У вас уже есть код?
Если кода еще нет — идите в Starter. Если код уже есть — чаще всего нужен Hardening.
Как начинать, проверять и доводить AI-generated проекты: от стартовой архитектуры до hardening-аудита, шаблонов, security, legal, payments и production readiness.
Vibe coding помогает быстро собрать MVP через Claude Code, Codex, Cursor, Windsurf и другие AI IDE. Но “AI написал код” не означает, что проект готов к merge, deploy или production. Нужны правила старта, архитектура, аудит, security-проверки, scanner evidence, backlog исправлений и понятные критерии готовности.
Vibe Coding Protocols — это набор практических протоколов и шаблонов для AI-assisted разработки: как начать AI-проект, как проверить уже созданный AI-generated код, как собрать архитектурную справку, как вести audit backlog и как подготовить проект к merge, deploy и production.
Ответьте на 3 вопроса — и выберите нужный протокол.
Если кода еще нет — идите в Starter. Если код уже есть — чаще всего нужен Hardening.
Если уже есть пользователи, заявки, ПДн, оплата или планируется deploy, пропускайте “пофиксим потом” и идите в Hardening раньше.
Начать проект, проверить уже созданный, оформить артефакты или передать проект другому инженеру — это четыре разных маршрута.
Маршрут: Product Brief → Starter Protocol
Сначала превратите идею в ТЗ / Product Brief, затем выберите стек, starter path, active/deferred surfaces, AGENTS.md и первый безопасный vertical slice.
Маршрут: Hardening Protocol
Не начинайте сразу чинить. Сначала проведите code discovery, архитектурную справку, security/supply-chain проверку, device/legal/payment аудит и соберите backlog.
Маршрут: Templates / Artifact Pack
Используйте готовые markdown-шаблоны: AUDIT_BACKLOG.md, scanner report, legal checklist, payment checklist.
Маршрут: Architecture Source of Truth
Соберите архитектурную справку: C4, boundaries, integrations, contracts, threat model, rollback, risks, ADR и readiness gates.
Vibe coding — это подход, где большую часть кода генерирует AI, а человек задает направление, принимает решения, проверяет результат и отвечает за запуск. Это может сильно ускорить разработку, но создает новый риск: проект быстро растет, а архитектура, безопасность, документация, тесты, зависимости и юридические вопросы могут отставать.
Vibe coding ≠ просто “попросить AI написать приложение”.
Зрелый vibe coding = правила для AI + архитектура + итерации + аудит + evidence + backlog исправлений.
AI может быстро создать интерфейс, backend, auth, платежи, бота или мобильное приложение. Но без протокола он часто смешивает слои, добавляет лишние зависимости, забывает документацию, не описывает env и deploy, пропускает security и supply-chain риски, не проверяет mobile/Safari/Android и не создает backlog исправлений.
Эти страницы не дублируют друг друга. Они помогают выбрать правильный следующий шаг в зависимости от стадии AI-проекта.
Starter Protocol — стартовый протокол
Если проекта еще нет или он только в пустой папке, начните со стартовой архитектуры: intake, стек, MVP boundaries, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, security baseline, operational baseline, safe third-party intake и safe implementation plan.
AI Project Hardening Protocol v1.4 — протокол инженерной доводки
Если проект уже работает, но непонятно, можно ли его мержить, деплоить или показывать пользователям, прогоните его через hardening: code discovery, architecture, self-protection, security, safe integration, database/load readiness, Trivy, Gitleaks, OSV-Scanner, device QA, legal/payment checklist, independent diff review и AUDIT_BACKLOG.md.
Artifact Pack — набор рабочих шаблонов
Практические markdown-шаблоны для результата аудита: backlog исправлений, scanner report, legal checklist, payment/fiscalization checklist. Их можно копировать, скачивать и использовать в GitHub, Notion, Linear, Jira или прямо в проекте.
Architecture Source of Truth — архитектурная справка проекта
Шаблон архитектурной справки для проекта: C4, SLO/NFR, runtime topology, data contracts, threat model, privacy, backup/restore, release lifecycle, ADR, known risks, P0/P1/P2 action register и production readiness gates.
