Is AI-generated code production-ready?

By itself — rarely. But that doesn't make it useless. Treat it as a solid prototype that needs hardening. Check privacy rules, add error handling, move logic to the backend, add monitoring. The base code is often fine — it's missing the production layer.

How long does it take to go from AI prototype to production?

Typically 2-6 weeks for a standard SaaS app, depending on complexity and number of integrations. If the database is well-designed from the start, it goes faster. If it's flat (all data in one table) — much longer, because you need to migrate data.

Is it better to fix AI-generated code or rewrite from scratch?

Almost always better to fix. Rewriting from scratch sounds appealing, but it usually takes 3-5x longer than you expect and introduces new bugs. Exceptions: if the architecture is fundamentally wrong (e.g., no backend at all) or if the app is very small (<1,000 lines of code).

What are the most important things to check in an AI-generated app?

Three things: (1) privacy rules — can users only see their own data, (2) database structure — is it normalized or is data duplicated everywhere, (3) security — are API keys hidden, is business logic on the server. These three fix 80% of problems.

Do I need DevOps and CI/CD for an MVP?

Yes. You don't need Kubernetes and 15 microservices, but a minimal pipeline (lint + tests + automated deploy) saves you hours and prevents "I forgot to push the new version." GitHub Actions is free for small projects. There's no reason not to have it.

Dlaczego aplikacje zbudowane przez AI padają na produkcji

Q: What are the most important things to check in an AI-generated app?

Three things: (1) privacy rules — can users only see their own data, (2) database structure — is it normalized or is data duplicated everywhere, (3) security — are API keys hidden, is business logic on the server. These three fix 80% of problems.

Q: Do I need DevOps and CI/CD for an MVP?

Yes. You don't need Kubernetes and 15 microservices, but a minimal pipeline (lint + tests + automated deploy) saves you hours and prevents "I forgot to push the new version." GitHub Actions is free for small projects. There's no reason not to have it.

AI doprowadzi Cię do 80% w rekordowym tempie. Ale te ostatnie 20% to miejsce, gdzie mieszka prawdziwa inżynieria — i gdzie większość projektów umiera.

⏱ 15 min czytania

Budujemy aplikacje od ponad 10 lat. Ponad 60 projektów no-code i AI-generated — większość z nich to były akcje ratunkowe. Founderzy, którzy sami to zbudowali albo pozwolili AI wygenerować całość, przychodzili z tym samym problemem: „Działało na demo, ale na produkcji się sypie.”

I tu jest sedno sprawy. Ludzie widzą 90-procentowe rozwiązanie złożonego problemu i myślą, że to 90% roboty. W rzeczywistości to najwyżej połowa. Pewnie nawet mniej. Bo to nie jest ten sam rodzaj pracy. Te pierwsze 80% to prototyp. Te ostatnie 20% to inżynieria — bezpieczeństwo, obsługa błędów, skalowalność, testy, deployment, monitoring. Wszystko to, co sprawia, że aplikacja przeżywa spotkanie z prawdziwym użytkownikiem.

Jest taka dziwna kultura postów „wysłałem to w weekend”, która całkowicie pomija część, w której musisz to zahartować, zanim prawdziwi ludzie zaczną tego używać. Nikt nie mówi o konfiguracji HTTPS, o zabezpieczeniach, o tym co się dzieje, kiedy dwa procesy próbują zapisać ten sam rekord. A to właśnie tam żyją prawdziwe problemy.

Ten artykuł jest o tej części. O konkretnych wzorcach awarii, które widzę w każdym AI-generowanym projekcie, i o tym, jak je naprawić — krok po kroku, bez teorii.

Matematyka niezawodności, o której nikt nie mówi

Zanim przejdziemy do konkretnych bugów, porozmawiajmy o matematyce. Bo to tutaj iluzja AI-generowanych aplikacji się rozpada.

Załóżmy, że każdy krok w Twoim workflow ma 95% dokładności. Brzmi dobrze, prawda? To jest naprawdę hojna ocena dla większości AI-generowanych komponentów. Ale popatrzmy, co się dzieje, kiedy te kroki się składają:

5 kroków: 0.95^5 = 77% niezawodności
10 kroków: 0.95^10 = 60% niezawodności
20 kroków: 0.95^20 = 36% niezawodności

Dwadzieścia kroków i Twoja „rewolucyjna automatyzacja” zawodzi częściej niż się udaje. To nie jest problem modelu AI. To jest problem złożoności systemu, i żadna ilość lepszych promptów tego nie naprawi.

