Assistentes de código por IA venceram. A batalha pela segurança está apenas começando.

Entre os respondentes da Salt, 29% apontaram os padrões de codificação inseguros como o principal risco, enquanto 15% disseram que a maior preocupação era o desalinhamento com as políticas internas de segurança . Ambos os medos vêm da mesma raiz: os assistentes de código por IA são treinados com código público, não com as políticas de segurança, estruturas de compliance ou requisitos regulatórios de uma empresa específica .

Security Drift: quando ninguém percebe o que está sendo entregue

O relatório apresenta o "security drift" como o mecanismo que transforma o paradoxo da adoção em exposição real. A ideia é simples. Uma organização escreve suas regras de segurança em wikis, PDFs e conhecimento tribal que o assistente de IA nunca leu. O assistente gera um código sintaticamente correto e funcionalmente útil, mas que viola silenciosamente essas políticas internas. Ninguém detecta porque os processos de revisão não conseguem acompanhar .

Isso leva a Salt a uma das suas conclusões mais acionáveis — e alarmantes — sobre governança. 38% das organizações ainda dependem primariamente da revisão manual de código para lidar com a produção dos assistentes de IA. O volume de código gerado por IA já superou o que revisores humanos conseguem inspecionar de forma significativa, e a projeção da Salt para 2027 sugere que essa lacuna só vai aumentar . Apenas uma pequena minoria integrou barreiras de segurança automatizadas em seus fluxos de trabalho com IA .

Roey Eliyahu, CEO da Salt Security, resumiu a situação sem rodeios: a governança falhou em acompanhar o ritmo com que os assistentes de IA mudaram o desenvolvimento de software . As ferramentas tradicionais de análise estática e dinâmica (SAST/DAST) pegam os problemas tarde demais no pipeline, quando cada correção vira uma reescrita e cada reescrita é um atraso .

A lacuna de percepção do METR: mais devagar, mas com sensação de velocidade

Governança de segurança não é a única área onde percepção e realidade divergiram. O relatório da Salt destaca uma descoberta de um estudo externo que se tornou referência nos debates sobre ferramentas para desenvolvedores: o ensaio clínico randomizado do METR, publicado em julho de 2025 .

O estudo colocou 16 desenvolvedores experientes de código aberto para realizar 246 tarefas do mundo real em seus próprios repositórios maduros — bases de código com média de mais de um milhão de linhas e dezenas de milhares de estrelas no GitHub. Os participantes foram aleatoriamente designados para usar ferramentas de IA (principalmente Cursor Pro com Claude 3.5/3.7 Sonnet) ou trabalhar sem elas .

O resultado principal foi citado tantas vezes que corre o risco de virar ruído de fundo, mas os números continuam impressionantes. Desenvolvedores usando IA completaram as tarefas 19% mais devagar do que aqueles que trabalharam sem nenhuma assistência de IA. Antes do ensaio, esses mesmos desenvolvedores previram que a IA os tornaria 24% mais rápidos. Depois de completar as tarefas, estimaram que as ferramentas os haviam tornado cerca de 20% mais rápidos — embora a medição objetiva mostrasse que estavam mais lentos. A lacuna entre a produtividade sentida e a real excedeu 39 pontos percentuais .

A descoberta do METR não significa que as ferramentas de IA são inúteis — o contexto pesa muito. Ganhos foram observados em cenários de integração de novos membros, geração de código repetitivo (boilerplate) e tarefas em que os desenvolvedores estão menos familiarizados com a base de código. Mas, para engenheiros experientes trabalhando em tarefas complexas e dependentes da base de código, as evidências sugerem que as ferramentas podem introduzir um atrito que os desenvolvedores não registram conscientemente .

Salt Code: aplicando regras no momento do comando, não no final do pipeline

A Salt sincronizou o lançamento de sua pesquisa com o de um produto projetado para enfrentar justamente a lacuna de governança que o relatório identifica. Em 1º de junho de 2026, a empresa apresentou o Salt Code, um novo componente de sua Plataforma Agentic Security .

A abordagem do Salt Code é impedir o "security drift" antes que ele comece. Em vez de escanear o código gerado por IA depois do fato, ele impõe as regras internas de segurança e compliance da organização diretamente dentro do assistente de codificação, no momento da geração do código. O produto funciona nas principais ferramentas que as empresas estão padronizando: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex e Gemini CLI .

O objetivo é transformar o código compatível com as políticas no resultado padrão, não em algo que exija escaneamento e reescrita posteriores. Para as equipes de segurança, ele oferece uma camada única de políticas ao longo da criação de código, verificações de pipeline e monitoramento em tempo de execução — uma mudança de "capturar erros" para "preveni-los" .

Se o Salt Code ou ferramentas similares fecharão a lacuna de governança na velocidade que a adoção da IA exige, ainda é uma pergunta em aberto. Mas a direção é clara. Se a projeção se confirmar — de que a IA escreverá mais da metade de todo código corporativo em dezoito meses — então a política de segurança precisa migrar do estágio de revisão para uma configuração padrão. A alternativa, como alerta o relatório da Salt, é o "security drift" em escala industrial.