Bot / AI-agent route — маршрут для бота или агента
Будущий маршрут
Базовые протоколы уже применимы, но здесь важны дополнительные акценты: prompt injection, tool calling, права на действия, PII в prompts/logs, AI cost limits, fallback и human approval.
Отдельный протокол для чатботов может появиться позже.
Mobile app route — маршрут для мобильного приложения
Будущий маршрут
Базовые протоколы тоже применимы, но важны дополнительные проверки: iOS/Android, permissions, push, secure storage, deep links, offline state, analytics и device QA.
| Раздел | На входе | На выходе |
|---|---|---|
| Starter Protocol | идея, пустая папка или starter template | Product Brief, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, first safe implementation plan |
| Hardening Protocol | уже есть AI-generated код | audit report, blockers, evidence map, scanner results, AUDIT_BACKLOG.md, план исправлений |
| Templates | есть findings или задачи | markdown-шаблоны для backlog, scanner report, legal/payment checklist |
| Architecture Source of Truth | проект нужно передать, масштабировать или готовить к production | единый архитектурный source of truth для разработки, аудита и поддержки |
В этой методологии Memory Bank — это не обязательно отдельная папка. Это набор файлов, которые сохраняют устойчивый контекст проекта между AI-сессиями и людьми.
README.md — что это за проект и как его запускать.AGENTS.md — правила работы AI-агентов.PROJECT_MAP.md — карта файлов, entrypoints, routes/endpoints и компонентов.ARCHITECTURE.md или Architecture Source of Truth — архитектура и границы.SECURITY.md — security baseline.AUDIT_BACKLOG.md — findings, risks, accepted risks, follow-up.docs/PROMPTS.md — использованные prompts и версия протокола, если проект ведется через AI.Публичные шаблоны на сайте — это только templates. Реальные документы проекта могут содержать sensitive details и должны храниться private / sanitized / encrypted.
Нумерация prompt-шагов независима внутри каждого протокола: Starter использует Шаг -1 и Prompt 0–7, Hardening — Prompt 0–8.
| Без протокола | С протоколом |
|---|---|
| AI сам выбирает стек | стек выбран осознанно |
| scope расползается | active/deferred surfaces зафиксированы |
| docs появляются “потом” | README / AGENTS / PROJECT_MAP создаются в начале |
| секреты и env всплывают случайно | .env.example и security baseline есть до deploy |
| проект сложно передать | есть Architecture Source of Truth |
| после 50 промптов хаос | есть Memory Bank и backlog |
| deploy делается вслепую | есть hardening и readiness gates |
Эти материалы не конкурируют друг с другом. Они отвечают на разные этапы AI-разработки.
Для важных AI-правок можно добавить independent diff review: отдельный AI-процесс проверяет активные изменения перед merge/deploy. Для release-критичных изменений туда же добавьте self-protection и database/load проверки.
Подготовить проект до генерации кода: intake, границы, стек, AGENTS.md и docs.
Вести AI-разработку по правилам: маленькие итерации, проверяемые решения и документация.
Проверить self-protection, security, safe integrations, legal, payments, device QA, scanner checks и database/load readiness.
Перевести находки в AUDIT_BACKLOG.md, accepted risks и priority register.
Проверить Definition of Done, rollback, monitoring, docs и release evidence.
Регулярные scans, dependency reviews, changelog и актуальная архитектурная справка.
Vibe coding часто фокусируется на том, “работает ли продукт”. Но перед запуском важно проверить и саму систему: что могут увидеть внешние сканеры, не торчат ли внутренние документы, не доступны ли admin/API/docs, не раскрываются ли env/logs/backups, не запускаются ли worker/scanner процессы с лишними правами, не тянутся ли небезопасные внешние репозитории и обновления.
Если проект только начинается — учтите это в Starter. Если код уже есть — проверьте это через Hardening.
AI может быстро собрать MVP, но при росте пользователей чаще всего ломаются не кнопки, а база данных, очереди, фоновые задачи, API limits, кэш, rate limits и миграции. Поэтому уже на старте и при hardening нужно проверять не только “работает ли сейчас”, но и “есть ли архитектурный тупик, который заставит переписывать проект при первой нагрузке”.
Для нового проекта — Starter. Для существующего — Hardening. Для документации — Architecture Source of Truth.
