90% van de beveiligingsleiders vreest de risico's van AI code, maar 38% van de organisaties vertrouwt nog op handmatige controles – een gevaarlijke mismatch tussen volume en toezicht. Een rigoureuze METR trial toonde aan dat ervaren ontwikkelaars 19% langzamer werkten met AI, terwijl ze zelf dachten 20% sneller te z...

Create a landscape editorial hero image for this Studio Global article: What security risks, adoption rates, governance gaps, and developer perception issues surround AI-generated code, according to Salt Security. Article summary: Here are the key findings from Salt Security's June 2026 report **"AI Coding Assistants and the New Security Challenge"** [1][2].. Topic tags: general, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "The rapid adoption of AI coding assistants is creating a new governance challenge for enterprise security teams, according to research released by Salt Security, which found that n" source context "Salt Security AI coding assistants" Reference image 2: visual subject "Salt Security launches Salt Code, the first agentic security solution to enforce security policies inside AI coding assistants
De razendsnelle adoptie van AI in softwareontwikkeling creëert een kloof die niemand zag aankomen. Terwijl ontwikkelteams AI-coderingshulpen in recordtempo omarmen, functioneert het beveiligingsapparaat dat die code moet borgen nog alsof elke regel handmatig is geschreven door één ontwikkelaar op een voorspelbaar tempo. Het juni 2026-rapport van Salt Security, "AI Coding Assistants and the New Security Challenge", maakt deze kloof in schrijnende details duidelijk — en introduceert een term die het volgende tijdperk van applicatiebeveiliging zou kunnen definiëren: security drift.
AI-coderingshulpen zijn geen experiment meer in de marge. Uit het Salt-onderzoek blijkt dat 67% van de organisaties rapporteert dat de tools breed worden gebruikt binnen hun ontwikkelteams . Het bedrijf voorspelt dat door AI geassisteerde code in 2027 meer dan 50% van alle bedrijfscode zal uitmaken — een drempel waarmee machinaal gegenereerde code de dominante input wordt voor productiesystemen
.
Die groei zou in bijna elke andere hoek van de bedrijfstechnologie toegejuicht worden. Het probleem is wat er gebeurt als die code arriveert zonder een passende beveiligingsreactie. 90% van de beveiligingsleiders gaf bij Salt aan actief bezorgd te zijn over de risico's van AI-gegenereerde code . Hun zorgen zijn niet abstract. Uit de nieuwste tests van Veracode, geciteerd in het Salt-rapport, blijkt dat het veiligheidsslaagpercentage voor AI-code rond de 55% schommelt — een cijfer dat al twee jaar nagenoeg onveranderd is. Dat betekent dat bijna de helft van alle gegenereerde code bekende kwetsbaarheden bevat wanneer er geen expliciete beveiligingssturing wordt gegeven
.
Onder de respondenten van Salt wees 29% op onveilige codeerpatronen als het grootste risico, terwijl 15% de voornaamste zorg noemde: misalignment met interne beveiligingsregels . Beide angsten komen voort uit dezelfde oorzaak: AI-assistenten zijn getraind op publieke code, niet op interne veiligheidsbeleid, industriestandaarden of compliance-eisen van individuele organisaties
.
Het rapport introduceert "security drift" als het mechanisme dat de adoptieparadox omzet in daadwerkelijke blootstelling. Het idee is eenvoudig. Een organisatie legt haar beveiligingsregels vast in wiki's, pdf's en impliciete kennis die de AI-assistent nooit heeft gelezen. De assistent genereert code die syntactisch correct en functioneel bruikbaar is, maar die stilletjes de interne regels schendt. Niemand merkt het op omdat de reviewprocessen het tempo niet kunnen bijbenen .
Daarmee komt Salt op een van de meest concrete — en alarmerende — bevindingen over governance. 38% van de organisaties vertrouwt nog altijd primair op handmatige code-review om de output van AI-assistenten te controleren. Het volume aan AI-gegenereerde code is de menselijke reviewer al lang boven het hoofd gegroeid, en Salt's projectie voor 2027 suggereert dat die kloof alleen maar groter wordt . Slechts een kleine minderheid van de organisaties heeft geautomatiseerde beveiligingsmechanismen geïntegreerd in hun AI-ontwikkelstraat
.
