# AI kód: krize bezpečnosti a revizí v éře automatizace
Studie z let 2025–2026 to potvrzují: masové nasazení AI asistentů vedlo k desetinásobnému nárůstu objemu kódu, ale skutečná produktivita vývoje vzrostla pouze o 10 %. Zároveň se hustota zranitelností zvýšila 2,7násobně a čas na revize o 91 %. Kořen problému spočívá v nesouladu rychlosti generování kódu se zastaralými procesy kontroly a testování.
Statistiky: propast mezi očekáváními a realitou
Data od JetBrains a METR ukazují alarmující nerovnováhu. 93 % vývojářů pravidelně používá AI nástroje (Cursor, GitHub Copilot, Claude Code), ale šest nezávislých studií zaznamenává skutečný nárůst produktivity na úrovni 10 %. Kontrolovaná studie METR (červenec 2025) odhalila paradox: zkušení vývojáři trávili na úkoly o 19 % více času při používání AI, přičemž si udržovali iluzi 20% zrychlení.
Klíčovým faktorem je iluzorní rychlost. AI zrychluje psaní kódu (25–35 % vývojového cyklu), ale neovlivňuje fáze návrhu, revizí, testování a nasazení (65–75 % procesu). Výsledek: objem pull requestů vzrostl o 98 % (Faros AI) a metriky DORA se zhoršily o 25 procentních bodů. Týmy generují kód rychleji, ale nedokážou ho zpracovat.
Posun úzkých míst: když psaní kódu bylo rychlé
Teorie omezení Goldratta vysvětluje krizi. Tradiční úzké místo – psaní kódu – přestalo být kritické po nasazení AI. Nové láhve na krku:
- Revize kódu: objem kontrol vzrostl o 91 %, ale procesy zůstaly manuální. CEO Cursor Michael Truell přímo prohlásil: „Revize vypadají stejně jako před třemi lety“.
- Testování: 40–62 % AI kódu obsahuje architektonické defekty vyžadující manuální ověření.
- Bezpečnost: Veracode zaznamenává nárůst kritických zranitelností z 8,3 % na 11,3 % za rok.
Akvizice Graphite společností Cursor se stala praktickým potvrzením posunu zaměření. Nástroje pro zrychlení psaní kódu už neřeší hlavní problém – zpracování zvýšeného objemu.
Bezpečnost ohrožena: čísla, která děsí
Analýza Veracode 1,6 milionu aplikací odhalila katastrofický trend: 82 % firem nashromáždilo security debt (nárůst z 74 % oproti předchozímu roku). Hustota zranitelností v AI kódu je 2,7násobně vyšší než v lidském kódu. Nejznepokojivější jsou ukazatele:
- SQL injection a XSS se vyskytují v 86 % případů
- Log injection – v 88 %
- Architektonické zranitelnosti (obcházení autentizace, správa relací) vzrostly o 153 %
Útočníci aktivně využívají tento rozdíl. Při generování kódu 10x rychleji než revize je matematika na straně zlodějů. 70 % organizací potvrzuje přítomnost AI vyvolaných zranitelností a měsíční objem security findings překročil 10 000 na projekt.
Proč procesy nestíhají AI
Krize má architektonický charakter. Organizace integrovaly AI jako „doplněk“ k existujícím workflow, aniž by přestavěly fáze po generování kódu. Tři systémové chyby:
- Nulová adaptace revizí: procesy zůstaly zaměřené na manuální kontrolu 2–3 osob, zatímco objem kódu vzrostl 10násobně.
- Absence security-by-design: kontrola bezpečnosti se provádí stále až po napsání kódu, nikoli integrovaně do pipeline.
- Ignorování kontextu: AI generuje kód bez hlubokého porozumění architektuře a vytváří „vypadající“ kód s jemnými defekty.
Výsledek – security debt roste geometrickou progresí a backlog revizí se nafukuje na týdny dopředu. AI nezklamalo; zklamaly procesy, které nebyly připraveny na levný a rychlý kód.
Jak přestavět pipeline pro éru AI
Týmy s vylepšenými metrikami DORA zavádějí systémové změny. Efektivní strategie:
- Reengineering revizí: zvýšení počtu recenzentů, automatizace rutinních kontrol (formátování, základní security skeny), zaměření na architektonická řešení.
- Security shift-left: integrace SAST/DAST do CI/CD v raných fázích, povinná kontrola před mergem.
- Kontextové řízení: využití interních LLM pro analýzu kódu, což snižuje počet „slepých“ generací.
Kriticky důležité je změnit KPI: místo „řádků kódu za den“ měřit „funkcionalitu, která se dostane k uživatelům“. AI nástroje mají doplňovat, ne nahrazovat lidské úsudky ve fázích vyžadujících hlubokou analýzu.
Co je důležité
- Produktivita ≠ rychlost generování: skutečný nárůst je omezen na 10 % kvůli úzkým místům v revizích a testování.
- Bezpečnost vyžaduje přestavbu: hustota zranitelností v AI kódu je 2,7násobně vyšší – security-by-design není volba, ale nutnost.
- Procesy jsou důležitější než nástroje: úspěch závisí na adaptaci celého pipeline, nejen fáze psaní kódu.
- Kontext rozhoduje: AI je efektivní při jasných specifikacích a porozumění kódu, ale nebezpečné v podmínkách nejistoty.
AI revoluce ve vývoji proběhla, ale její hodnota se určuje ne objemem generovaného kódu, ale schopností týmů přestavět procesy. Ti, kteří integrují bezpečnost a revize do AI workflow, získají udržitelný nárůst. Ostatní se budou topit v backlozích a security debt. Hlavní lekce roku 2026: automatizace vyžaduje nejen nové nástroje, ale přehodnocení celého systému dodávky softwaru.
— Editorial Team
Zatím žádné komentáře.