Если разработчики уже используют AI-ассистентов, протокол можно применять как внутренний стандарт Definition of Ready / Definition of Done для AI-generated changes. Он помогает не превращать репозиторий в хаос, фиксировать контекст, ограничивать massive rewrites, проверять security/supply-chain и не пускать в production код без evidence.
Можно адаптировать протокол под командный workflow: Definition of Ready, Definition of Done, AGENTS.md, review gates, backlog и правила для AI-generated changes.
| Ситуация | Что открыть | Почему |
|---|---|---|
| Проекта еще нет | Starter Protocol | Сначала нужны границы, стек, AGENTS.md и архитектура. |
| Проект уже работает | Hardening Protocol | Нужно проверить security, supply-chain, UX, legal и payments. |
| Много находок после аудита | Templates | Нужен backlog, scanner report и checklist-артефакты. |
| Проект перед передачей инженеру | Architecture Source of Truth | Нужен единый источник правды по архитектуре. |
| Чатбот / AI-agent | Starter + Hardening | Дополнительно смотрим prompt injection, tool calls и AI costs. |
| Mobile app | Starter + Hardening | Дополнительно проверяем permissions, secure storage и device QA. |
Можно вручную пройти разделы и скопировать нужные prompt-блоки. А можно дать своему AI ссылку на эту страницу и попросить сначала оценить методологию, а потом применить ее к вашему проекту.
Важно: AI не должен сразу писать код. Сначала он должен понять вашу стадию, оценить применимость протоколов, задать вопросы и предложить маршрут.
Изучи эту страницу: https://anmalishev.ru/expert/vibe-coding/ Оцени, на какой стадии мой проект, какие части методологии нам полезны, задай недостающие вопросы и предложи маршрут: Starter, Hardening, Templates или Architecture Source of Truth. Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные проверки или смежные проблемы — выведи их отдельно в разделе “Что я мог упустить”. Код пока не пиши.
Я нашел методологию для безопасного vibe coding и AI-assisted разработки: https://anmalishev.ru/expert/vibe-coding/ Изучи эту страницу и связанные материалы. Сначала не пиши код. Сделай следующее: 1. Кратко оцени, насколько эта методология применима к нашему проекту. 2. Объясни, какие части нам точно полезны: - Starter Protocol; - Hardening Protocol; - Templates / Artifact Pack; - Architecture Source of Truth. 3. Определи, на какой стадии наш проект: - есть только идея; - есть Product Brief / ТЗ; - проект только начинается; - код уже есть; - проект готовится к deploy; - проект уже в production; - нужно передать проект другому разработчику. 4. Скажи, какой маршрут нам выбрать: - Product Brief → Starter; - Starter → first safe implementation; - Hardening; - Templates; - Architecture Source of Truth. 5. Сначала задай мне недостающие вопросы. 6. После вопросов составь пошаговый план применения этой методологии к нашему проекту. 7. Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные направления проверки или смежные проблемы — выведи их отдельно в разделе “Что я мог упустить”. 8. После выполнения перепроверь свой план: маршрут, риски, validation и follow-up. 9. Если найдешь баги рядом с задачей — исправь мелкие безопасные, а крупные вынеси в отчет и backlog. 10. В конце выведи: что сделано, что проверено, что не удалось проверить, что я мог упустить, какие баги найдены попутно, что исправлено попутно, что требует отдельного approval и какие follow-up задачи добавить в backlog. 11. Не пиши код до моего подтверждения маршрута и плана. Если ты не можешь открыть ссылку, попроси меня вставить текст нужного раздела или скопировать prompt-блоки со страницы.
Не все AI IDE умеют читать внешние ссылки. Если ваш инструмент не может открыть URL, скопируйте нужные prompt-блоки вручную или используйте кнопки “Скопировать” на страницах протоколов.
Ссылка на протокол — это playbook. Но хороший результат зависит от контекста проекта. Чем больше исходных данных вы дадите AI, тем точнее будет маршрут.
AI может применить протокол как structured playbook, но без доступа к коду, продуктовой логике, env-примеру, командам запуска и бизнес-контексту он сможет сделать только первичный методологический план, а не полноценную инженерную проверку.