Agenty, które faktycznie działają w produkcji? Robią jedną nudną rzecz naprawdę dobrze. Nie „autonomicznie nawigują złożonych workflowów” — parsują fakturę albo podsumowują wątek e-maili. Zespoły, które zamykają pętlę konsekwentnie, ograniczają agenta do jednego pełnego podprocesu zamiast próbować automatyzować cały workflow.

Kluczowy wniosek

Prawdziwym wąskim gardłem nie jest już model AI. To jest przepaść między myśleniem a działaniem. Dobry agent musi faktycznie wykonywać zadania od początku do końca, a nie tylko generować tekst.

Te same bugi, za każdym razem

Po naprawieniu dziesiątek AI-generowanych projektów widzę ten sam wzorzec. To nie są losowe bugi. To są systemowe braki, które wynikają z tego, jak AI generuje kod — działa na szczęśliwą ścieżkę i kompletnie ignoruje wszystko, co może pójść nie tak.

Oto lista, którą widzę praktycznie w każdym projekcie:

Autentykacja, która „jakoś” działa — do momentu, aż ktoś użyje dziwnego dostawcy e-mail albo spróbuje zresetować hasło.
Baza danych, która działa przy 10 użytkownikach i całkowicie pada przy 100. Zero indeksów, zero normalizacji, imię, email i telefon klienta powielone na każdym zamówieniu zamiast linkowanych tabel.
Obsługa błędów, która mówi „coś poszło nie tak” i zero użytecznych informacji. Płatność nie przechodzi? Workflow po prostu się zatrzymuje. Użytkownik nie wie, co się stało, Ty nie wiesz, co się stało.
Zero rate limitingu — jeden zły aktor może położyć całą aplikację. Widziałem to wielokrotnie.
Klucze API zahardkodowane we frontendzie. Tak, wielokrotnie. ChatGPT zbudował „piękne Node.js API z doskonałą obsługą błędów” — tyle że nie miało rate limitingu, logowało wrażliwe dane i stopiłoby się pod jakimkolwiek prawdziwym ruchem.
Zero reguł prywatności — każdy użytkownik może widzieć dane każdego innego użytkownika. Row-level security? Nie istnieje.
Zero logiki backendowej — wszystko po stronie klienta, cała logika biznesowa wystawiona w przeglądarce.
Duplikowane workflow — AI dodaje tę samą funkcjonalność dwa razy, dwa workflow ze sobą walczą.

Każdy z tych problemów jest trywialny do naprawienia, jeśli wiesz, że istnieje. Problem w tym, że AI ich nie widzi, bo z perspektywy AI — kod „dziala”.

Co narzędzia AI robią źle

Większości awarii nie powodował model. Powodowały je brakujące kontrakty. Brak jasnej definicji tego, co agent ma prawo robić, jak wygląda poprawny output i jaki stan ma zachowywać.

Kiedy coś idzie nie tak, ludzie zaczynają poprawiać prompty zamiast naprawiać strukturę. To tylko maskuje problem. Tydzień później wypluwa coś innego, bo podstawowy problem — brak kontraktów — jest nadal taki sam.

Większość projektów agentowych jest projektowana wokół tego, co AI potrafi zrobić, a nie tego, czego workflow faktycznie potrzebuje od początku do końca. To jest dokładnie odwrotnie. Solidny agent zaczyna od:

Wąsko zdefiniowanego celu — jeden proces, jedna odpowiedzialność.
Ścisłych formatów wejścia/wyjścia — JSON schema, typy, walidacja. Nie „powinienem zwrócić coś w formacie X.”
Jasnych reguł zachowania — co agent może robić, czego nie może, co robi, kiedy nie wie.

Dopiero potem myślisz o UI i integracjach.

Agenty nie uczą się na własnych błędach. Nawet ich nie pamiętają, chyba że to wbudujesz. Każda konwersacja to izolowany bąbek. To znaczy, że każda sesja zaczyna się od zera — te same błędy, te same naiwne założenia, te same brakujące edge case'y. Jeśli nie zapiszesz lekcji z jednej sesji i nie przekażesz ich następnej, AI będzie powtarzać te same problemy w nieskończoność.

Przepaść między demo a produkcją

Działa na localhost. Pięknie. Ale co się dzieje, kiedy wrzucisz to na serwer?

