Aplikacje AI dla firm: dlaczego warto oddać projekt software house, a nie samoukowi
Mariusz Głuch
CEO, Monster Code
AI zmieniło sposób, w jaki powstają aplikacje. To, co dwa lata temu wymagało zespołu programistów i kilku tygodni pracy, dziś potrafi zbudować jedna osoba w kilka godzin, opisując słowami, czego chce. Modele językowe piszą kod, tworzą interfejsy i podłączają bazy danych. Dla firmy to realna szansa: szybciej testujesz pomysły, taniej robisz prototyp, wcześniej sprawdzasz, czy dana funkcja ma sens.
I tu nie ma żadnego haczyka co do samej technologii. AI jest świetnym narzędziem i my w Monster Code używamy go codziennie. Problem zaczyna się gdzie indziej: przy tym, kto trzyma to narzędzie w ręku i czy wie, co robi poza samym napisaniem kodu. Bo napisanie działającej aplikacji to dopiero początek. Później trzeba ją zabezpieczyć, zhostować, rozliczyć z RODO i wpasować w to, jak firma naprawdę pracuje. Właśnie na tych etapach kończy się wiedza większości samouków.
AI napisze kod, ale nie zadba o zabezpieczenia
Model językowy optymalizuje pod jedno: żeby aplikacja działała. Bezpieczeństwo schodzi na dalszy plan, bo o nie nikt wprost nie prosi. Liczby to potwierdzają. Veracode przetestowało ponad 100 modeli językowych na zadaniach programistycznych związanych z bezpieczeństwem i 45 procent wygenerowanego kodu zawierało podatności z listy OWASP Top 10. Niezależne analizy z New York University i benchmark BaxBench dają podobny wynik: od 40 do 62 procent kodu z AI ma luki bezpieczeństwa.
Skala tego zjawiska jest już mierzalna w praktyce. Firma Escape.tech przeskanowała 5600 aplikacji zbudowanych narzędziami typu vibe coding i znalazła ponad 2000 podatności, ponad 400 wystawionych sekretów, czyli kluczy API, haseł i tokenów, oraz 175 przypadków ujawnionych danych osobowych. To nie są teoretyczne zagrożenia. To klucze do baz danych i panele administracyjne dostępne dla każdego, kto wie, gdzie kliknąć.
Samouk zwykle nie wie, że powinien to sprawdzić. Nie zna pojęcia broken access control, nie ustawi poprawnie uprawnień na serwerze, zostawi domyślne hasło w konfiguracji albo wystawi endpoint bez żadnej autoryzacji. Aplikacja działa, klient jest zadowolony, a dziura siedzi w środku i czeka. Software house pracuje inaczej: kod z AI traktujemy jako punkt wyjścia, który przechodzi przegląd bezpieczeństwa, testy i konfigurację serwera według sprawdzonych zasad.
RODO i dane, które wyciekają, choć nikt ich świadomie nie wysłał
Najczęstsze przekonanie brzmi tak: "przecież ja nie wysyłam żadnych danych na zewnątrz". A potem ta sama osoba wkleja fragment bazy klientów do ChatGPT, żeby model pomógł napisać zapytanie, albo podłącza firmowy dokument pod zewnętrzne API, żeby "aplikacja go rozumiała". Dane właśnie opuściły firmę.
Badania pokazują, że 38 procent pracowników dzieli się poufnymi informacjami z narzędziami AI bez wiedzy pracodawcy, a 60 procent organizacji zaliczyło już wyciek danych przez generatywną AI. To zjawisko ma nawet swoją nazwę: shadow AI. Polega na używaniu narzędzi AI poza kontrolą działu IT, często z dobrą intencją i bez świadomości, że dane trafiają na cudze serwery i mogą posłużyć do trenowania modelu.
Z perspektywy RODO to poważny kłopot. Artykuł 32 rozporządzenia wymaga wdrożenia odpowiednich środków bezpieczeństwa przetwarzania danych. Za ich brak grozi kara do 2 procent globalnego obrotu firmy, a za złamanie zasad przetwarzania z artykułu 5 nawet do 4 procent. Do tego dochodzi AI Act, który od 2025 roku nakłada dodatkowe obowiązki na firmy korzystające z systemów AI. Urząd Ochrony Danych Osobowych odnotował w 2025 roku ponad 22 400 zgłoszeń naruszeń, wobec około 14 000 rok wcześniej.
Software house, który zna te przepisy, projektuje aplikację od razu tak, żeby dane firmowe zostawały tam, gdzie powinny. Wie, kiedy użyć modelu hostowanego lokalnie zamiast publicznego API, jak anonimizować dane przed wysłaniem do zewnętrznego dostawcy i jak zawrzeć umowę powierzenia przetwarzania. Samouk tych pytań zwykle sobie nawet nie zadaje.
