AI-koding er nå mainstream – men sikkerhetsstyringen ligger faretruende langt etter

Blant Salt Securitys respondenter pekte 29 prosent på usikre kodingsmønstre som den største risikoen, mens 15 prosent sa at hovedbekymringen var feiljustering med interne sikkerhetspolicyer . Begge fryktene stammer fra samme rotårsak: KI-kodeassistenter er trent på offentlig kode, ikke på den enkelte organisasjons interne sikkerhetspolicyer, bransjerammeverk eller samsvarskrav .

Sikkerhetsdrift: Når ingen legger merke til hva som sendes ut

Rapporten introduserer «sikkerhetsdrift» som mekanismen som gjør adopsjonsparadokset til reell eksponering. Tanken er enkel. En organisasjon skriver sikkerhetsreglene sine i wikier, PDF-er og stilltiende kunnskap som KI-assistenten aldri har lest. Assistenten genererer kode som er syntaktisk korrekt og funksjonelt nyttig, men som lydløst bryter interne policyer. Ingen fanger det opp, fordi gjennomgangsprosessene ikke henger med .

Dette bringer Salt Security til et av sine mest handlingsrettede – og alarmerende – funn om styring. 38 prosent av organisasjoner baserer seg fortsatt primært på manuell kodegjennomgang for å håndtere resultatene fra KI-kodeassistenter. Volumet av AI-generert kode har allerede overgått det menneskelige gjennomgåere meningsfylt kan inspisere, og Salt Securitys anslag for 2027 antyder at dette gapet bare vil øke . Kun et lite mindretall har integrert automatiserte sikkerhetsrekkverk i sine KI-kodearbeidsflyter .

Roey Eliyahu, administrerende direktør i Salt Security, oppsummerte situasjonen kontant: Styringen har mislyktes i å holde tritt med hvordan KI-kodeassistenter har endret programvareutvikling . Tradisjonelle verktøy for statisk og dynamisk analyse (SAST/DAST) fanger problemer sent i pipelinen, når enhver rettelse er en omskriving og enhver omskriving er en forsinkelse .

METRs persepsjonskløft: Tregere, men føles raskere

Sikkerhetsstyring er ikke det eneste området der persepsjon og virkelighet har skilt lag. Salt Securitys rapport trekker fram et funn fra en ekstern studie som har blitt et referansepunkt i debatter om utviklerverktøy: METRs randomiserte kontrollerte studie publisert i juli 2025 .

Studien satte 16 erfarne utviklere med åpen kildekode gjennom 246 virkelige oppgaver på deres egne repositorier – kodebaser med i snitt over en million linjer og titusenvis av GitHub-stjerner. Deltakerne ble tilfeldig tildelt enten å bruke KI-verktøy (hovedsakelig Cursor Pro med Claude 3.5/3.7 Sonnet) eller jobbe uten .

Hovedresultatet er sitert så ofte at det risikerer å bli bakgrunnsstøy, men tallene er fortsatt slående. Utviklere som brukte KI, fullførte oppgaver 19 prosent saktere enn de som jobbet uten. Før studien forutså de samme utviklerne at KI ville gjøre dem 24 prosent raskere. Etter å ha fullført oppgavene, anslo de at verktøyene hadde gjort dem omtrent 20 prosent raskere – selv om objektiv måling viste de var saktere. Gapet mellom opplevd og faktisk produktivitet oversteg 39 prosentpoeng .

METRs funn betyr ikke at KI-verktøy er ubrukelige – kontekst spiller en stor rolle. Gevinster har blitt observert i onboarding-scenarier, rutinepreget boilerplate-generering og oppgaver der utviklere er mindre kjent med kodebasen. Men for erfarne ingeniører som jobber med komplekse, kodebaseavhengige oppgaver, antyder bevisene at verktøyene kan introdusere friksjon utviklerne ikke bevisst registrerer .

Salt Code: Håndhever regler i prompten, ikke i pipelinen

Salt Security timet sin forskningspublisering sammen med en produktlansering designet for å adressere nettopp det styringsgapet rapporten identifiserer. Den 1. juni 2026 introduserte selskapet Salt Code, en ny komponent av deres bredere plattform for Agentic Security .

Salt Codes tilnærming er å stoppe sikkerhetsdrift før den starter. I stedet for å skanne AI-generert kode i etterkant, håndhever den en organisasjons interne sikkerhets- og samsvarsregler direkte inne i KI-kodeassistenten i det koden genereres. Produktet fungerer på tvers av de store verktøyene bedrifter standardiserer seg på: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex og Gemini CLI .

Målet er å gjøre policy-kompatibel kode til standard resultatet, ikke noe som krever nedstrøms skanning og omskriving. For sikkerhetsteam gir det et enkelt policy-lag på tvers av kodeopprettelse, pipelinesjekker og kjøretidsovervåking – et skifte fra å fange feil til å forhindre dem .

Hvorvidt Salt Code eller lignende verktøy vil lukke styringsgapet i det tempoet KI-adopsjonen krever, forblir et åpent spørsmål. Men retningen er tydelig. Hvis anslaget holder – at KI vil skrive mer enn halvparten av all bedriftskode innen atten måneder – så må sikkerhetspolicy flyttes fra et gjennomgangsstadium til en standardinnstilling. Alternativet, slik Salt Securitys rapport advarer, er sikkerhetsdrift i industriell skala.