AI kódovací asistenti vyhráli. Bitva o bezpečnost právě začíná.

Mezi respondenty Salt 29 % označilo za hlavní riziko nezabezpečené kódovací vzory, zatímco 15 % uvedlo jako primární obavu nesoulad s interními bezpečnostními politikami . Oba strachy pramení ze stejné příčiny: AI kódovací asistenti jsou trénováni na veřejném kódu, nikoli na bezpečnostních politikách, oborových rámcích či požadavcích na shodu konkrétní organizace .

Bezpečnostní drift: Když si nikdo nevšimne, co míří do produkce

Zpráva zavádí pojem „bezpečnostní drift“ (security drift) jako mechanismus, který mění paradox adopce v reálné ohrožení. Myšlenka je jednoduchá. Organizace sepisuje svá bezpečnostní pravidla do wiki, PDF a nepsaných znalostí, které AI asistent nikdy neviděl. Asistent generuje kód, který je syntakticky správný a funkčně užitečný, ale který v tichosti porušuje tyto interní politiky. Nikdo to nezachytí, protože procesy kontroly nestíhají .

Tím se dostáváme k jednomu z nejdůležitějších – a nejvíce alarmujících – zjištění o správě. 38 % organizací stále spoléhá primárně na manuální kontrolu kódu při zpracování výstupů AI asistentů. Objem kódu generovaného AI už dávno překonal to, co jsou lidští revizoři schopni smysluplně zkontrolovat, a podle projekce Salt pro rok 2027 se tato mezera bude jen zvětšovat . Jen malá menšina organizací integrovala automatizované bezpečnostní zábrany do svých AI kódovacích pracovních postupů .

Roey Eliyahu, CEO Salt Security, shrnul situaci bez obalu: správa nedokázala držet krok s tím, jak AI asistenti změnili vývoj softwaru . Tradiční nástroje statické a dynamické analýzy (SAST/DAST) zachytí problémy pozdě v pipeline, kdy je každá oprava přepisem a každý přepis zpožděním .

METR paradox vnímání: Pomalejší, ale pocitově rychlejší

Bezpečnostní řízení není jedinou oblastí, kde se vnímání a realita rozešly. Zpráva Salt upozorňuje na zjištění externí studie, která se stala referenčním bodem v debatách o vývojářských nástrojích: randomizovanou kontrolovanou studii METR publikovanou v červenci 2025 .

Studie postavila 16 zkušených open-source vývojářů před 246 reálných úkolů na jejich vlastních vyspělých repozitářích – kódové báze s průměrem přes milion řádků a desítkami tisíc hvězd na GitHubu. Účastníci byli náhodně rozděleni, buď mohli používat AI nástroje (převážně Cursor Pro s Claude 3.5/3.7 Sonnet), nebo pracovat bez nich .

Hlavní výsledek je citován tak často, až hrozí, že se stane pouhým šumem v pozadí, ale čísla zůstávají zarážející. Vývojáři, kteří používali AI, dokončili úkoly o 19 % pomaleji než ti, kteří pracovali bez jakékoli asistence. Před zahájením studie ti samí vývojáři odhadovali, že s AI budou o 24 % rychlejší. Po dokončení úkolů odhadovali, že jim nástroje přinesly zhruba 20% zrychlení – i když objektivní měření ukázalo opak. Rozdíl mezi pociťovanou a skutečnou produktivitou přesáhl 39 procentních bodů .

Zjištění METR neznamená, že AI nástroje jsou k ničemu – velmi záleží na kontextu. Zisky byly pozorovány při zaškolování nových vývojářů, generování rutinního „boilerplate“ kódu a u úkolů, kde vývojáři neznají kódovou základnu tak dobře. U zkušených inženýrů pracujících na složitých úkolech závislých na konkrétní kódové bázi ale důkazy naznačují, že nástroje mohou přinášet tření, které si vývojáři vědomě neuvědomují .

Salt Code: Prosazování pravidel už v promptu, ne až v pipeline

Salt načasoval vydání svého výzkumu s uvedením produktu, který má přesně tu mezeru ve správě bezpečnosti řešit. 1. června 2026 firma představila Salt Code, novou součást své širší Agentic Security Platform .

Přístup Salt Code spočívá v zastavení bezpečnostního driftu dříve, než vůbec začne. Místo skenování AI kódu až po jeho vygenerování prosazuje interní bezpečnostní a compliance pravidla organizace přímo uvnitř AI kódovacího asistenta v okamžiku generování kódu. Produkt funguje napříč hlavními nástroji, na které firmy sázejí: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex a Gemini CLI .

Cílem je, aby kód splňující bezpečnostní politiku byl standardním výstupem, ne něčím, co vyžaduje dodatečné skenování a přepisování. Pro bezpečnostní týmy poskytuje jednotnou politickou vrstvu napříč tvorbou kódu, kontrolami v pipeline a monitorováním za běhu – posun od chytání chyb k jejich prevenci .

Zda Salt Code nebo podobné nástroje zacelí mezeru ve správě bezpečnosti tempem, jaké si rychlá adopce AI žádá, zůstává otevřenou otázkou. Směr je ale jasný. Pokud platí odhad, že do osmnácti měsíců bude AI psát více než polovinu firemního kódu, musí se bezpečnostní politika přesunout z fáze kontroly do výchozího nastavení. Alternativou je, jak varuje zpráva Salt, bezpečnostní drift v průmyslovém měřítku.