Pembantu Pengekodan AI Sudah Menang. Pertempuran Keselamatan Baru Bermula.

Antara responden Salt, 29% menunjuk kepada corak pengekodan tidak selamat sebagai risiko utama, manakala 15% berkata kebimbangan utama adalah ketidaksejajaran dengan polisi keselamatan dalaman . Kedua-dua ketakutan berpunca daripada punca yang sama: pembantu pengekodan AI dilatih menggunakan kod awam, bukan pada polisi keselamatan, kerangka industri, atau keperluan pematuhan mana-mana organisasi individu .

Hanyutan Keselamatan: Apabila Tiada Siapa Sedar Apa Yang Dihantar

Laporan itu memperkenalkan "hanyutan keselamatan" sebagai mekanisme yang mengubah paradoks penggunaan menjadi pendedahan sebenar. Ideanya mudah. Sebuah organisasi menulis peraturan keselamatannya dalam wiki, PDF, dan pengetahuan suku yang tidak pernah dibaca oleh pembantu AI. Pembantu AI menjana kod yang betul dari segi sintaksis dan berguna secara fungsional, tetapi secara senyap melanggar polisi dalaman tersebut. Tiada sesiapa yang menyedarinya kerana proses semakan tidak dapat mengikutinya .

Itu membawa Salt kepada salah satu penemuan paling boleh diambil tindakan — dan membimbangkan — tentang tadbir urus. 38% organisasi masih bergantung terutamanya pada semakan kod manual untuk mengendalikan output pembantu pengekodan AI . Jumlah kod janaan AI telah melebihi apa yang boleh diperiksa secara bermakna oleh penyemak manusia, dan unjuran Salt untuk 2027 menunjukkan jurang itu hanya akan melebar . Hanya sebilangan kecil organisasi telah mengintegrasikan pagar keselamatan automatik ke dalam aliran kerja pengekodan AI mereka .

Roey Eliyahu, Ketua Pegawai Eksekutif Salt Security, merumuskan situasi itu secara terus terang: tadbir urus telah gagal seiring dengan bagaimana pembantu pengekodan AI telah mengubah pembangunan perisian . Alat analisis statik dan dinamik tradisional (SAST/DAST) menangkap masalah lewat dalam saluran paip, apabila setiap pembetulan menjadi penulisan semula dan setiap penulisan semula adalah kelewatan .

Jurang Persepsi METR: Rasa Lebih Pantas Tetapi Sebenarnya Lebih Perlahan

Tadbir urus keselamatan bukan satu-satunya kawasan di mana persepsi dan realiti telah bercapah. Laporan Salt mengetengahkan penemuan daripada kajian luar yang telah menjadi titik rujukan dalam perdebatan alat pembangun: uji kaji terkawal rawak METR yang diterbitkan pada Julai 2025 .

Kajian itu meletakkan 16 pembangun sumber terbuka berpengalaman melalui 246 tugas dunia sebenar pada repositori matang mereka sendiri — pangkalan kod yang purata melebihi sejuta baris dan puluhan ribu bintang GitHub. Peserta ditugaskan secara rawak untuk sama ada menggunakan alat AI (terutamanya Cursor Pro dengan Claude 3.5/3.7 Sonnet) atau bekerja tanpanya .

Keputusan utama telah disebut begitu kerap sehingga berisiko menjadi bunyi latar, tetapi angkanya tetap ketara. Pembangun yang menggunakan AI menyelesaikan tugas 19% lebih perlahan berbanding mereka yang bekerja tanpa sebarang bantuan AI. Sebelum uji kaji, pembangun yang sama meramalkan AI akan menjadikan mereka 24% lebih pantas. Selepas menyelesaikan tugas mereka, mereka menganggarkan alat tersebut telah menjadikan mereka kira-kira 20% lebih pantas — walaupun pengukuran objektif menunjukkan mereka lebih perlahan. Jurang antara produktiviti yang dirasai dan sebenar melebihi 39 mata peratusan .

Penemuan METR tidak bermaksud alat AI tidak berguna — konteks amat penting. Peningkatan telah diperhatikan dalam senario orientasi, penjanaan kod 'boilerplate' rutin, dan tugasan di mana pembangun kurang biasa dengan pangkalan kod. Tetapi bagi jurutera berpengalaman yang bekerja pada tugas yang kompleks dan bergantung kepada pangkalan kod, bukti menunjukkan alat tersebut boleh memperkenalkan geseran yang tidak disedari oleh pembangun secara sedar .

Salt Code: Menguatkuasakan Peraturan di Arahan (Prompt), Bukan Saluran Paip

Salt menetapkan masa pelancaran penyelidikannya seiring dengan pelancaran produk yang direka untuk menangani jurang tadbir urus yang dikenal pasti oleh laporan itu. Pada 1 Jun 2026, syarikat itu memperkenalkan Salt Code, komponen baharu Platform Keselamatan Agentiknya yang lebih luas .

Pendekatan Salt Code adalah untuk menghentikan hanyutan keselamatan sebelum ia bermula. Daripada mengimbas kod janaan AI selepas fakta, ia menguatkuasakan peraturan keselamatan dan pematuhan dalaman organisasi secara langsung di dalam pembantu pengekodan AI pada saat penjanaan kod. Produk ini berfungsi merentasi alat utama yang sedang diseragamkan oleh perusahaan: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex, dan Gemini CLI .

Matlamatnya adalah untuk menjadikan kod yang mematuhi polisi sebagai output lalai, bukan sesuatu yang memerlukan imbasan dan penulisan semula di hiliran. Bagi pasukan keselamatan, ia menyediakan satu lapisan polisi merentasi penciptaan kod, pemeriksaan saluran paip, dan pemantauan masa jalan — satu peralihan daripada menangkap ralat kepada mencegahnya .

Sama ada Salt Code atau alat serupa akan menutup jurang tadbir urus pada kelajuan yang dituntut oleh penggunaan AI masih menjadi persoalan terbuka. Tetapi arah perjalanan adalah jelas. Jika unjuran itu benar — bahawa AI akan menulis lebih separuh daripada semua kod perusahaan dalam masa lapan belas bulan — maka polisi keselamatan mesti beralih dari peringkat semakan kepada tetapan lalai. Alternatifnya, seperti yang diberi amaran oleh laporan Salt, adalah hanyutan keselamatan pada skala industri.