AI-kodningsassistenter har vunnit. Säkerhetsstriden har bara börjat.

Bland Salts respondenter pekade 29 % på osäkra kodningsmönster som den största risken, medan 15 % sade att den främsta oron var bristande överensstämmelse med interna säkerhetspolicyer . Båda farhågorna har samma grundorsak: AI-kodningsassistenterna är tränade på publik kod, inte på någon enskild organisations interna säkerhetsregler, branschramverk eller regelefterlevnadskrav .

Säkerhetsdrift: När ingen märker vad som skeppas

Rapporten introducerar "säkerhetsdrift" som den mekanism som förvandlar anammandets paradox till verklig exponering. Idén är rättfram. En organisation skriver sina säkerhetsregler i wikis, PDF:er och tyst kunskap som AI-assistenten aldrig har läst. Assistenten genererar kod som är syntaktiskt korrekt och funktionellt användbar, men som i tysthet bryter mot de interna policyn. Ingen fångar upp det eftersom granskningsprocesserna inte hinner med .

Detta leder Salt till en av sina mest handlingsorienterade – och alarmerande – upptäckter om styrning. Hela 38 % av organisationerna förlitar sig fortfarande huvudsakligen på manuell kodgranskning för att hantera resultaten från AI-kodningsassistenter. Volymen AI-genererad kod har redan vuxit förbi vad mänskliga granskare meningsfullt kan inspektera, och Salts prognos för 2027 antyder att gapet bara kommer att vidgas . Endast en liten minoritet har integrerat automatiserade säkerhetsspärrar i sina AI-kodningsflöden .

Roey Eliyahu, vd för Salt Security, sammanfattade läget rakt på sak: styrningen har misslyckats med att hålla jämna steg med hur AI-kodningsassistenter har förändrat mjukvaruutvecklingen . Traditionella verktyg för statisk och dynamisk analys (SAST/DAST) fångar problem för sent i kedjan, när varje fixering blir en omskrivning och varje omskrivning är en försening .

METR:s upplevelsegap: Långsammare men känns snabbare

Säkerhetsstyrning är inte det enda området där upplevelse och verklighet har glidit isär. Salts rapport lyfter fram ett fynd från en extern studie som har blivit en referenspunkt i utvecklarverktygsdebatterna: den randomiserade kontrollerade METR-studien publicerad i juli 2025 .

Studien lät 16 erfarna utvecklare inom öppen källkod genomföra 246 verkliga uppgifter i sina egna, mogna kodarkiv – kodbaser på i genomsnitt över en miljon rader och tiotusentals GitHub-stjärnor. Deltagarna lottades till att antingen använda AI-verktyg (främst Cursor Pro med Claude 3.5/3.7 Sonnet) eller arbeta utan dem .

Huvudresultatet har citerats så ofta att det riskerar att bli bakgrundsbrus, men siffrorna är fortfarande slående. Utvecklare som använde AI slutförde uppgifterna 19 % långsammare än de som arbetade utan AI-assistans. Innan försöket förutspådde samma utvecklare att AI skulle göra dem 24 % snabbare. Efter att ha slutfört sina uppgifter uppskattade de att verktygen gjort dem ungefär 20 % snabbare – trots att objektiva mätningar visade att de var långsammare. Glappet mellan upplevd och faktisk produktivitet översteg 39 procentenheter .

METR:s resultat betyder inte att AI-verktyg är oanvändbara – sammanhanget har stor betydelse. Vinster har observerats i introduktionsscenarier, rutinmässig generering av standardkod och uppgifter där utvecklarna är mindre bekanta med kodbasen. Men för erfarna ingenjörer som arbetar med komplexa, kodbasberoende uppgifter, tyder bevisen på att verktygen kan införa friktion som utvecklarna inte medvetet registrerar .

Salt Code: Tvinga regler vid prompten, inte i pipelinen

Salt tajmade sin forskningsrapport med en produktlansering designad för att adressera exakt det styrningsgap rapporten identifierar. Den 1 juni 2026 introducerade företaget Salt Code, en ny komponent i dess bredare Agentic Security Platform .

Salt Codes angreppssätt är att stoppa säkerhetsdrift innan den börjar. Istället för att skanna AI-genererad kod i efterhand, tvingar den fram en organisations interna säkerhets- och regelefterlevnadsregler direkt inuti AI-kodningsassistenten, i ögonblicket då koden genereras. Produkten fungerar över de stora verktyg som företag standardiserar på: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex och Gemini CLI .

Målet är att göra policykompatibel kod till standardutdata, inte något som kräver nedströms skanning och omskrivning. För säkerhetsteamen erbjuder det ett enda policylager över kodskapande, pipelinkontroller och driftövervakning – ett skifte från att fånga fel till att förhindra dem .

Huruvida Salt Code eller liknande verktyg kommer att minska styrningsgapet i den takt som AI-anammandet kräver är en öppen fråga. Men färdriktningen är tydlig. Om prognosen håller – att AI snart kommer att skriva mer än hälften av all företagskod inom arton månader – då måste säkerhetspolicy flyttas från en granskningsfas till en standardinställning. Alternativet, som Salts rapport varnar för, är säkerhetsdrift i industriell skala.