La IA scrive già metà del codice aziendale. Ma per i team di sicurezza è una catastrofe silenziosa.

Tra gli intervistati da Salt, il 29% ha indicato i pattern di codifica insicuri come il rischio principale, mentre il 15% ha detto che la preoccupazione primaria era il disallineamento con le politiche di sicurezza interne . Entrambi i timori nascono dalla stessa causa principale: gli assistenti di codifica IA sono addestrati su codice pubblico, non sulle politiche di sicurezza, i framework di settore o i requisiti di conformità di una specifica organizzazione .

Security Drift: quando nessuno si accorge di cosa finisce in produzione

Il report introduce la "security drift" come il meccanismo che trasforma il paradosso dell'adozione in un'esposizione reale. L'idea è semplice. Un'organizzazione scrive le sue regole di sicurezza su wiki, PDF e conoscenze tribali che l'assistente IA non ha mai letto. L'assistente genera codice sintatticamente corretto e funzionalmente utile, ma che viola silenziosamente quelle politiche interne. Nessuno lo intercetta perché i processi di revisione non riescono a tenere il passo .

Questo porta Salt a uno dei suoi risultati più pratici – e allarmanti – sulla governance. Il 38% delle organizzazioni si affida ancora principalmente alla revisione manuale del codice per gestire l'output degli assistenti di codifica IA. Il volume di codice generato dall'IA ha già superato ciò che i revisori umani possono ispezionare in modo significativo, e la proiezione di Salt per il 2027 suggerisce che questo divario non potrà che aumentare . Solo una piccola minoranza di organizzazioni ha integrato dei guardrail di sicurezza automatizzati nei propri flussi di lavoro di codifica IA .

Roey Eliyahu, CEO di Salt Security, ha riassunto la situazione senza mezzi termini: la governance non è riuscita a tenere il passo con il modo in cui gli assistenti di codifica IA hanno cambiato lo sviluppo software . I tradizionali strumenti di analisi statica e dinamica (SAST/DAST) individuano i problemi troppo tardi nella pipeline, quando ogni correzione diventa una riscrittura e ogni riscrittura è un ritardo .

Il divario percettivo di METR: sentirsi più veloci, esserlo di meno

La governance della sicurezza non è l'unica area in cui percezione e realtà hanno preso strade diverse. Il report di Salt evidenzia un risultato di uno studio esterno che è diventato un punto di riferimento nei dibattiti sugli strumenti per sviluppatori: il trial randomizzato controllato (RCT) di METR pubblicato a luglio 2025 .

Lo studio ha messo 16 sviluppatori open-source esperti di fronte a 246 task reali sui loro repository maturi – codebase con una media di oltre un milione di righe e decine di migliaia di stelle su GitHub. I partecipanti sono stati assegnati casualmente a utilizzare strumenti di IA (principalmente Cursor Pro con Claude 3.5/3.7 Sonnet) o a lavorare senza .

Il risultato principale è stato citato così tante volte da rischiare di diventare rumore di fondo, ma i numeri restano impressionanti. Gli sviluppatori che usavano l'IA hanno completato i task il 19% più lentamente rispetto a chi ha lavorato senza alcuna assistenza. Prima del trial, quegli stessi sviluppatori avevano previsto che l'IA li avrebbe resi il 24% più veloci. Dopo aver completato i loro task, hanno stimato che gli strumenti li avessero resi circa il 20% più veloci – anche se la misurazione oggettiva ha mostrato che erano più lenti. Il divario tra produttività percepita e reale ha superato i 39 punti percentuali .

Il risultato di METR non significa che gli strumenti di IA siano inutili – il contesto conta moltissimo. Sono stati osservati guadagni in scenari di onboarding, nella generazione di routine di codice boilerplate e in compiti in cui gli sviluppatori hanno meno familiarità con la codebase. Ma per ingegneri esperti che lavorano su compiti complessi e dipendenti dalla codebase, le prove suggeriscono che gli strumenti possono introdurre un attrito che gli sviluppatori non registrano coscientemente .

Salt Code: imporre le regole al prompt, non alla pipeline

Salt ha programmato l'uscita della sua ricerca in concomitanza con il lancio di un prodotto progettato per affrontare proprio il gap di governance che il report identifica. Il 1° giugno 2026, l'azienda ha introdotto Salt Code, un nuovo componente della sua più ampia Agentic Security Platform .

L'approccio di Salt Code è fermare la deriva della sicurezza prima che inizi. Invece di scansionare il codice generato dall'IA a posteriori, impone le regole interne di sicurezza e conformità di un'organizzazione direttamente all'interno dell'assistente di codifica IA nel momento della generazione del codice. Il prodotto funziona con i principali strumenti su cui le aziende si stanno standardizzando: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex e Gemini CLI .

L'obiettivo è far sì che il codice conforme alle policy diventi l'output predefinito, non qualcosa che richieda una scansione e una riscrittura a valle. Per i team di sicurezza, fornisce un unico livello di policy attraverso la creazione del codice, i controlli di pipeline e il monitoraggio a runtime – un passaggio dal catturare gli errori al prevenirli .

Resta una domanda aperta se Salt Code o strumenti simili riusciranno a colmare il gap di governance alla velocità richiesta dall'adozione dell'IA. Ma la direzione di marcia è chiara. Se la proiezione regge – che l'IA scriverà più della metà di tutto il codice aziendale entro diciotto mesi – allora la politica di sicurezza deve passare da una fase di revisione a un'impostazione predefinita. L'alternativa, come avverte il report di Salt, è una deriva della sicurezza su scala industriale.