AI narzędzia są świetne do prototypowania, ale istnieje przepaść między demo a prawdziwym produktem. To jest lista problemów, które pojawiają się w momencie, kiedy ktoś inny niż Ty zaczyna używać Twojej aplikacji:

CORS i problemy sieciowe

Frontend na jednej domenie, backend na drugiej, brak odpowiednich headerów. Na localhost działa, bo przeglądarka odpuszcza. Na produkcji? Błąd na każdym użytkowniku.

Wydajność pod obciążeniem

Zapytania N+1 do bazy danych, brak paginacji, ładowanie całej tabeli do pamięci. Przy 5 rekordach testowych tego nie zauważyć. Przy 5000 — strona ładuje się 30 sekund, a serwer zjada cały RAM.

Zarządzanie stanem i sesjami

AI nie myśli o tym, co się dzieje, kiedy użytkownik otwiera dwie karty, traci połączenie albo wraca po godzinie. Sesje wygasają? Token się odświeża? Kto obsługuje conflict resolution? Nikt, bo AI nie pomyślało o tym scenariuszu.

Deployment i infrastruktura

Brak Dockerfile. Brak zmiennych środowiskowych — wszystko zahardkodowane. Brak CI/CD. Brak health checka. Brak strategii rollbacku. Brak autoskalowania. Jeden serwer, zero redundancji. Jeśli padnie — padnie wszystko.

Większość drag-and-drop platform rozwiązuje łączność. Niezawodność — obsługa częściowych awarii, retry'e, edge case'y — to jest miejsce, gdzie robi się bałagan na produkcji.

Jak to naprawdę naprawić

Nie musisz wyrzucać AI-generowanego kodu. Musisz go wzmocnić. Oto konkretne kroki, nie teoria:

1. Sprawdź reguły prywatności i strukturę bazy danych — te dwa naprawiają większość problemów

To jest rada, którą daję każdemu. Jeśli Twoja aplikacja wydaje się krucha, zacznij od tych dwóch. Row-level security (RLS) w Supabase, Postgres policies, albo middleware sprawdzający, czy użytkownik ma prawo widzieć dany rekord. Potem normalizacja bazy — linkowane tabele zamiast danych powielonych na każdym rekordzie.

2. Przenieś logikę biznesową na backend

Każda walidacja, która jest tylko we frontendzie, to zaproszenie do nadużywania. Ceny, rabaty, uprawnienia, limity — wszystko po stronie serwera. Frontend to tylko warstwa prezentacji. Jeśli ktoś może otworzyć DevTools i zmienić cenę produktu — masz problem.

3. Dodaj prawdziwą obsługę błędów z fallbackami i retry

Każde API call może się nie udać. Każda płatność może zostać odrzucona. Każde połączenie z bazą danych może się zerwać. AI generuje kod, który zakłada, że nic nigdy się nie psuje. Dodaj try/catch z sensownymi komunikatami. Dodaj retry z exponential backoff. Dodaj fallbacki — jeśli główna usługa padnie, co się dzieje?

4. Zabezpiecz klucze i sekrety

Zmienne środowiskowe, nie zahardkodowane stringi. AWS Secrets Manager, Doppler, albo chociaż .env z prawidłowym .gitignore. Jeśli Twój klucz API jest w kodzie frontendowym — jest publiczny. Nie ma wyjątków.

5. Zbuduj pipeline CI/CD

GitHub Actions, GitLab CI, Bitbucket Pipelines — nie ma znaczenia które. Ważne, że każdy deploy przechodzi przez: lint, testy, build, deploy na staging, potem na produkcję. Zero ręcznego wrzucania plików przez FTP.

6. Dodaj monitoring i alerting od dnia pierwszego

Sentry na błędy frontendowe i backendowe. CloudWatch albo Datadog na metryki serwerowe. Alerty na Slacku albo e-mailu, kiedy error rate przekroczy próg. Jeśli nie wiesz, że coś się popsuło — to tak, jakby się nie popsuło. Do momentu, aż klient Ci powie.

Typowy błąd

Kiedy coś idzie nie tak, ludzie zaczynają poprawiać prompty zamiast naprawiać strukturę. To jak malowanie domu, który ma pęknięty fundament. Wygląda lepiej przez tydzień. Potem pęknięcia wracają.

