Cloudsmith 于 6 月 18 日发布报告,指出 AI 生成的代码数量激增,但人工代码审核无法同步跟上。
AI在线援引报告内容,在使用 AI 的开发者中,42% 的代码由 AI 生成,其中 16.6% 的开发者依赖 AI 贡献“大部分”代码,3.6% 的代码完全由机器生成。
这一趋势在 GitHub 2024 年的调查中得到印证:美国、巴西、德国、印度四国中,超 97% 的开发者曾使用 AI 编码工具,且 88%-59% 的受访者表示公司“至少部分支持”此类工具。
报告也指出 AI 快速生成代码的背后存在隐忧。调查显示开发者普遍担忧,AI 可能加剧开源恶意软件威胁:79.2% 的受访者认为 AI 将增加环境中恶意软件数量,其中 30% 认为威胁将“显著上升”。
Cloudsmith 警告,三分之一的开发者未在每次部署前审查 AI 生成的代码,导致“大量代码未经验证”直接投入生产环境,形成供应链漏洞。
更关键的是,由于 AI“快速复用未知或不可信代码”,代码完整性、依赖管理、SBOMs(软件物料清单)等传统风险被放大。开发者坦言,AI 输入在“代码生成阶段”风险最高,仅 40% 认为该环节需严格管控。
Cloudsmith 建议,需通过“智能访问控制”和“端到端可见性”强化制品管理,并采用动态访问策略与“政策即代码”框架。针对 AI 生成的代码,需强制执行自动政策,标记未经审查或不可信的 AI 制品,并通过“溯源追踪”区分人机代码。
