三分之一的AI代码未经审核便进入生产环境

软件开发目前面临的最大矛盾和威胁是：人类审核的速度已经跟不上AI生成代码的速度。

根据Cloudsmith最新发布的《2025工件管理报告》，AI代码生成工具已成为开发流程的重要参与者。在使用AI编程的开发者中，有42%表示其一半以上的代码由AI生成，其中16.6%称大多数代码来自AI，3.6%甚至表示“全部由AI生成”。

这是一个令人震惊的数据，也揭示了一个令人不安的趋势：大量未经过充分审核的AI代码，正在直接进入生产环境。

“快速交付”的隐患

AI带来的效率提升无疑令人振奋，但Cloudsmith警告称，这种效率往往也意味着风险的倍增。

报告指出，AI模型虽然可以大幅提升生产力，却也可能“无意中推荐虚假或恶意依赖包”，如拼写钓鱼（typosquatting）和依赖混淆（dependency confusion）等开源攻击手法正在悄然扩散。

开发者对此并非毫无察觉：近八成（79.2%）开发者认为AI将加剧开源软件中的恶意软件威胁，其中30%更是认为风险将“显著上升”。仅有13%的开发者对AI在防御层面持乐观态度。

谁来审查海量AI代码？

在人工智能成为主力开发者的今天，代码审核机制却依然依赖人力。Cloudsmith报告披露，有三分之一的开发者并未对AI生成的代码进行部署前审核，这意味着大量未验证代码正被投入使用，对软件供应链构成巨大威胁。

尽管目前仍有超过六成开发者表示仅在人工审核后才信任AI生成代码，但当AI的代码产出比例持续攀升，这个比例是否还能维持，成为一大疑问。

Cloudsmith强调：“我们正处于一个关键拐点。”AI已经不再是开发过程中的辅助工具，而是软件堆栈的核心贡献者之一。但传统的信任模型、工具体系和审查流程，尚未为这场变革做好准备。

从“代码审查”到“信任系统”的变革

Cloudsmith呼吁开发组织构建更智能的工件管理系统：包括动态访问控制、端到端可视性、策略即代码（Policy-as-Code）机制等，从源头确保代码来源与依赖安全。

对于AI生成代码，Cloudsmith提出了三项关键对策：

• 自动化审核机制：识别未经审查或不可信的AI工件
• 可追溯性机制：区分人类和AI生成的代码，并保持溯源链清晰
• 嵌入式信任信号系统：让“是否审查过”成为强制流程，而非可选步骤

人类开发者何去何从？

2024年的GitHub调查显示，全球97%的开发者已在工作中使用过AI编程工具。这场AI主导的编程革命已经无法回头。随着AI的能力持续扩展，开发者的角色正从“代码生产者”向“代码编辑”转变。

但在这场进化中，我们必须警惕：速度不能以牺牲安全为代价。在未来，如何重构“信任”机制，将不再只是工程问题，而是一场关于技术治理的挑战。人工智能不是终点，而是另一场复杂系统构建的起点。