90% руководителей служб безопасности активно обеспокоены рисками в ИИ сгенерированном коде, при этом 38% организаций по прежнему полагаются на ручную проверку — опасное несоответствие между объемом кода и возможностям... Строгое исследование METR показало: опытные разработчики с ИИ помощниками справлялись с задачами...

Create a landscape editorial hero image for this Studio Global article: What security risks, adoption rates, governance gaps, and developer perception issues surround AI-generated code, according to Salt Security. Article summary: Here are the key findings from Salt Security's June 2026 report **"AI Coding Assistants and the New Security Challenge"** [1][2].. Topic tags: general, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "The rapid adoption of AI coding assistants is creating a new governance challenge for enterprise security teams, according to research released by Salt Security, which found that n" source context "Salt Security AI coding assistants" Reference image 2: visual subject "Salt Security launches Salt Code, the first agentic security solution to enforce security policies inside AI coding assistants
Скорость внедрения ИИ в разработку ПО создала разрыв, которого никто не ждал. Команды разработки осваивают ИИ-помощников с невероятной скоростью. А службы безопасности, отвечающие за контроль этого кода, все еще работают так, будто каждую строчку пишет один программист в предсказуемом темпе. В июньском отчете Salt Security «ИИ-помощники программиста и новые вызовы безопасности» этот разрыв измерен в отрезвляющих цифрах — и введен термин, который может определить следующую эру безопасности приложений: дрейф безопасности (security drift).
ИИ-помощники для написания кода — уже не эксперимент на периферии. Исследование Salt показало, что в 67% организаций эти инструменты широко используются командами разработки . Компания прогнозирует, что к 2027 году более 50% корпоративного кода будет создаваться при участии ИИ — рубеж, после которого машинный код станет основным источником того, что попадает в рабочие системы
.
В любой другой сфере корпоративных технологий такой рост приветствовали бы. Проблема в том, что происходит, когда этот код поступает без адекватного ответа со стороны безопасности. 90% руководителей служб безопасности сообщили Salt, что активно обеспокоены рисками, связанными с ИИ-сгенерированным кодом . Их тревога не абстрактна. По данным последнего тестирования Veracode, процитированным в отчете Salt, лишь около 55% ИИ-сгенерированного кода проходит проверку безопасности — этот показатель практически не меняется два года. Иными словами, почти в половине случаев сгенерированный код содержит известные уязвимости, если ИИ не давали явных указаний по безопасности
.
Среди опрошенных Salt 29% назвали небезопасные шаблоны кодирования главным риском, а 15% — несоответствие внутренним политикам безопасности . У обеих тревог общий корень: ИИ-помощники обучены на публичном коде, а не на политиках безопасности конкретной организации, отраслевых стандартах или требованиях к соблюдению нормативов
.
Отчет вводит понятие «дрейф безопасности» как механизм, превращающий парадокс внедрения в реальную угрозу. Идея проста: правила безопасности компании живут в вики-страницах, PDF-документах и корпоративных привычках, которые ИИ-помощник никогда не видел. Он генерирует синтаксически верный и функционально полезный код, который незаметно нарушает эти внутренние правила. Никто этого не отлавливает, потому что процессы ревью не поспевают .
Отсюда один из самых практически значимых — и тревожных — выводов Salt об управлении. 38% организаций по-прежнему полагаются в основном на ручную проверку кода (code review), чтобы контролировать результат работы ИИ-помощников. Объем ИИ-сгенерированного кода уже превысил возможности осмысленной проверки человеком, а прогноз Salt на 2027 год предполагает, что этот разрыв будет только расти . Лишь малая доля организаций встроила автоматизированные защитные барьеры в свои процессы ИИ-разработки
.
Рои Элияху (Roey Eliyahu), генеральный директор Salt Security, резюмировал ситуацию прямо: управление безопасностью «не поспевает» за тем, как ИИ-помощники изменили разработку ПО . Традиционные инструменты статического и динамического анализа (SAST/DAST) находят проблемы слишком поздно — на этапе, когда каждое исправление превращается в переписывание кода, а каждое переписывание означает задержку
.
