AI-kodningsassistenter har vundet. Sikkerhedskampen er lige begyndt.

Blandt Salts respondenter pegede 29 % på usikre kodningsmønstre som den største risiko, mens 15 % sagde, at den primære bekymring var manglende overensstemmelse med interne sikkerhedspolitikker . Begge bekymringer udspringer af samme rod: AI-kodningsassistenter trænes på offentlig kode, ikke på den enkelte organisations sikkerhedspolitikker, brancherammer eller overholdelseskrav .

Security Drift: Når ingen opdager, hvad der bliver sendt i produktion

Rapporten introducerer “security drift” som den mekanisme, der gør udbredelsesparadokset til en reel eksponering. Ideen er ligetil. En organisation nedfælder sine sikkerhedsregler i wikier, PDF’er og tavs viden, som AI-assistenten aldrig har læst. Assistenten genererer kode, der er syntaktisk korrekt og funktionelt anvendelig, men som i stilhed overtræder de interne politikker. Ingen opdager det, fordi gennemgangsprocesserne ikke kan følge med .

Det bringer os til et af Salts mest handlingsorienterede – og alarmerende – fund om styring. 38 % af organisationerne forlader sig stadig primært på manuel kodegennemgang til at håndtere outputtet fra AI-kodningsassistenter. Mængden af AI-genereret kode har allerede overhalet, hvad menneskelige anmeldere realistisk kan inspicere, og Salts fremskrivning mod 2027 antyder, at denne kløft kun vil vokse . Kun et lille mindretal af organisationer har integreret automatiserede sikkerhedsværn i deres AI-kodningsworkflows .

Roey Eliyahu, administrerende direktør for Salt Security, opsummerede situationen kontant: Styringen er ikke fulgt med, i takt med at AI-kodningsassistenterne har ændret softwareudviklingen . Traditionelle statiske og dynamiske analyseværktøjer (SAST/DAST) fanger problemer for sent i processen, hvor enhver rettelse er en omskrivning, og enhver omskrivning er en forsinkelse .

METRs perceptionskløft: Langsommere, men det føles hurtigere

Sikkerhedsstyring er ikke det eneste område, hvor opfattelse og virkelighed er gledet fra hinanden. Salts rapport fremhæver et fund fra en ekstern undersøgelse, der er blevet et referencepunkt i debatten om udviklerværktøjer: METRs randomiserede kontrollerede forsøg offentliggjort i juli 2025 .

Forsøget lod 16 erfarne open source-udviklere løse 246 virkelige opgaver i deres egne modne kodebaser – kodebaser med i gennemsnit over en million linjer og titusindvis af GitHub-stjerner. Deltagerne blev tilfældigt tildelt enten at bruge AI-værktøjer (primært Cursor Pro med Claude 3.5/3.7 Sonnet) eller arbejde uden .

Hovedresultatet er blevet citeret så ofte, at det risikerer at blive baggrundsstøj, men tallene er stadig slående. Udviklere med AI adgang løste opgaverne 19 % langsommere end dem, der arbejdede uden nogen form for AI-assistance. Før forsøget forudsagde de samme udviklere, at AI ville gøre dem 24 % hurtigere. Efter at have løst opgaverne vurderede de, at værktøjerne havde gjort dem omkring 20 % hurtigere – selvom objektive målinger viste det modsatte. Kløften mellem oplevet og reel produktivitet oversteg 39 procentpoint .

METRs resultat betyder ikke, at AI-værktøjer er ubrugelige – kontekst er altafgørende. Gevinster er observeret i onboarding-scenarier, rutinepræget standardkode og opgaver, hvor udviklere er mindre fortrolige med kodebasen. Men for erfarne ingeniører, der arbejder på komplekse, kodebaseafhængige opgaver, tyder evidensen på, at værktøjerne kan introducere en friktion, som udviklerne ikke bevidst registrerer .

Salt Code: Håndhæv regler ved prompten, ikke i pipeline

Salt timede deres forskningsudgivelse sammen med en produktlancering designet til at adressere netop det styringsgab, rapporten identificerer. Den 1. juni 2026 introducerede virksomheden Salt Code, en ny komponent i deres bredere Agentic Security Platform .

Salt Codes tilgang er at stoppe security drift, før den opstår. I stedet for at scanne AI-genereret kode bagudrettet, håndhæver den en organisations interne sikkerheds- og overholdelsesregler direkte inde i AI-kodningsassistenten i det øjeblik, koden genereres. Produktet fungerer på tværs af de store værktøjer, virksomheder standardiserer omkring: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex og Gemini CLI .

Målet er at gøre politik-kompatibel kode til standardoutput, ikke noget, der kræver downstream-scanning og omskrivning. For sikkerhedsteams giver det et samlet politisk lag på tværs af kodeoprettelse, pipeline-tjek og runtime-overvågning – et skift fra at fange fejl til at forebygge dem .

Om Salt Code eller lignende værktøjer vil lukke styringsgabet i det tempo, AI-udbredelsen kræver, er stadig et åbent spørgsmål. Men retningen er klar. Hvis fremskrivningen holder – at AI vil skrive mere end halvdelen af al virksomhedskode inden for halvandet år – så må sikkerhedspolitik flytte sig fra et gennemgangstrin til en standardindstilling. Alternativet, som Salts rapport advarer om, er security drift i industriel skala.