AI-agenter skriver koden nå – det er på tide å tenke nytt om sikkerhet
AI-utvikling: Vi har nådd et vendepunkt
Fra villmark til kartlagt territorium
Frem til nylig føltes AI-assistert koding som å ferdes i ukjent terreng. Hver uke kom det nye verktøy, nye diskusjoner, og ingen som var enige om hva som egentlig var best praksis. Alle som har jobbet i tech lenge nok vet at usikkerhet skaper angst—og angst bremser alt.
Men nå har vi kommet et langt stykke videre. Rundt femten måneder etter at ChatGPT åpnet dørene, begynner bransjen å danne seg et felles bilde av hvor dette er på vei. De virkelig ukjente faktorene er i ferd med å bli forutsigbare utfordringer.
Det høres kanskje ikke ut som en stor seier, men det er det faktisk. Når du vet hva du ikke vet, kan du planlegge. Du kan bygge systemer. Du kan ansette folk med spesifikke ferdigheter. Kaoset gir rom for struktur—og den strukturen er nødvendig før vi kan ta tak i sikkerhet på ordentlig.
Organisatoriske jordskjelv
Før vi går inn på tekniske endringer, må vi snakke om det som egentlig rører seg: AI tvinger selskaper til å tenke helt nytt om hvordan engineering-teammer skal være organisert.
Hvordan mange folk en leder skal ha ansvar for. Størrelsen på teamene. Hvordan stand-ups skal avholdes. Hvor ofte sprints skal planlegges. Alle disse «uskyldige sannhetene» i softwareutvikling blir nå diskutert, utfordret, og ofte forlatt. Dette handler ikke bare om produktivitetsmålinger—det handler om fundamental endring.
Det ubehagelige faktum? Det vil bli vinnere og tapere i denne overgangen. Enkelte roller blir mer verdifulle. Andre blir overflødige. Og selv om økonomer kaller dette for «kreativ destruksjon», opplever ikke menneskene det som særlig kreativt.
Hvis du leder et team gjennom denne omstillingen—og hvem gjør ikke det?—så start med empati. Teknologien ordner seg selv. Det menneskelige aspektet krever bevisst innsats.
Hva som faktisk endrer seg i utviklingsmiljøer
La oss være konkrete. Her er hva som skjer ute i virkeligheten:
Hastigheten har blitt ekstrem Antallet pull requests har eksplodert. Vi er forbi tiden da «vibe-codede» sideprosjekter var standarden—AI-kodingsagenter leverer nå funksjoner til produksjon i kritiske applikasjoner. Enten du bruker lokale verktøy som Claude Code eller skybaserte agenter, er hastighetsforskjellen sammenlignet med tradisjonell utvikling enorm.
Dette skaper umiddelbar press på sikkerhetsverktøy. Tradisjonelle skannemetoder var rett og slett ikke designet for denne hastigheten.
Kodegjennomgangen er i krise Her er den ubehagelige sannheten ingen vil innrømme: kodegjennomgang slik vi praktiserer det i dag, skalerer ikke med AI-drevet utviklingshastighet. Du sitter fast mellom to dårlige alternativer:
- YOLO-modus: Send fort, ta angrep senere (som knuser seniorutviklere i intense perioder)
- Gjennomgå alt: Bruk dyrebare timer på å gjennomgå AI-generert kode (som også knuser seniorutviklere)
Det dypere poenget? Pull requests har blitt et forferdelig sted å starte sikkerhetsstyring. Når koden først kommer til gjennomgang, er det allerede for sent i prosessen for meningsfylt inngripen.
AI-selskapene sitter nå i ringen AI-selskapene som skapte dette hastighetsproblemet, presenterer nå aktive løsninger. De har gått bort fra «beveg deg fort og ødelegge ting» til å anerkjenne sikkerhetsbekymringer—og i noen tilfeller faktisk foreslå fikser.
Er dette altruisme? Neppe. Men det spiller ingen rolle. Samtalen har skiftet, og sikkerhetsteam har nå plass ved bordet når AI-verktøy besluttes.
Dokumentasjonen oppfører seg rart PRD-praksis er i endring. Noen team hevder AI fullstendig har erstattet tradisjonell dokumentasjon. Andre sier alt nå fanges opp i .md-filer takket være AI-generering.
Virkeligheten? Den er nyansert. AI-generert dokumentasjon fungerer utmerket når forbrukeren er en annen AI-agent—den trenger «instruksjoner for å informere». Men når mennesker skal ta beslutninger, krever «skriving for å overbevise» fortsatt menneskelig input. AI genererer overbevisende, men ofte innholdsløse beslutningsdokumenter.
Hvis din PRD skal fortelle en agent hva den skal bygge, kan AI kanskje erstatte den helt. Hvis din PRD skal hjelpe mennesker med å bestemme hva som skal bygges, er den viktigere enn noensinne.
Hva dette betyr for din sikkerhetsstrategi
Konsekvensene er betydelige, og de treffer ulikt avhengig av din rolle:
For sikkerhetsteam Verktøyene dine må håndtere hastigheten. Hvis sikkerhetsportene legger hindringer i veien for AI-akselerert utvikling, blir de rett og slett omgått. Fremtiden tilhører sikkerhetsverktøy som integreres sømløst i agent-arbeidsflyter—ikke verktøy som krever menneskelige sjekkpunkter hele veien.
For utviklere Du må forstå hva AI-kodingsassistenten din faktisk gjør. Blind tillit til AI-generert kode er en oppskrift på sikkerhetskatastrofer. På den annen side: ren skepsis ødelegger poenget. Finn balansen.
For startups og gründere Sikkerhetsposisjonen din må utvikle seg fortere enn noensinne. Angrepsoverflaten endrer seg, men det gjør også verktøyene tilgjengelig for å forsvare seg. Domenesikkerhet, DNS-beskyttelse og SSL-håndtering blir enda viktigere når utrullingshastigheten øker.
Veien videre
Vi er ikke lenger i fasen der vi prøver å finne ut hva AI egentlig gjør. Spørsmålet er nå praktisk: hvordan bygger vi sikkert i denne nye verdenen?
Enigheten som vokser frem, handler ikke om spesifikke verktøy eller leverandører—det handler om erkjennelsen at sikkerhet må flyttes oppstrøms i utviklingsprosessen. Sikkerhet kan ikke leve ved kodegjennomgang. Det må leve på designnivå, innebygd i AI-systemene som genererer koden i utgangspunktet.
Hos NameOcean har vi tenkt på dette gjennom infrastrukturens linse. Når du ruller ut AI-agenter som kan endre DNS-oppføringer, administrere domener eller konfigurere SSL-sertifikater, multipliseres sikkerhetsimplikasjonene. Din domenregistrator er ikke lenger bare en database—det er et API-endepunkt som AI-agenter kanskje kaller autonomt.
Dette er det nye grenselandet for DevSecOps: å sikre rørledningene som AI-agenter bruker til å endre produksjonsinfrastruktur. Det er spennende, det er skremmende, og det er absolutt retningen vi beveger oss.
Kaosfasen er over. Engineering-fasen begynner.
Konklusjonen: Den Agentiske SDLC er ikke på vei—den er her. Bransjeenigheten som nå vokser frem, gir oss stabiliteten vi trenger for å bygge ordentlige sikkerhetsrammeverk rundt den. Enten du er en solo-utvikler eller leder en engineering-organisasjon med hundre ansatte, er tiden for å tilpasse sikkerhetsstrategien din nå.