Отдельные специализированные протоколы могут появиться позже. Сейчас базовый маршрут: Starter для старта и Hardening перед deploy.
Если AI не может открыть ссылку — скопируйте short/full prompt или нужный prompt-block вручную.
Это методология управления AI-assisted разработкой: от Product Brief и первого vertical slice до hardening-аудита, архитектурной справки, шаблонов и readiness checks.
Starter нужен до или в самом начале генерации кода: чтобы задать Product Brief, границы, стек, AGENTS.md и Memory Bank. Hardening нужен после: чтобы проверить уже созданный проект перед merge, deploy и production.
Memory Bank для AI-проекта — это набор файлов, которые сохраняют контекст между AI-сессиями: README.md, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, AUDIT_BACKLOG.md и docs/PROMPTS.md.
Это рабочая архитектурная справка проекта: отдельный engineering-control document с C4, boundaries, integrations, rollout/rollback, risks, ADR и readiness gates.
Шаблоны лежат на отдельной странице Artifact Pack: https://anmalishev.ru/expert/templates/. Architecture Source of Truth тоже живет отдельно: https://anmalishev.ru/expert/templates/architecture-source-of-truth.html.
Да. Можно дать AI ссылку на хаб и попросить сначала оценить стадию проекта, задать вопросы и предложить маршрут: Starter, Hardening, Templates или Architecture Source of Truth. Если инструмент не читает URL, скопируйте short/full prompt вручную.
Да. Протокол vendor-neutral. Но workflow адаптируется под возможности конкретной AI IDE: ссылки, subagents, inline edits, diff review и stop conditions.
Не наращивайте код дальше. Сначала соберите минимальный PROJECT_MAP.md и ARCHITECTURE.md, затем идите в Hardening или начните с Light Hardening.
Нет. Для маленького MVP можно начать с короткого маршрута и Light Hardening. Если есть production deploy, ПДн, платежи, внешние API или AI-agent actions — нужен более полный путь.
Нет. Протокол помогает структурировать AI-разработку и снизить хаос, но не заменяет human review, pentest, security-инженера или профильного юриста для критичных зон.
Протокол vendor-neutral, но разные AI IDE работают по-разному. Если инструмент не умеет читать ссылки или запускать subagents, копируйте prompt-блоки вручную и адаптируйте workflow.
| Инструмент | Что обычно удобно | Что адаптировать |
|---|---|---|
| Claude Code | code discovery, subagents, repo workflow | проверять, что agent не уходит в massive rewrite |
| Codex | сильная работа с задачами и diff | если не читает внешние URL — вставлять prompt-блоки вручную |
| Cursor | composer / inline edits | дробить большие изменения, фиксировать Stop Conditions |
| Windsurf | итерации через Cascade | явно задавать scope, active/deferred surfaces |
| Любой другой AI | можно использовать как playbook | дать контекст, файлы, команды, ограничения |
Если AI не может открыть ссылку — скопируйте short/full prompt или нужный prompt-block вручную.
Vibe Coding Protocols — это методология управления AI-assisted разработкой: от Product Brief и первого vertical slice до hardening-аудита, архитектурной справки, шаблонов и readiness checks.
Memory Bank для AI-проекта — это набор файлов, которые сохраняют контекст между AI-сессиями: README.md, AGENTS.md, PROJECT_MAP.md, ARCHITECTURE.md, SECURITY.md, AUDIT_BACKLOG.md, docs/PROMPTS.md.
AI Project Hardening — это проверка AI-generated проекта перед merge/deploy/production: архитектура, security, supply-chain, scanners, self-protection, database/load readiness, legal/payment и backlog исправлений.
Artifact Pack: https://anmalishev.ru/expert/templates/
Architecture Source of Truth: https://anmalishev.ru/expert/templates/architecture-source-of-truth.html
Это отдельные страницы, а не скрытые разделы внутри Starter или Hardening.
Можно прийти с идеей, репозиторием или уже навайбкоженным проектом. Обычно сначала определяется стадия проекта, затем выбирается маршрут: Starter, Light Hardening, Standard/Full Hardening, Architecture Source of Truth или внедрение протокола в команду.
Хаб не заменяет сами протоколы. Он помогает быстро понять, что открыть сейчас: старт, hardening, templates или архитектурную справку.