AI w kodowaniu poprawia literówki i tworzy luki. To bomba z opóźnionym zapłonem

Nowe badania firmy Apiiro wskazują na paradoks wykorzystania sztucznej inteligencji w programowaniu. Asystenci kodu, tacy jak Claude Code od Anthropic, GPT-5 od OpenAI czy Gemini 2.5 Pro od Google, potrafią zwiększyć tempo pracy od trzech do czterech razy. Jednak ta sama technologia prowadzi do gwałtownego wzrostu problemów związanych z bezpieczeństwem.

Analiza dziesiątek tysięcy repozytoriów, obejmujących pracę programistów z największych firm świata, ujawniła wyraźny wzór. Programiści wspierający się sztuczną inteligencją są w stanie tworzyć wielokrotnie więcej kodu niż ich koledzy pracujący w sposób tradycyjny. Jednocześnie ich projekty obfitują w błędy o charakterze bezpieczeństwa, występujące dziesięciokrotnie częściej.

Apiiro podkreśla, że nie chodzi wyłącznie o gotowe do wykorzystania luki, lecz o niebezpieczne praktyki, takie jak stosowanie niepewnych bibliotek open source, ryzykownych wzorców programistycznych czy przechowywanie kluczy API bez zabezpieczenia. Dane zebrane przez firmę wskazują, że od grudnia 2024 roku do czerwca 2025 roku liczba takich przypadków wzrosła dziesięciokrotnie.

„Poprawia literówki, ale podkłada bomby”

Itay Nussbaum z Apiiro obrazowo opisuje zjawisko: sztuczna inteligencja potrafi redukować błędy składniowe i logiczne, odpowiednio o 76 i 60 procent, ale jednocześnie generuje kod narażony na architektoniczne wady oraz podatności umożliwiające eskalację uprawnień. Ryzyko tych problemów wzrasta odpowiednio o 153 i 322 procent.

Badacze zwrócili także uwagę na styl pracy programistów korzystających z AI. Zamiast wielu drobnych modyfikacji zgłaszają oni większe zmiany w mniejszej liczbie pull requestów, co utrudnia ich dokładną weryfikację. Dodatkowo dwukrotnie częściej dochodzi do sytuacji, w których poufne dane przechowywane są w kodzie w postaci jawnej.

Sprzeczne badania i otwarte pytania

Wnioski Apiiro wpisują się w rezultaty prac zespołów akademickich z Uniwersytetu w San Francisco, Instytutu Wektorów w Kanadzie oraz Uniwersytetu Massachusetts w Bostonie. Tamtejsi badacze również zauważyli, że iteracyjne poprawianie kodu przez modele AI może obniżać poziom bezpieczeństwa.

Jednak nie wszystkie badania potwierdzają ten obraz. Zespół analityczny METR przedstawił dane, z których wynika, że wykorzystanie AI nie zwiększa produktywności, a wręcz obniża ją średnio o 19 procent wśród programistów pracujących wspólnie z systemami sztucznej inteligencji.

Technologia w cieniu kompromisu

Wyniki badań stawiają zarządy firm technologicznych i zespoły developerskie przed trudnym wyborem. Z jednej strony narzędzia AI znacząco przyspieszają proces wytwarzania kodu, z drugiej – zwiększają ryzyko wprowadzenia błędów i podatności. W perspektywie długofalowej może to oznaczać konieczność równoległego inwestowania w rozwiązania typu AI AppSec, które automatycznie monitorują i korygują problemy bezpieczeństwa wprowadzane przez same asystenty.