Aplikacja na dokumentach firmowych, która utrudnia zamiast pomagać
To najciekawszy i najbardziej niedoceniany problem. Osoba nietechniczna buduje aplikację, która ma "ogarnąć firmowe dokumenty": faktury, umowy, oferty, zamówienia. Zna swoją pracę od środka, więc odwzorowuje ją w aplikacji dokładnie tak, jak robi ją dziś. I na tym polega pułapka.
Automatyzacja nie polega na przepisaniu istniejącego procesu do kodu. Polega na uproszczeniu tego procesu, zanim go zautomatyzujesz. Jeśli firma dziś przeklikuje dokument przez pięć osób i trzy arkusze, a ktoś zbuduje aplikację, która wiernie odtwarza te pięć osób i trzy arkusze, to procesu nie skrócił. Dołożył do niego jeszcze jeden system, który trzeba obsługiwać, aktualizować i naprawiać. Ludzie zaczynają obchodzić aplikację bokiem, bo szybciej im wysłać mail, a firma płaci za narzędzie, które nikomu nie ułatwiło życia.
Ten sam mechanizm widać w danych o kodzie z AI. Analiza w firmach z listy Fortune 50 wykazała, że programiści wspierani przez AI dodają zmiany do kodu trzy do czterech razy szybciej, ale generują przy tym dziesięciokrotnie więcej problemów bezpieczeństwa. Szybciej nie znaczy lepiej. Przy dokumentach firmowych działa identyczna zasada: więcej automatyzacji bez przemyślenia procesu to więcej chaosu, nie mniej.
Software house zaczyna od innego pytania. Nie "jak przenieść ten proces do aplikacji", tylko "czy ten proces w ogóle powinien wyglądać tak, jak wygląda". Czasem odpowiedzią jest aplikacja. Czasem prosta automatyzacja, która likwiduje trzy kroki, a nie dokłada czwartego. To różnica między kimś, kto umie napisać kod, a kimś, kto rozumie, po co ten kod powstaje.
Co realnie dostajesz od software house
Różnica między samoukiem a firmą technologiczną nie leży w tym, kto lepiej używa AI. Narzędzie jest to samo. Różnica leży w tym, co dzieje się wokół kodu.
Software house odpowiada za aplikację po jej wdrożeniu. Konfiguruje serwer z myślą o odporności na atak, ustawia kopie zapasowe, monitoruje działanie i łata podatności, zanim ktoś je wykorzysta. Rozlicza projekt z RODO i AI Act, bo wie, że kara finansowa jest realna, a odpowiedzialność spada na firmę, nie na wykonawcę. Projektuje proces, zamiast go bezmyślnie kopiować. I zostaje z klientem, kiedy coś przestaje działać, zamiast zniknąć po odebraniu przelewu.
W Monster Code robimy aplikacje i automatyzacje AI, sklepy na Shopify i wdrożenia ecommerce właśnie w tym modelu. AI przyspiesza naszą pracę, ale bezpieczeństwo, zgodność z prawem i sens biznesowy to decyzje, których nie oddajemy modelowi.
Najczęstsze pytania
Czy aplikacja zbudowana z AI jest bezpieczna?
Sama w sobie nie. Testy Veracode pokazały, że 45 procent kodu generowanego przez modele językowe zawiera podatności z listy OWASP Top 10. Bezpieczna staje się dopiero po przeglądzie kodu, testach i poprawnej konfiguracji serwera, które wykona ktoś, kto zna się na zabezpieczeniach.
Czy używanie AI w firmie łamie RODO?
Nie samo w sobie, ale łatwo o naruszenie. Jeśli wrzucasz dane osobowe do publicznego narzędzia AI, tracisz kontrolę nad tym, gdzie te dane trafiają. RODO wymaga odpowiednich środków bezpieczeństwa, a kary sięgają 4 procent globalnego obrotu firmy. Bezpieczne wdrożenie wymaga anonimizacji danych, umów powierzenia i czasem modelu hostowanego lokalnie.
Dlaczego nie zbudować aplikacji samemu skoro AI to umożliwia?
Bo napisanie kodu to jeden z etapów, a nie całość projektu. Poza kodem jest zabezpieczenie serwera, zgodność z prawem, hosting, kopie zapasowe i przede wszystkim przemyślenie procesu, który aplikacja ma obsłużyć. Bez tego łatwo zbudować narzędzie, które utrudnia pracę i naraża firmę na wyciek.
Czym zajmuje się Monster Code?
Tworzymy aplikacje i automatyzacje AI, wdrożenia ecommerce i sklepy na Shopify. Łączymy szybkość, jaką daje AI, z zabezpieczeniami, zgodnością z RODO i projektowaniem procesów pod realne potrzeby firmy.