Roey Eliyahu, CEO van Salt Security, vatte de situatie samengevat: governance is er niet in geslaagd gelijke tred te houden met de manier waarop AI-coderingshulpen softwareontwikkeling hebben veranderd . Traditionele statische en dynamische analysetools (SAST/DAST) vangen problemen te laat in de pijplijn, wanneer elke fix een herschrijving wordt en elke herschrijving vertraging betekent
.
Beveiligingsgovernance is niet het enige domein waar perceptie en realiteit uiteenlopen. Het Salt-rapport haalt een externe studie aan die een standaardreferentie is geworden in developer-toolingdiscussies: de METR randomized controlled trial, gepubliceerd in juli 2025 .
De studie zette 16 ervaren open-sourceontwikkelaars aan het werk op 246 realistische taken in hun eigen volwassen codebases — repositories met gemiddeld meer dan een miljoen regels code en tienduizenden GitHub-sterren. Deelnemers werden willekeurig toegewezen om óf AI-tools te gebruiken (voornamelijk Cursor Pro met Claude 3.5/3.7 Sonnet) óf zonder te werken .
Het belangrijkste resultaat wordt zo vaak geciteerd dat het bijna achtergrondruis is geworden, maar de cijfers blijven opvallend. Ontwikkelaars met AI voltooiden taken 19% langzamer dan degenen die zonder AI werkten. Vóór de trial voorspelden dezelfde ontwikkelaars dat AI hen 24% sneller zou maken. Na afloop schatten ze dat de tools hen ongeveer 20% sneller hadden gemaakt — terwijl de objectieve meting een vertraging liet zien. De kloof tussen ervaren en daadwerkelijke productiviteit bedroeg meer dan 39 procentpunten .
Dat wil niet zeggen dat AI-tools nutteloos zijn — de context weegt zwaar. Er zijn productiviteitswinsten waargenomen bij onboarding, routinematige boilerplate-code en taken waarin ontwikkelaars minder bekend zijn met de codebase. Maar voor ervaren engineers die werken aan complexe, codebase-afhankelijke opdrachten, suggereert het bewijs dat de tools wrijving kunnen introduceren die developers niet bewust registreren .
Salt timede de publicatie van zijn onderzoek met een productlancering die precies de governance-kloof moet dichten die het rapport beschrijft. Op 1 juni 2026 introduceerde het bedrijf Salt Code, een nieuw onderdeel van zijn bredere Agentic Security Platform .
De aanpak van Salt Code is om security drift te stoppen voordat het begint. In plaats van AI-gegenereerde code achteraf te scannen, dwingt het de interne beveiligings- en complianceregels van een organisatie rechtstreeks af in de AI-coderingshulp op het moment van codegeneratie. De tool werkt met de belangrijkste tools die bedrijven standaardiseren: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex en Gemini CLI .
Het doel is om beleidsconforme code tot de standaardoutput te maken, niet iets wat downstream scanning en herschrijven vereist. Voor beveiligingsteams biedt het één beleidslaag over codecreatie, pijplijncontroles en runtime-monitoring — een verschuiving van het vangen van fouten naar het voorkomen ervan .
Of Salt Code of vergelijkbare tools de governance-kloof zullen dichten in het tempo dat de AI-adoptie vereist, blijft een open vraag. Maar de richting is duidelijk. Als de projectie klopt — dat AI binnen achttien maanden meer dan de helft van alle bedrijfscode schrijft — dan moet beveiligingsbeleid verschuiven van een reviewfase naar een standaardinstelling. Het alternatief, zoals Salt's rapport waarschuwt, is security drift op industriële schaal.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
90% van de beveiligingsleiders vreest de risico's van AI code, maar 38% van de organisaties vertrouwt nog op handmatige controles – een gevaarlijke mismatch tussen volume en toezicht.
90% van de beveiligingsleiders vreest de risico's van AI code, maar 38% van de organisaties vertrouwt nog op handmatige controles – een gevaarlijke mismatch tussen volume en toezicht. Een rigoureuze METR trial toonde aan dat ervaren ontwikkelaars 19% langzamer werkten met AI, terwijl ze zelf dachten 20% sneller te zijn – een enorme perceptiekloof.
Salt verwacht dat AI gegenereerde code in 2027 meer dan 50% van alle bedrijfscode zal uitmaken, maar waarschuwt dat 'security drift' onveilige patronen ongemerkt in productie laat belanden.