Cloudsmith 于 6 月 18 日發(fā)布報告，指出 AI 生成的代碼數(shù)量激增，但人工代碼審核無法同步跟上。

　　在使用 AI 的開發(fā)者中，42% 的代碼由 AI 生成，其中 16.6% 的開發(fā)者依賴 AI 貢獻“大部分”代碼，3.6% 的代碼完全由機器生成。

　　這一趨勢在 GitHub 2024 年的調(diào)查中得到印證：美國、巴西、德國、印度四國中，超 97% 的開發(fā)者曾使用 AI 編碼工具，且 88%-59% 的受訪者表示公司“至少部分支持”此類工具。

　　報告也指出 AI 快速生成代碼的背后存在隱憂。調(diào)查顯示開發(fā)者普遍擔(dān)憂，AI 可能加劇開源惡意軟件威脅：79.2% 的受訪者認為 AI 將增加環(huán)境中惡意軟件數(shù)量，其中 30% 認為威脅將“顯著上升”。

　　Cloudsmith 警告，三分之一的開發(fā)者未在每次部署前審查 AI 生成的代碼，導(dǎo)致“大量代碼未經(jīng)驗證”直接投入生產(chǎn)環(huán)境，形成供應(yīng)鏈漏洞。

　　更關(guān)鍵的是，由于 AI“快速復(fù)用未知或不可信代碼”，代碼完整性、依賴管理、SBOMs(軟件物料清單)等傳統(tǒng)風(fēng)險被放大。開發(fā)者坦言，AI 輸入在“代碼生成階段”風(fēng)險最高，僅 40% 認為該環(huán)節(jié)需嚴格管控。

　　Cloudsmith 建議，需通過“智能訪問控制”和“端到端可見性”強化制品管理，并采用動態(tài)訪問策略與“政策即代碼”框架。針對 AI 生成的代碼，需強制執(zhí)行自動政策，標記未經(jīng)審查或不可信的 AI 制品，并通過“溯源追蹤”區(qū)分人機代碼。