// checklist

Checklista gotowości produkcyjnej

Przejdź przez to przed każdym deployem. Każdy punkt to coś, co widziałem brakującego w prawdziwych projektach.

✓Row-level security / reguły prywatności. Każdy użytkownik widzi tylko swoje dane. Testuj to logując się jako różni użytkownicy.
✓Normalizacja bazy danych + indeksy. Linkowane tabele, nie powielone dane. Indeksy na kolumnach, po których wyszukujesz.
✓Logika biznesowa po stronie serwera. Ceny, rabaty, uprawnienia — nigdy tylko we frontendzie.
✓Obsługa błędów z fallbackami i retry. Każdy zewnętrzny call ma try/catch, sensowny komunikat i strategię retry.
✓Rate limiting. Na endpointach logowania, rejestracji, API. Chroń się przed brute force i złośliwym ruchem.
✓Zarządzanie sekretami. Zero zahardkodowanych kluczy. Zmienne środowiskowe, secrets manager, szyfrowanie at rest.
✓Pipeline CI/CD. Automatyczny lint, testy, build, deploy. Zero ręcznych deployów.
✓Monitoring i alerting. Sentry, CloudWatch, Datadog — cokolwiek. Musisz wiedzieć, że coś się popsuło, zanim powie Ci klient.
✓HTTPS + security headers. TLS wszędzie. HSTS, Content-Security-Policy, X-Frame-Options.
✓Walidacja inputu. Na serwerze, nie tylko na frontendzie. Każdy input od użytkownika jest potencjalnie złośliwy.
✓Connection pooling. Nie tworzysz nowego połączenia z bazą na każde zapytanie. PgBouncer, HikariCP, albo wbudowany pool.
✓Testy obciążeniowe przed uruchomieniem. k6, Artillery albo chociaż ab. Wiesz, gdzie się łamie, zanim łamie się na użytkowniku.

// FAQ

Najczęściej zadawane pytania

Czy AI-generowany kod nadaje się do produkcji?

Sam w sobie — rzadko. Ale to nie znaczy, że jest bezużyteczny. Traktuj go jako solidny prototyp, który potrzebuje wzmocnienia. Sprawdź reguły prywatności, dodaj obsługę błędów, przenieś logikę na backend, dodaj monitoring. Kod bazowy jest często w porządku — brakuje mu warstwy produkcyjnej.

Ile czasu zajmuje przejście z prototypu AI do produkcji?

Zwykle 2-6 tygodni dla typowej aplikacji SaaS, w zależności od złożoności i liczby integracji. Jeśli baza danych jest dobrze zaprojektowana od początku, idzie szybciej. Jeśli jest płaska (wszystkie dane w jednej tabeli) — dużo dłużej, bo trzeba przenieść dane.

Czy lepiej naprawić AI-generowany kod, czy przepisać od zera?

Prawie zawsze lepiej naprawić. Przepisywanie od zera brzmi kusząco, ale zwykle zajmuje 3-5x dłużej niż się spodziewasz i wprowadza nowe bugi. Wyjątki: jeśli architektura jest całkowicie zła (np. brak backendu w ogóle) albo jeśli aplikacja jest bardzo mała (<1000 linii kodu).

Jakie są najważniejsze rzeczy do sprawdzenia w AI-generowanej aplikacji?

Trzy rzeczy: (1) reguły prywatności — czy użytkownicy widzą tylko swoje dane, (2) struktura bazy danych — czy jest znormalizowana, czy dane są powielone, (3) bezpieczeństwo — czy klucze API są ukryte, czy logika biznesowa jest na serwerze. Te trzy naprawiają 80% problemów.

Czy potrzebuję DevOps i CI/CD dla MVP?

Tak. Nie musisz mieć Kubernetesa i 15 mikroserwisów, ale minimalny pipeline (lint + testy + automatyczny deploy) oszczędzi Ci godzin i zapobiegnie „zapomniałem wysłać nową wersję”. GitHub Actions jest darmowy dla małych projektów. Nie ma powodu, żeby tego nie mieć.

// następny krok

Twoja AI-aplikacja działa na demo, ale nie na produkcji?

To dokładnie to, co naprawiam. Porozmawiajmy — sprawdzę, co trzeba wzmocnić, i powiem Ci, ile to zajmie.

Zarezerwuj bezpłatną rozmowę →

Bezpłatna rozmowa Bez zobowiązań Odpowiedź w 24h