AI-codeerhulpen hebben gewonnen. De strijd om beveiliging begint pas.

Onder de respondenten van Salt wees 29% op onveilige codeerpatronen als het grootste risico, terwijl 15% de voornaamste zorg noemde: misalignment met interne beveiligingsregels . Beide angsten komen voort uit dezelfde oorzaak: AI-assistenten zijn getraind op publieke code, niet op interne veiligheidsbeleid, industriestandaarden of compliance-eisen van individuele organisaties .

Security drift: wanneer niemand merkt wat er live gaat

Het rapport introduceert "security drift" als het mechanisme dat de adoptieparadox omzet in daadwerkelijke blootstelling. Het idee is eenvoudig. Een organisatie legt haar beveiligingsregels vast in wiki's, pdf's en impliciete kennis die de AI-assistent nooit heeft gelezen. De assistent genereert code die syntactisch correct en functioneel bruikbaar is, maar die stilletjes de interne regels schendt. Niemand merkt het op omdat de reviewprocessen het tempo niet kunnen bijbenen .

Daarmee komt Salt op een van de meest concrete — en alarmerende — bevindingen over governance. 38% van de organisaties vertrouwt nog altijd primair op handmatige code-review om de output van AI-assistenten te controleren. Het volume aan AI-gegenereerde code is de menselijke reviewer al lang boven het hoofd gegroeid, en Salt's projectie voor 2027 suggereert dat die kloof alleen maar groter wordt . Slechts een kleine minderheid van de organisaties heeft geautomatiseerde beveiligingsmechanismen geïntegreerd in hun AI-ontwikkelstraat .

Roey Eliyahu, CEO van Salt Security, vatte de situatie samengevat: governance is er niet in geslaagd gelijke tred te houden met de manier waarop AI-coderingshulpen softwareontwikkeling hebben veranderd . Traditionele statische en dynamische analysetools (SAST/DAST) vangen problemen te laat in de pijplijn, wanneer elke fix een herschrijving wordt en elke herschrijving vertraging betekent .

De METR-perceptiekloof: trager maar voelt sneller

Beveiligingsgovernance is niet het enige domein waar perceptie en realiteit uiteenlopen. Het Salt-rapport haalt een externe studie aan die een standaardreferentie is geworden in developer-toolingdiscussies: de METR randomized controlled trial, gepubliceerd in juli 2025 .

De studie zette 16 ervaren open-sourceontwikkelaars aan het werk op 246 realistische taken in hun eigen volwassen codebases — repositories met gemiddeld meer dan een miljoen regels code en tienduizenden GitHub-sterren. Deelnemers werden willekeurig toegewezen om óf AI-tools te gebruiken (voornamelijk Cursor Pro met Claude 3.5/3.7 Sonnet) óf zonder te werken .

Het belangrijkste resultaat wordt zo vaak geciteerd dat het bijna achtergrondruis is geworden, maar de cijfers blijven opvallend. Ontwikkelaars met AI voltooiden taken 19% langzamer dan degenen die zonder AI werkten. Vóór de trial voorspelden dezelfde ontwikkelaars dat AI hen 24% sneller zou maken. Na afloop schatten ze dat de tools hen ongeveer 20% sneller hadden gemaakt — terwijl de objectieve meting een vertraging liet zien. De kloof tussen ervaren en daadwerkelijke productiviteit bedroeg meer dan 39 procentpunten .

Dat wil niet zeggen dat AI-tools nutteloos zijn — de context weegt zwaar. Er zijn productiviteitswinsten waargenomen bij onboarding, routinematige boilerplate-code en taken waarin ontwikkelaars minder bekend zijn met de codebase. Maar voor ervaren engineers die werken aan complexe, codebase-afhankelijke opdrachten, suggereert het bewijs dat de tools wrijving kunnen introduceren die developers niet bewust registreren .

Salt Code: regels afdwingen bij de prompt, niet in de pijplijn

Salt timede de publicatie van zijn onderzoek met een productlancering die precies de governance-kloof moet dichten die het rapport beschrijft. Op 1 juni 2026 introduceerde het bedrijf Salt Code, een nieuw onderdeel van zijn bredere Agentic Security Platform .

De aanpak van Salt Code is om security drift te stoppen voordat het begint. In plaats van AI-gegenereerde code achteraf te scannen, dwingt het de interne beveiligings- en complianceregels van een organisatie rechtstreeks af in de AI-coderingshulp op het moment van codegeneratie. De tool werkt met de belangrijkste tools die bedrijven standaardiseren: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex en Gemini CLI .

Het doel is om beleidsconforme code tot de standaardoutput te maken, niet iets wat downstream scanning en herschrijven vereist. Voor beveiligingsteams biedt het één beleidslaag over codecreatie, pijplijncontroles en runtime-monitoring — een verschuiving van het vangen van fouten naar het voorkomen ervan .

Of Salt Code of vergelijkbare tools de governance-kloof zullen dichten in het tempo dat de AI-adoptie vereist, blijft een open vraag. Maar de richting is duidelijk. Als de projectie klopt — dat AI binnen achttien maanden meer dan de helft van alle bedrijfscode schrijft — dan moet beveiligingsbeleid verschuiven van een reviewfase naar een standaardinstelling. Het alternatief, zoals Salt's rapport waarschuwt, is security drift op industriële schaal.