Tekoälyavustajat voittivat koodauskisan. Seuraavaksi alkaa kyberturvataistelu.

Saltin kyselyyn vastanneista 29 % nosti turvattomat koodauskäytännöt suurimmaksi riskiksi, kun taas 15 % piti ensisijaisena huolenaiheena yhteensopimattomuutta sisäisten tietoturvakäytäntöjen kanssa . Molemmat pelot juontavat samaan juurisyyhyn: tekoälyn koodausavustajat on koulutettu julkisella koodilla, ei minkään yksittäisen organisaation sisäisillä tietoturvaperiaatteilla, toimialan viitekehyksillä tai vaatimustenmukaisuusmääräyksillä .

Tietoturva-ajautuminen: Kun kukaan ei huomaa, mitä tuotantoon päätyy

Raportti esittelee "tietoturva-ajautumisen" mekanismina, joka muuttaa käyttöönoton paradoksin todelliseksi riskialttiudeksi. Ajatus on yksinkertainen. Organisaatio kirjaa tietoturvasääntönsä wikeihin, PDF-tiedostoihin ja hiljaiseen tietoon, jota tekoälyavustaja ei ole koskaan lukenut. Avustaja tuottaa koodia, joka on syntaktisesti oikeaa ja toiminnallisesti hyödyllistä, mutta joka hiljaisesti rikkoo noita sisäisiä käytäntöjä. Kukaan ei huomaa sitä, koska tarkistusprosessit eivät pysy perässä .

Tämä vie Saltin yhteen sen käyttökelpoisimmista – ja hälyttävimmistä – havainnoista hallinnosta. 38 % organisaatioista luottaa yhä ensisijaisesti manuaaliseen koodikatselmointiin käsitelläkseen tekoälykoodausavustajien tuotoksen. Tekoälyn generoiman koodin määrä on jo ylittänyt sen, mitä ihmistarkastajat voivat mielekkäästi käydä läpi, ja Saltin vuodelle 2027 antama ennuste viittaa siihen, että tämä kuilu vain levenee . Vain pieni vähemmistö organisaatioista on integroinut automatisoituja tietoturvan suojakaiteita tekoälykoodauksen työnkulkuihinsa .

Roey Eliyahu, Salt Securityn toimitusjohtaja, tiivisti tilanteen suorasukaisesti: hallintamalli on epäonnistunut pysymään sen muutoksen tahdissa, jonka tekoälykoodausavustajat ovat aiheuttaneet ohjelmistokehityksessä . Perinteiset SAST/DAST-työkalut (staatisen ja dynaamisen analyysin testaus) havaitsevat ongelmat liian myöhään putkessa, jolloin jokainen korjaus on uudelleenkirjoitus ja jokainen uudelleenkirjoitus on viivästys .

METR:n havaintokuilu: Hitaampaa, mutta tuntuu nopeammalta

Tietoturvan hallinta ei ole ainoa alue, jossa havainto ja todellisuus ovat erkaantuneet. Saltin raportti korostaa ulkopuolisen tutkimuksen löydöstä, josta on tullut keskeinen viittauspiste kehittäjätyökaluista käytävissä keskusteluissa: METR:n satunnaistettu kontrolloitu koe, joka julkaistiin heinäkuussa 2025 .

Tutkimukseen osallistui 16 kokenutta avoimen lähdekoodin kehittäjää, jotka suorittivat 246 todellisen maailman tehtävää omissa kypsissä koodivarastoissaan – koodipohjat sisälsivät keskimäärin yli miljoona koodiriviä ja kymmeniä tuhansia GitHub-tähtiä. Osallistujat arvottiin joko käyttämään tekoälytyökaluja (pääasiassa Cursor Pro Claude 3.5/3.7 Sonnetilla) tai työskentelemään ilman niitä .

Otsikkotulosta on siteerattu niin usein, että se on vaarassa muuttua taustakohinaksi, mutta luvut pysäyttävät yhä. Tekoälyä käyttäneet kehittäjät suorittivat tehtävät 19 % hitaammin kuin ne, jotka työskentelivät ilman apuvälineitä. Ennen koetta samat kehittäjät ennustivat tekoälyn tekevän heistä 24 % nopeampia. Tehtävien suorittamisen jälkeen he arvioivat työkalujen nopeuttaneen heitä noin 20 % – vaikka objektiivinen mittaus osoitti heidän olleen hitaampia. Kuilu koetun ja todellisen tuottavuuden välillä ylitti 39 prosenttiyksikköä .

METR:n löydös ei tarkoita tekoälytyökalujen olevan hyödyttömiä – kontekstilla on valtavasti merkitystä. Hyötyjä on havaittu perehdytystilanteissa, rutiininomaisessa valmispohjakoodin tuotannossa ja tehtävissä, joissa kehittäjät ovat vähemmän tuttuja koodipohjan kanssa. Mutta kokeneiden insinöörien kohdalla, jotka työskentelevät monimutkaisten, koodipohjariippuvaisten tehtävien parissa, todisteet viittaavat siihen, että työkalut voivat aiheuttaa kitkaa, jota kehittäjät eivät tietoisesti rekisteröi .

Salt Code: Sääntöjen toimeenpano kehotteella, ei putkessa

Salt ajoitti tutkimuksensa julkistuksen samaan aikaan tuotelanseerauksen kanssa, joka on suunniteltu paikkaamaan juuri sitä hallinnan kuilua, jonka raportti tunnistaa. Yhtiö esitteli 1. kesäkuuta 2026 uuden Salt Code -ratkaisun, joka on osa sen laajempaa Agentic Security Platform -alustaa .

Salt Coden lähestymistapa on pysäyttää tietoturva-ajautuminen ennen kuin se alkaa. Sen sijaan, että se tarkistaisi tekoälyn tuottamaa koodia jälkikäteen, se valvoo organisaation sisäisiä tietoturva- ja vaatimustenmukaisuussääntöjä suoraan tekoälyn koodausavustajan sisällä koodin generoinnin hetkellä. Tuote toimii keskeisissä työkaluissa, joita yritykset ovat vakiinnuttamassa: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex ja Gemini CLI .

Tavoitteena on tehdä käytäntöjen mukaisesta koodista oletusarvoinen tuotos, ei jotain, joka vaatii myöhempää skannausta ja uudelleenkirjoitusta. Tietoturvatiimeille se tarjoaa yhdenmukaisen käytäntökerroksen koodin luonnin, putkistotarkistusten ja ajonaikaisen valvonnan yli – siirtymä virheiden pyydystämisestä niiden ennaltaehkäisyyn .

Sulkeeko Salt Code tai vastaavat työkalut hallintakuilun sillä nopeudella, jota tekoälyn käyttöönotto vaatii, jää avoimeksi kysymykseksi. Mutta suuntaviiva on selvä. Jos ennuste pitää paikkansa – että tekoäly kirjoittaa yli puolet kaikesta yrityskoodista seuraavan puolentoista vuoden sisällä – tietoturvapolitiikan on siirryttävä tarkistusvaiheesta oletusasetukseksi. Vaihtoehto, kuten Saltin raportti varoittaa, on tietoturva-ajautuminen teollisessa mittakaavassa.