90% dos líderes de segurança estão ativamente preocupados com riscos no código gerado por IA, mas 38% das empresas ainda confiam em revisão manual — criando um descompasso perigoso entre volume e supervisão. Um rigoroso ensaio clínico randomizado do METR descobriu que desenvolvedores experientes ficaram 19% mais len...

Create a landscape editorial hero image for this Studio Global article: What security risks, adoption rates, governance gaps, and developer perception issues surround AI-generated code, according to Salt Security. Article summary: Here are the key findings from Salt Security's June 2026 report **"AI Coding Assistants and the New Security Challenge"** [1][2].. Topic tags: general, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "The rapid adoption of AI coding assistants is creating a new governance challenge for enterprise security teams, according to research released by Salt Security, which found that n" source context "Salt Security AI coding assistants" Reference image 2: visual subject "Salt Security launches Salt Code, the first agentic security solution to enforce security policies inside AI coding assistants
A velocidade com que a inteligência artificial foi adotada na engenharia de software criou um abismo que ninguém planejou. De um lado, os times de desenvolvimento abraçaram os assistentes de codificação num ritmo extraordinário. Do outro, o aparato de segurança que deveria governar esse código ainda opera como se cada linha fosse digitada por uma única pessoa, numa velocidade previsível. O relatório de junho de 2026 da Salt Security, "AI Coding Assistants and the New Security Challenge" (Assistentes de Código por IA e o Novo Desafio de Segurança), quantifica esse descompasso em termos claros — e introduz um termo que pode definir a próxima era da segurança de aplicações: security drift, ou deriva de segurança.
Assistentes de código por IA não são mais um experimento de nicho. A pesquisa da Salt descobriu que 67% das organizações relatam que as ferramentas são amplamente utilizadas por suas equipes de desenvolvimento . A empresa projeta que o código assistido por IA ultrapassará 50% de todo o código corporativo até 2027 — um limiar que tornaria o código gerado por máquina o insumo dominante nos sistemas em produção
.
Esse crescimento seria celebrado em quase qualquer outro canto da tecnologia empresarial. O problema é o que acontece quando esse código chega sem uma resposta de segurança proporcional. 90% dos líderes de segurança disseram à Salt que estão ativamente preocupados com os riscos introduzidos pelo código gerado por IA . A preocupação deles não é abstrata. Os testes mais recentes da Veracode, citados no relatório da Salt, colocam a taxa de aprovação de segurança do código gerado por IA em aproximadamente 55% — um número virtualmente inalterado por dois anos, significando que quase metade de todo código gerado contém vulnerabilidades conhecidas quando nenhuma orientação explícita de segurança é fornecida
.
Entre os respondentes da Salt, 29% apontaram os padrões de codificação inseguros como o principal risco, enquanto 15% disseram que a maior preocupação era o desalinhamento com as políticas internas de segurança . Ambos os medos vêm da mesma raiz: os assistentes de código por IA são treinados com código público, não com as políticas de segurança, estruturas de compliance ou requisitos regulatórios de uma empresa específica
.
O relatório apresenta o "security drift" como o mecanismo que transforma o paradoxo da adoção em exposição real. A ideia é simples. Uma organização escreve suas regras de segurança em wikis, PDFs e conhecimento tribal que o assistente de IA nunca leu. O assistente gera um código sintaticamente correto e funcionalmente útil, mas que viola silenciosamente essas políticas internas. Ninguém detecta porque os processos de revisão não conseguem acompanhar .
Isso leva a Salt a uma das suas conclusões mais acionáveis — e alarmantes — sobre governança. 38% das organizações ainda dependem primariamente da revisão manual de código para lidar com a produção dos assistentes de IA. O volume de código gerado por IA já superou o que revisores humanos conseguem inspecionar de forma significativa, e a projeção da Salt para 2027 sugere que essa lacuna só vai aumentar . Apenas uma pequena minoria integrou barreiras de segurança automatizadas em seus fluxos de trabalho com IA
.
Roey Eliyahu, CEO da Salt Security, resumiu a situação sem rodeios: a governança falhou em acompanhar o ritmo com que os assistentes de IA mudaram o desenvolvimento de software . As ferramentas tradicionais de análise estática e dinâmica (SAST/DAST) pegam os problemas tarde demais no pipeline, quando cada correção vira uma reescrita e cada reescrita é um atraso
.
