Realitetsuka: AI-koding støter på sikkerhetsmurer

Siste uke i april 2026 ga AI-utviklere en kald dusj. Vi har laget kraftfulle verktøy for kodehjelp, men sikkerheten henger etter. Fem store nyheter og rapporter viste et felt i ubalanse – rask innovasjon mot voksende sikkerhetsgjeld.

Tallene som bekymrer

Hovedtallet som treffer hardt: 20 % av applikasjoner bygget med AI-kodingverktøy har alvorlige sikkerhetsfeil. Dette er ikke teori – det kjører i produksjon nå, ifølge Wiz-forskning fra Google Cloud Next.

Alvorlige feil inkluderer ødelagte tilgangskontroller, lekkede data og eksponerte kredensialer i generert kode. Tusenvis av apper arver disse svakhetene fra AI-assistentene sine.

Og det verste? 20 % kan være for optimistisk. Uavhengige studier peker på enda svakere resultater.

Benchmark-sjokket: 23,8 %

SecureVibeBench-studien testet 105 kodeutfordringer fra ekte OSS-Fuzz-sårbarheter. Målet: Løs oppgaven uten å gjenta den kjente CVE-feilen.

Fem AI-agenter deltok – OpenHands, Claude Sonnet 4.5 og tre til. Beste resultat: 23,8 % funksjonell og sikker kode.

Det vil si 76,2 % feilet – enten kode som ikke virket, gamle sårbarheter gjeninnført, eller begge deler.

Testene var reelle: fuzzing med dynamisk analyse fanget overflow, bufferfeil og race conditions. Ingen unnskyldninger.

Hvorfor forskjellene oppstår

Ukas nyheter viser et mønster. Wiz integrerer skanning rett i IDE-en. Red Gate viser fem feiltyper i AI-databasekode, med Replit-deleasjonen som eksempel. Lovable rapporterer 10 % feil i egen genererte kode.

De som bruker AI-koding innrømmer problemene og bygger sikring.

Men verktøyene er ujevne. Store aktører som Wiz, Red Gate og Vercel har scanning og regler. Hva med solo-gründere på Cursor? Eller ikke-tekniske ledere som koder interne verktøy?

(New Stack profilerte toppledere med "kun LLM-utvikling". En CEO bygde BBS på 23 MB RAM uten sikkerhetshendelser på et år. Flaks eller overlevelsesbias?)

Tillitskrisen forklart

Forrester-analysen setter Vercel/Context.ai-bruddet i system. Ikke en ulykke, men resultat av feilfordelte ansvar. Kritikk: Valgfri merking av "sensitive" miljøvariabler skaper svakheter.

SaaS-sikkerhet er illusjon når plattformen blander kodegenerering, hemmeligheter og logging. LLM-er som skriver mot dette svekker tillitsgrensene.

Konsekvenser for din stack

Bruker du AI-koding? Endre tankegang nå:

1. Regn med feil i generert kode. Test som ny junior-utvikler. Kjør SAST, dynamisk analyse, fuzzing.

2. Kartlegg AI-verktøyene. Wiz' AI-BOM er essensielt. Spor modeller som Claude, Copilot, Cursor – de har ulik sikkerhet.

3. Kreve sikre standarder. Valgfri sensitiv-merking er rødt flagg. Scanning skal være på, ikke valg.

4. Planlegg for 76 % feilrate. SecureVibeBench viser svakheter. Kombiner AI med review, analyse og runtime-beskyttelse.

5. Prioriter kritiske områder. Databaser, auth og API – her er skadeomfanget størst. Sikre først.

Veien videre

Dette er ikke anti-AI. CEO-er som Moshe Bar og OutSystems' leder viser at det funker – med riktig design.

Nøkkelen: Bygg sikkerhet inn.

• Skann i IDE før commit.
• Automatiser retting via extensions.
• Oppdater AI-inventar løpende.
• Test AI-kode som tredjepartsavhengigheter.
• Press leverandører på obligatorisk sikkerhet.

Wiz' Red Agent, Red Gates analyser og SecureVibeBench er verktøy vi trengte. Bedre sent enn aldri – men hvor mange apper bærer 20 %-feilene videre?

Oppsummering av nyhetene

Wiz på Google Cloud Next: Red Agent for angreps-testing, AI-BOM for oversikt, inline-skanning. Remediation i Claude Code og Cursor. 20 % av AI-apper har alvorlige feil.

SecureVibeBench: 105 C/C++-tester fra 41 OSS-Fuzz-prosjekter. Beste AI: 23,8 % sikker og fungerende kode. 76,2 % feil eller sårbarheter.

Red Gates database-analyse: Fem feilmønstre i AI-kode. Replit-deletering og Lovables 10 %-rate som bevis.

CEO-koding: Codenotary-CEO bygde BBS for 500 brukere på 23 MB, null hendelser. OutSystems testet Claude mot egen plattform.

Forresters rammeverk: Vercel-bruddet avslører SaaS-problemer. Blandede ansvar i kode, secrets og logging ødelegger modellen.

Uka viste: AI-koding er effektivt. Nå lærer vi – ofte hardt – å sikre det.