить, что я мог упустить, какие баги найдены попутно, что исправлено попутно, что требует отдельного approval и какие follow-up задачи добавить в backlog.
11. Не пиши код до моего подтверждения маршрута и плана.

Если ты не можешь открыть ссылку, попроси меня вставить текст нужного раздела или скопировать prompt-блоки со страницы.

Не все AI IDE умеют читать внешние ссылки. Если ваш инструмент не может открыть URL, скопируйте нужные prompt-блоки вручную или используйте кнопки “Скопировать” на страницах протоколов.

Контекст для AI

Что дать AI вместе со ссылкой

Ссылка на протокол — это playbook. Но хороший результат зависит от контекста проекта. Чем больше исходных данных вы дадите AI, тем точнее будет маршрут.

  • Краткое описание идеи или Product Brief.
  • Стадия проекта: идея / пустая папка / код уже есть / production.
  • Ссылка на репозиторий или архив проекта, если код уже есть.
  • Стек, если он уже выбран.
  • Package manager и lockfile.
  • Команды запуска, сборки и тестов.
  • Есть ли персональные данные.
  • Есть ли онлайн-оплата.
  • Есть ли внешние API.
  • Где планируется deploy.
  • Какие части нельзя трогать.
  • Что считается успехом первой итерации.

AI может применить протокол как structured playbook, но без доступа к коду, продуктовой логике, env-примеру, командам запуска и бизнес-контексту он сможет сделать только первичный методологический план, а не полноценную инженерную проверку.

Interim маршруты

Bot / AI-agent / Mobile: пока без отдельного протокола, но с базовыми акцентами

Отдельные специализированные протоколы могут появиться позже. Сейчас базовый маршрут: Starter для старта и Hardening перед deploy.

Bot / AI-agent
  • prompt injection;
  • tool permissions;
  • rate limits;
  • cost limits;
  • logging;
  • user data;
  • fallback / manual override;
  • abuse cases;
  • external API keys.
Mobile / Telegram Mini App
  • mobile viewport;
  • touch targets;
  • Safari / WebView issues;
  • offline / degraded mode;
  • auth / session;
  • deep links;
  • payment / webhook safety;
  • device QA.

Если AI не может открыть ссылку — скопируйте short/full prompt или нужный prompt-block вручную.

FAQ

Частые вопросы о Vibe Coding Protocols

Что такое Vibe Coding Protocols?

Это методология управления AI-assisted разработкой: от Product Brief и первого vertical slice до hardening-аудита, архитектурной справки, шаблонов и readiness checks.

Чем Starter отличается от Hardening?

Starter нужен до или в самом начале генерации кода: чтобы задать Product Brief, границы, стек, AGENTS.md и Memory Bank. Hardening нужен после: чтобы проверить уже созданный проект перед merge, deploy и production.

Что такое Memory Bank?

Memory Bank для AI-проекта — это набор файлов, которые сохраняют контекст между AI-сессиями: README.md, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, AUDIT_BACKLOG.md и docs/PROMPTS.md.

Что такое Architecture Source of Truth?

Это рабочая архитектурная справка проекта: отдельный engineering-control document с C4, boundaries, integrations, rollout/rollback, risks, ADR и readiness gates.

Где находятся шаблоны?

Шаблоны лежат на отдельной странице Artifact Pack: https://anmalishev.ru/expert/templates/. Architecture Source of Truth тоже живет отдельно: https://anmalishev.ru/expert/templates/architecture-source-of-truth.html.

Можно ли дать ссылку своему AI?

Да. Можно дать AI ссылку на хаб и попросить сначала оценить стадию проекта, задать вопросы и предложить маршрут: Starter, Hardening, Templates или Architecture Source of Truth. Если инструмент не читает URL, скопируйте short/full prompt вручную.

Работает ли это с Claude Code / Codex / Cursor / Windsurf?

Да. Протокол vendor-neutral. Но workflow адаптируется под возможности конкретной AI IDE: ссылки, subagents, inline edits, diff review и stop conditions.

Что делать, если проект уже в хаосе?

Не наращивайте код дальше. Сначала соберите минимальный PROJECT_MAP.md и ARCHITECTURE.md, затем идите в Hardening или начните с Light Hardening.

Нужно ли проходить всё полностью?

Нет. Для маленького MVP можно начать с короткого маршрута и Light Hardening. Если есть production deploy, ПДн, платежи, внешние API или AI-agent actions — нужен более полный путь.

Это заменяет human review / pentest / юриста?

Нет. Протокол помогает структурировать AI-разработку и снизить хаос, но не заменяет human review, pentest, security-инженера или профильного юриста для критичных зон.

Compatibility

AI IDE Compatibility Matrix

Протокол vendor-neutral, но разные AI IDE работают по-разному. Если инструмент не умеет читать ссылки или запускать subagents, копируйте prompt-блоки вручную и адаптируйте workflow.

ИнструментЧто обычно удобноЧто адаптировать
Claude Codecode discovery, subagents, repo workflowпроверять, что agent не уходит в massive rewrite
Codexсильная работа с задачами и diffесли не читает внешние URL — вставлять prompt-блоки вручную
Cursorcomposer / inline editsдробить большие изменения, фиксировать Stop Conditions
Windsurfитерации через Cascadeявно задавать scope, active/deferred surfaces
Любой другой AIможно использовать как playbookдать контекст, файлы, команды, ограничения

Если AI не может открыть ссылку — скопируйте short/full prompt или нужный prompt-block вручную.

Определения

Короткие определения

Vibe Coding Protocols — это методология управления AI-assisted разработкой: от Product Brief и первого vertical slice до hardening-аудита, архитектурной справки, шаблонов и readiness checks.

Memory Bank для AI-проекта — это набор файлов, которые сохраняют контекст между AI-сессиями: README.md, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, AUDIT_BACKLOG.md, docs/PROMPTS.md.

AI Project Hardening — это проверка AI-generated проекта перед merge/deploy/production: архитектура, security, supply-chain, scanners, self-protection, database/load readiness, legal/payment и backlog исправлений.

Artifact Pack: https://anmalishev.ru/expert/templates/
Architecture Source of Truth: https://anmalishev.ru/expert/templates/architecture-source-of-truth.html
Это отдельные страницы, а не скрытые разделы внутри Starter или Hardening.

Что дальше

Что может появиться дальше

  • bot / AI-agent specialized checklist;
  • mobile / Telegram Mini App route;
  • GitHub repository with markdown toolkit;
  • real anonymized case studies.
Если написать мне

Что происходит, если написать мне

Можно прийти с идеей, репозиторием или уже навайбкоженным проектом. Обычно сначала определяется стадия проекта, затем выбирается маршрут: Starter, Light Hardening, Standard/Full Hardening, Architecture Source of Truth или внедрение протокола в команду.

  • разбор идеи / Product Brief;
  • review архитектуры;
  • настройка AGENTS.md и Memory Bank;
  • hardening-аудит;
  • backlog исправлений;
  • внедрение протокола как стандарта команды.
Следующий шаг

Выберите правильный этап и не пытайтесь решить весь AI-проект одним промптом.

Хаб не заменяет сами протоколы. Он помогает быстро понять, что открыть сейчас: старт, hardening, templates или архитектурную справку.