Il 90% dei responsabili sicurezza è attivamente preoccupato per i rischi del codice generato dall'IA, eppure il 38% delle organizzazioni si affida ancora a revisioni manuali: un disallineamento pericoloso tra volume d... Un rigoroso trial METR ha scoperto che sviluppatori esperti sono stati il 19% più lenti usando s...

Create a landscape editorial hero image for this Studio Global article: What security risks, adoption rates, governance gaps, and developer perception issues surround AI-generated code, according to Salt Security. Article summary: Here are the key findings from Salt Security's June 2026 report **"AI Coding Assistants and the New Security Challenge"** [1][2].. Topic tags: general, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "The rapid adoption of AI coding assistants is creating a new governance challenge for enterprise security teams, according to research released by Salt Security, which found that n" source context "Salt Security AI coding assistants" Reference image 2: visual subject "Salt Security launches Salt Code, the first agentic security solution to enforce security policies inside AI coding assistants
La rapidità con cui l'intelligenza artificiale è stata adottata nell'ingegneria del software ha creato una frattura che nessuno si aspettava. Da un lato, i team di sviluppo hanno abbracciato gli assistenti di codifica a una velocità straordinaria. Dall'altro, l'apparato di sicurezza che dovrebbe governare quel codice opera ancora come se ogni riga fosse scritta a mano da un singolo sviluppatore, a un ritmo prevedibile. Il report di giugno 2026 di Salt Security, "AI Coding Assistants and the New Security Challenge" (Assistenti di codifica IA e la nuova sfida alla sicurezza), quantifica questo divario in termini crudi – e introduce un termine che potrebbe definire la prossima era della sicurezza applicativa: security drift, o deriva della sicurezza.
Gli assistenti di codifica IA non sono più un esperimento marginale. La ricerca di Salt rileva che il 67% delle organizzazioni dichiara che questi strumenti sono ampiamente utilizzati dai propri team di sviluppo . L'azienda prevede che il codice assistito dall'IA supererà il 50% di tutto il codice aziendale entro il 2027 – una soglia che renderebbe il codice generato dalle macchine l'input dominante nei sistemi di produzione
.
Una crescita simile verrebbe celebrata in quasi ogni altro ambito della tecnologia aziendale. Il problema è cosa succede quando quel codice arriva senza una risposta proporzionata sul fronte della sicurezza. Il 90% dei leader della sicurezza ha dichiarato a Salt di essere attivamente preoccupato per i rischi introdotti dal codice generato dall'IA . La loro non è una preoccupazione astratta. Gli ultimi test di Veracode, citati nel report di Salt, fissano il tasso di superamento dei controlli di sicurezza per il codice generato dall'IA a circa il 55% – una cifra praticamente invariata in due anni, il che significa che quasi la metà di tutto il codice generato contiene vulnerabilità note quando non viene fornita una guida esplicita alla sicurezza
.
Tra gli intervistati da Salt, il 29% ha indicato i pattern di codifica insicuri come il rischio principale, mentre il 15% ha detto che la preoccupazione primaria era il disallineamento con le politiche di sicurezza interne . Entrambi i timori nascono dalla stessa causa principale: gli assistenti di codifica IA sono addestrati su codice pubblico, non sulle politiche di sicurezza, i framework di settore o i requisiti di conformità di una specifica organizzazione
.
Il report introduce la "security drift" come il meccanismo che trasforma il paradosso dell'adozione in un'esposizione reale. L'idea è semplice. Un'organizzazione scrive le sue regole di sicurezza su wiki, PDF e conoscenze tribali che l'assistente IA non ha mai letto. L'assistente genera codice sintatticamente corretto e funzionalmente utile, ma che viola silenziosamente quelle politiche interne. Nessuno lo intercetta perché i processi di revisione non riescono a tenere il passo .
Questo porta Salt a uno dei suoi risultati più pratici – e allarmanti – sulla governance. Il 38% delle organizzazioni si affida ancora principalmente alla revisione manuale del codice per gestire l'output degli assistenti di codifica IA. Il volume di codice generato dall'IA ha già superato ciò che i revisori umani possono ispezionare in modo significativo, e la proiezione di Salt per il 2027 suggerisce che questo divario non potrà che aumentare . Solo una piccola minoranza di organizzazioni ha integrato dei guardrail di sicurezza automatizzati nei propri flussi di lavoro di codifica IA
.
