Asystenci kodowania AI wygrali. Bitwa o bezpieczeństwo dopiero się zaczyna.

Wśród respondentów Salt 29% wskazało niebezpieczne wzorce kodowania jako główne ryzyko, a 15% uznało, że największym problemem jest niedostosowanie do wewnętrznych polityk bezpieczeństwa . Obie te obawy mają to samo źródło: asystenci kodowania AI są trenowani na publicznym kodzie, a nie na wewnętrznych politykach bezpieczeństwa konkretnej organizacji, standardach branżowych czy wymogach zgodności .

Dryf bezpieczeństwa: gdy nikt nie zauważa, co trafia na produkcję

Raport wprowadza pojęcie „dryfu bezpieczeństwa” jako mechanizmu, który zamienia paradoks adopcji w realne zagrożenie. Koncepcja jest prosta: organizacja spisuje swoje zasady bezpieczeństwa w plikach PDF, na wiki i w wiedzy przekazywanej nieformalnie, do których asystent AI nigdy nie ma dostępu. Narzędzie generuje kod poprawny składniowo i funkcjonalnie, ale po cichu łamiący te wewnętrzne zasady. Nikt tego nie wyłapuje, bo procesy przeglądu nie są w stanie nadążyć .

Tu dochodzimy do jednego z najbardziej praktycznych — i alarmujących — wniosków Salt na temat zarządzania. 38% organizacji nadal opiera się głównie na ręcznym przeglądzie kodu, by obsłużyć wyniki pracy asystentów AI. Ilość kodu generowanego przez AI już dawno przekroczyła możliwości sensownej ręcznej inspekcji, a prognoza Salt na 2027 rok sugeruje, że ta przepaść będzie się tylko powiększać . Tylko niewielka mniejszość organizacji zintegrowała zautomatyzowane mechanizmy bezpieczeństwa ze swoimi procesami kodowania z AI .

Roey Eliyahu, CEO Salt Security, podsumował sytuację bez ogródek: zarządzanie nie nadąża za tym, jak asystenci AI zmienili sposób wytwarzania oprogramowania . Tradycyjne narzędzia do analizy statycznej i dynamicznej (SAST/DAST) wykrywają problemy zbyt późno w procesie, kiedy każda poprawka to właściwie przepisywanie kodu od nowa, a każde przepisywanie to opóźnienie .

Luka w postrzeganiu według METR: wolniejsi, ale z poczuciem szybkości

Zarządzanie bezpieczeństwem to nie jedyny obszar, w którym percepcja rozmija się z rzeczywistością. Raport Salt podkreśla wyniki zewnętrznego badania, które stało się ważnym punktem odniesienia w dyskusjach o narzędziach dla programistów: randomizowane badanie kontrolowane METR opublikowane w lipcu 2025 roku .

W badaniu wzięło udział 16 doświadczonych programistów open-source, którzy wykonali 246 rzeczywistych zadań na swoich własnych, dojrzałych repozytoriach — kodach źródłowych liczących średnio ponad milion linii i dziesiątki tysięcy gwiazdek na GitHubie. Uczestników losowo przydzielono do pracy z narzędziami AI (głównie Cursor Pro z Claude 3.5/3.7 Sonnet) lub bez nich .

Najczęściej cytowany wynik stał się już niemal tłem informacyjnym, ale liczby wciąż robią wrażenie. Programiści korzystający z AI wykonywali zadania o 19% wolniej niż ci, którzy pracowali bez wsparcia. Przed badaniem ci sami programiści przewidywali, że AI uczyni ich o 24% szybszymi. Po wykonaniu zadań szacowali, że narzędzia dały im około 20% przyspieszenia — mimo że obiektywny pomiar wykazał spowolnienie. Różnica między odczuwaną a rzeczywistą produktywnością przekroczyła 39 punktów procentowych .

Wyniki METR nie oznaczają, że narzędzia AI są bezużyteczne — kontekst ma tu ogromne znaczenie. Przyspieszenia zaobserwowano we wdrażaniu nowych programistów, rutynowym generowaniu szablonowego kodu i zadaniach, gdzie programiści byli mniej zaznajomieni z bazą kodu. Jednak w przypadku doświadczonych inżynierów pracujących nad złożonymi zadaniami, mocno zależnymi od konkretnej bazy kodu, dowody sugerują, że narzędzia te mogą wprowadzać tarcia, których programiści świadomie nie rejestrują .

Salt Code: egzekwowanie zasad na poziomie zapytania, a nie potoku CI/CD

Salt zaplanowało premierę swojego raportu razem z wprowadzeniem na rynek produktu zaprojektowanego tak, by zaadresować właśnie tę lukę w zarządzaniu bezpieczeństwem. 1 czerwca 2026 roku firma zaprezentowała Salt Code — nowy komponent swojej platformy Agentic Security Platform .

Podejście Salt Code polega na zatrzymaniu dryfu bezpieczeństwa, zanim ten w ogóle powstanie. Zamiast skanować kod wygenerowany przez AI po fakcie, narzędzie egzekwuje wewnętrzne zasady bezpieczeństwa i zgodności organizacji bezpośrednio wewnątrz asystenta kodowania AI, w momencie generowania kodu. Produkt działa z głównymi narzędziami, na które stawiają firmy: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex i Gemini CLI .

Celem jest sprawienie, by kod zgodny z politykami był domyślnym wynikiem pracy asystenta, a nie czymś, co wymaga późniejszego skanowania i poprawiania. Dla zespołów bezpieczeństwa oznacza to pojedynczą warstwę polityk obejmującą tworzenie kodu, kontrole w potoku CI/CD i monitorowanie w czasie działania — przejście od wyłapywania błędów do zapobiegania im .

Czy Salt Code lub podobne narzędzia zdołają zamknąć lukę w zarządzaniu w tempie wymaganym przez adopcję AI, pozostaje kwestią otwartą. Kierunek zmian jest jednak jasny. Jeśli sprawdzi się prognoza, że do 2027 roku AI będzie pisać ponad połowę firmowego kodu, polityki bezpieczeństwa muszą przestać być etapem kontroli, a stać się ustawieniem domyślnym. Alternatywą — jak ostrzega raport Salt — jest dryf bezpieczeństwa na skalę przemysłową.