Sztuczna inteligencja pisze połowę kodu. Tylko czy ktoś go w ogóle sprawdza?

W coraz większej liczbie organizacji sztuczna inteligencja generuje ponad połowę całego kodu trafiającego do środowisk produkcyjnych - często bez odpowiedniego nadzoru. Takie alarmujące wnioski płyną z opublikowanego właśnie raportu Artifact Management Report 2025 przygotowanego przez Cloudsmith.

Autorzy opracowania biją na alarm: przy rosnącej skali wykorzystania AI do pisania kodu, branża technologiczna nie nadąża z budową mechanizmów bezpieczeństwa, które ochroniłyby środowiska produkcyjne przed poważnymi zagrożeniami.

Kod generowany przez AI? Coraz częściej, coraz więcej

Według danych przedstawionych przez Cloudsmith, wśród programistów korzystających z AI aż 42% przyznało, że co najmniej połowa ich kodu jest obecnie tworzona przez systemy oparte na sztucznej inteligencji. Jeszcze bardziej znaczące są dane szczegółowe: 16,6% deklaruje, że większość ich kodu to wynik pracy maszyn, a 3,6% twierdzi, że całość ich kodu powstaje bez udziału człowieka.

Raport nie precyzuje, ilu programistów ogółem korzysta z AI do pisania kodu, ale dostępne dane z zeszłego roku pokazują, że zjawisko ma skalę globalną. Badanie GitHub obejmujące USA, Brazylię, Niemcy i Indie wykazało, że aż 97% respondentów choć raz korzystało z narzędzi do generowania kodu opartego na sztucznej inteligencji. Wsparcie dla tych narzędzi ze strony firm również rośnie — choć w nierównym tempie. W USA 88% pracodawców deklarowało takie wsparcie, podczas gdy w Niemczech tylko 59%.

Ryzyko większe niż produktywność?

Jak wskazuje raport, korzyści z wykorzystania AI do programowania są niepodważalne - szybka produkcja kodu, automatyzacja rutynowych zadań, oszczędność czasu. Ale za tymi korzyściami czai się rosnące zagrożenie. „Podczas gdy modele językowe zwiększają produktywność, mogą nieumyślnie wprowadzać ryzyko, zalecając nieistniejące lub złośliwe pakiety” — ostrzega Cloudsmith.

To ryzyko nie umyka uwadze samych programistów. Aż 79,2% z nich uważa, że sztuczna inteligencja zwiększy obecność złośliwego oprogramowania typu open source w środowiskach produkcyjnych. Co trzeci pytany twierdzi, że AI „znacząco” podniesie poziom zagrożenia. Tylko 13% ankietowanych wierzy, że sztuczna inteligencja będzie skutecznie przeciwdziałać takim niebezpieczeństwom.

Kto patrzy maszynie na ręce?

Pomimo świadomości zagrożeń, jedna trzecia programistów nie przegląda kodu wygenerowanego przez AI przed jego wdrożeniem. To oznacza, że znaczna część kodu, który trafia do produktów końcowych, nigdy nie została oceniona przez człowieka. Chociaż dwie trzecie deklaruje ręczne sprawdzanie kodu, autorzy raportu zadają ważne pytanie: czy ten odsetek się utrzyma, gdy AI będzie odpowiadać za jeszcze większą część światowej bazy kodu?

Zdaniem ekspertów Cloudsmith to sytuacja nie do utrzymania. AI zaczęła bowiem pełnić rolę kluczowego komponentu w całym stosie oprogramowania, podczas gdy narzędzia, polityki i modele zaufania nie nadążają za tempem zmian. „Poleganie wyłącznie na ręcznych przeglądach nie jest dłużej zrównoważone” — podkreślają autorzy raportu.

Potrzebne nowe zasady gry

Cloudsmith apeluje o wdrożenie bardziej rygorystycznego i inteligentnego zarządzania tzw. artefaktami oprogramowania — czyli komponentami wykorzystywanymi w procesie budowy aplikacji. Firma postuluje m.in. wprowadzenie:

• inteligentnych zasad dostępu i pełnej widoczności artefaktów,

• automatycznego wykrywania niesprawdzonych lub niezweryfikowanych elementów kodu generowanego przez AI,

• śledzenia pochodzenia każdego fragmentu kodu — zarówno tworzonego przez człowieka, jak i przez maszynę,

• integracji sygnałów zaufania bezpośrednio w procesie tworzenia oprogramowania.

Co kluczowe, przeglądy kodu — wcześniej często traktowane jako formalność — powinny stać się obowiązkowym, automatycznym etapem procesu developerskiego.

Kod jako towar masowy - i masowego ryzyka?

Raport stawia ważną diagnozę: AI nie tylko zmienia sposób, w jaki tworzymy oprogramowanie, ale także przenosi punkt ciężkości ryzyka z pojedynczych błędów programistycznych na systemowe luki w całym łańcuchu dostaw oprogramowania. Tradycyjne problemy, takie jak kontrola zależności czy integralność pakietów, są dziś spotęgowane przez tempo, w jakim AI konsumuje i przetwarza nieznany kod z różnych źródeł.

W 2025 roku sztuczna inteligencja stała się pełnoprawnym uczestnikiem procesów tworzenia oprogramowania. Ale pytanie, czy jej twórcy - i użytkownicy - nadążą z budową odpowiednich zabezpieczeń, pozostaje otwarte. Jeśli nie, kolejnym dużym wyzwaniem branży może nie być to, co AI potrafi napisać, ale czego nikt nie zdążył sprawdzić.