Governança de segurança não é a única área onde percepção e realidade divergiram. O relatório da Salt destaca uma descoberta de um estudo externo que se tornou referência nos debates sobre ferramentas para desenvolvedores: o ensaio clínico randomizado do METR, publicado em julho de 2025 .
O estudo colocou 16 desenvolvedores experientes de código aberto para realizar 246 tarefas do mundo real em seus próprios repositórios maduros — bases de código com média de mais de um milhão de linhas e dezenas de milhares de estrelas no GitHub. Os participantes foram aleatoriamente designados para usar ferramentas de IA (principalmente Cursor Pro com Claude 3.5/3.7 Sonnet) ou trabalhar sem elas .
O resultado principal foi citado tantas vezes que corre o risco de virar ruído de fundo, mas os números continuam impressionantes. Desenvolvedores usando IA completaram as tarefas 19% mais devagar do que aqueles que trabalharam sem nenhuma assistência de IA. Antes do ensaio, esses mesmos desenvolvedores previram que a IA os tornaria 24% mais rápidos. Depois de completar as tarefas, estimaram que as ferramentas os haviam tornado cerca de 20% mais rápidos — embora a medição objetiva mostrasse que estavam mais lentos. A lacuna entre a produtividade sentida e a real excedeu 39 pontos percentuais .
A descoberta do METR não significa que as ferramentas de IA são inúteis — o contexto pesa muito. Ganhos foram observados em cenários de integração de novos membros, geração de código repetitivo (boilerplate) e tarefas em que os desenvolvedores estão menos familiarizados com a base de código. Mas, para engenheiros experientes trabalhando em tarefas complexas e dependentes da base de código, as evidências sugerem que as ferramentas podem introduzir um atrito que os desenvolvedores não registram conscientemente .
A Salt sincronizou o lançamento de sua pesquisa com o de um produto projetado para enfrentar justamente a lacuna de governança que o relatório identifica. Em 1º de junho de 2026, a empresa apresentou o Salt Code, um novo componente de sua Plataforma Agentic Security .
A abordagem do Salt Code é impedir o "security drift" antes que ele comece. Em vez de escanear o código gerado por IA depois do fato, ele impõe as regras internas de segurança e compliance da organização diretamente dentro do assistente de codificação, no momento da geração do código. O produto funciona nas principais ferramentas que as empresas estão padronizando: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex e Gemini CLI .
O objetivo é transformar o código compatível com as políticas no resultado padrão, não em algo que exija escaneamento e reescrita posteriores. Para as equipes de segurança, ele oferece uma camada única de políticas ao longo da criação de código, verificações de pipeline e monitoramento em tempo de execução — uma mudança de "capturar erros" para "preveni-los" .
Se o Salt Code ou ferramentas similares fecharão a lacuna de governança na velocidade que a adoção da IA exige, ainda é uma pergunta em aberto. Mas a direção é clara. Se a projeção se confirmar — de que a IA escreverá mais da metade de todo código corporativo em dezoito meses — então a política de segurança precisa migrar do estágio de revisão para uma configuração padrão. A alternativa, como alerta o relatório da Salt, é o "security drift" em escala industrial.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
90% dos líderes de segurança estão ativamente preocupados com riscos no código gerado por IA, mas 38% das empresas ainda confiam em revisão manual — criando um descompasso perigoso entre volume e supervisão.
90% dos líderes de segurança estão ativamente preocupados com riscos no código gerado por IA, mas 38% das empresas ainda confiam em revisão manual — criando um descompasso perigoso entre volume e supervisão. Um rigoroso ensaio clínico randomizado do METR descobriu que desenvolvedores experientes ficaram 19% mais lentos usando IA, enquanto acreditavam estar 20% mais rápidos — uma lacuna de percepção gigantesca.
A Salt projeta que mais de 50% do código corporativo será assistido por IA até 2027, mas alerta que a governança não acompanhou a adoção, permitindo que padrões inseguros 'entrem em produção sem serem notados'.