Управление безопасностью — не единственная область, где восприятие разошлось с реальностью. Отчет Salt обращает внимание на результаты внешнего исследования, ставшего важным аргументом в дискуссиях об инструментах разработки: рандомизированное контролируемое испытание METR, опубликованное в июле 2025 года .
В исследовании 16 опытных разработчиков открытого ПО выполнили 246 реальных задач в собственных зрелых репозиториях — кодовых базах размером в среднем более миллиона строк и с десятками тысяч звезд на GitHub. Участников случайным образом распределили: одним разрешили использовать ИИ-инструменты (в основном Cursor Pro с Claude 3.5/3.7 Sonnet), другие работали без них .
Главный результат цитируют так часто, что он рискует превратиться в фоновый шум, но цифры остаются поразительными. Разработчики с ИИ справлялись с задачами на 19% медленнее, чем те, кто работал без ИИ-помощи. Перед началом испытания те же разработчики предполагали, что ИИ ускорит их на 24%. После выполнения задач они оценили, что инструменты ускорили их примерно на 20% — хотя объективные замеры показали замедление. Разрыв между ощущаемой и реальной производительностью превысил 39 процентных пунктов .
Результаты METR не означают, что ИИ-инструменты бесполезны — контекст имеет огромное значение. Ускорение наблюдалось при онбординге, генерации типового кода и задачах, где разработчики хуже знакомы с кодовой базой. Но для опытных инженеров, решающих сложные задачи в хорошо знакомом им коде, данные говорят о том, что инструменты могут создавать трение, которое разработчики осознанно не регистрируют .
Salt приурочила публикацию исследования к запуску продукта, нацеленного именно на тот разрыв в управлении, который выявил отчет. 1 июня 2026 года компания представила Salt Code — новый компонент своей Agentic Security Platform .
Подход Salt Code — остановить дрейф безопасности до его начала. Вместо того чтобы сканировать ИИ-сгенерированный код постфактум, продукт внедряет внутренние правила безопасности и требования к соблюдению нормативов организации непосредственно в ИИ-помощник программиста в момент генерации кода. Продукт работает с основными инструментами, на которые переходят предприятия: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex и Gemini CLI .
Цель — сделать генерацию кода, соответствующего политикам, настройкой по умолчанию, а не чем-то, требующим последующего сканирования и переписывания. Для служб безопасности это единый уровень политик, охватывающий создание кода, проверки в пайплайне и мониторинг во время выполнения — сдвиг от поиска ошибок к их предотвращению .
Сможет ли Salt Code или аналогичные инструменты закрыть разрыв в управлении с той скоростью, которой требует внедрение ИИ, — открытый вопрос. Но направление движения понятно. Если прогноз оправдается — что ИИ будет создавать более половины корпоративного кода в ближайшие полтора года, — то политика безопасности должна сместиться с этапа ревью на уровень настроек по умолчанию. Альтернатива, как предупреждает отчет Salt, — дрейф безопасности в промышленных масштабах.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
90% руководителей служб безопасности активно обеспокоены рисками в ИИ сгенерированном коде, при этом 38% организаций по прежнему полагаются на ручную проверку — опасное несоответствие между объемом кода и возможностям...
90% руководителей служб безопасности активно обеспокоены рисками в ИИ сгенерированном коде, при этом 38% организаций по прежнему полагаются на ручную проверку — опасное несоответствие между объемом кода и возможностям... Строгое исследование METR показало: опытные разработчики с ИИ помощниками справлялись с задачами на 19% медленнее, но были уверены, что работают на 20% быстрее — колоссальный разрыв между ощущениями и реальностью.
По прогнозу Salt, к 2027 году доля ИИ кода в корпоративных системах превысит 50%, но управление безопасностью не поспевает за внедрением, позволяя уязвимостям незаметно «дрейфовать» в production.