Roey Eliyahu, CEO di Salt Security, ha riassunto la situazione senza mezzi termini: la governance non è riuscita a tenere il passo con il modo in cui gli assistenti di codifica IA hanno cambiato lo sviluppo software . I tradizionali strumenti di analisi statica e dinamica (SAST/DAST) individuano i problemi troppo tardi nella pipeline, quando ogni correzione diventa una riscrittura e ogni riscrittura è un ritardo
.
La governance della sicurezza non è l'unica area in cui percezione e realtà hanno preso strade diverse. Il report di Salt evidenzia un risultato di uno studio esterno che è diventato un punto di riferimento nei dibattiti sugli strumenti per sviluppatori: il trial randomizzato controllato (RCT) di METR pubblicato a luglio 2025 .
Lo studio ha messo 16 sviluppatori open-source esperti di fronte a 246 task reali sui loro repository maturi – codebase con una media di oltre un milione di righe e decine di migliaia di stelle su GitHub. I partecipanti sono stati assegnati casualmente a utilizzare strumenti di IA (principalmente Cursor Pro con Claude 3.5/3.7 Sonnet) o a lavorare senza .
Il risultato principale è stato citato così tante volte da rischiare di diventare rumore di fondo, ma i numeri restano impressionanti. Gli sviluppatori che usavano l'IA hanno completato i task il 19% più lentamente rispetto a chi ha lavorato senza alcuna assistenza. Prima del trial, quegli stessi sviluppatori avevano previsto che l'IA li avrebbe resi il 24% più veloci. Dopo aver completato i loro task, hanno stimato che gli strumenti li avessero resi circa il 20% più veloci – anche se la misurazione oggettiva ha mostrato che erano più lenti. Il divario tra produttività percepita e reale ha superato i 39 punti percentuali .
Il risultato di METR non significa che gli strumenti di IA siano inutili – il contesto conta moltissimo. Sono stati osservati guadagni in scenari di onboarding, nella generazione di routine di codice boilerplate e in compiti in cui gli sviluppatori hanno meno familiarità con la codebase. Ma per ingegneri esperti che lavorano su compiti complessi e dipendenti dalla codebase, le prove suggeriscono che gli strumenti possono introdurre un attrito che gli sviluppatori non registrano coscientemente .
Salt ha programmato l'uscita della sua ricerca in concomitanza con il lancio di un prodotto progettato per affrontare proprio il gap di governance che il report identifica. Il 1° giugno 2026, l'azienda ha introdotto Salt Code, un nuovo componente della sua più ampia Agentic Security Platform .
L'approccio di Salt Code è fermare la deriva della sicurezza prima che inizi. Invece di scansionare il codice generato dall'IA a posteriori, impone le regole interne di sicurezza e conformità di un'organizzazione direttamente all'interno dell'assistente di codifica IA nel momento della generazione del codice. Il prodotto funziona con i principali strumenti su cui le aziende si stanno standardizzando: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex e Gemini CLI .
L'obiettivo è far sì che il codice conforme alle policy diventi l'output predefinito, non qualcosa che richieda una scansione e una riscrittura a valle. Per i team di sicurezza, fornisce un unico livello di policy attraverso la creazione del codice, i controlli di pipeline e il monitoraggio a runtime – un passaggio dal catturare gli errori al prevenirli .
Resta una domanda aperta se Salt Code o strumenti simili riusciranno a colmare il gap di governance alla velocità richiesta dall'adozione dell'IA. Ma la direzione di marcia è chiara. Se la proiezione regge – che l'IA scriverà più della metà di tutto il codice aziendale entro diciotto mesi – allora la politica di sicurezza deve passare da una fase di revisione a un'impostazione predefinita. L'alternativa, come avverte il report di Salt, è una deriva della sicurezza su scala industriale.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Il 90% dei responsabili sicurezza è attivamente preoccupato per i rischi del codice generato dall'IA, eppure il 38% delle organizzazioni si affida ancora a revisioni manuali: un disallineamento pericoloso tra volume d...
Il 90% dei responsabili sicurezza è attivamente preoccupato per i rischi del codice generato dall'IA, eppure il 38% delle organizzazioni si affida ancora a revisioni manuali: un disallineamento pericoloso tra volume d... Un rigoroso trial METR ha scoperto che sviluppatori esperti sono stati il 19% più lenti usando strumenti di IA, pur credendo di essere il 20% più veloci, rivelando un enorme divario percettivo sulla reale produttività.
Salt prevede che il codice assistito dall'IA supererà il 50% di tutto il codice aziendale entro il 2027, ma avverte che la governance non ha tenuto il passo, lasciando che i pattern insicuri 'derivino' in produzione s...