Veckan som väckte AI-kodningen: Säkerhetsskulden slår till

Sista veckan i april 2026 blev en kall dusch för alla som bygger med AI-hjälp. Innovationen rusar framåt, men säkerheten haltar efter. Fem stora rapporter och nyheter visar ett ekosystem fullt av hål.

Siffrorna som skrämmer

Huvudnyheten: 20 procent av apparna byggda med AI-verktyg har allvarliga säkerhetshål. Det handlar inte om teori – de kör i produktion just nu. Wiz delade datan på Google Cloud Next.

"allvarliga" betyder bland annat trasig åtkomstkontroll, öppna datakällor och läckta credentials i koden. Tusentals appar bär på de här felen från sina AI-partners.

Ännu värre: 20 procent kan vara en optimistisk siffra. Andra studier pekar på betydligt sämre resultat.

Benchmark som chockerar: 23,8 procent

SecureVibeBench testade 105 kodutmaningar från verkliga säkerhetshål i OSS-Fuzz. Uppgiften: Lös problemet utan att upprepa den gamla CVE-buggen.

Fem AI-agenter tävlade: OpenHands, Claude Sonnet 4.5 och tre till. Bäst presterade 23,8 procent korrekt och säkert.

Det vill säga 76,2 procent av försöken gav trasig kod, återinförda buggar – eller både och.

Testen var ärliga. De använde fuzzing för dynamisk analys, inte bara statiska checkar. Buggar som integer overflow, buffer-fel och race conditions fångades upp. Riktiga CVE-kandidater.

Varför spricker det här?

Veckan visade ett mönster. Wiz bygger scanning direkt i IDE:n. Red Gate granskar fem vanliga fel i AI-genererad databaskod, med Replits produktionsras som exempel. Lovable rapporterar 10 procent säkerhetsproblem i sin egen kod.

De som bygger med AI blundar inte. De fixar med kontroller.

Men verktygen är ojämna. Stora spelare som Wiz, Red Gate och Vercel har råd med scanning och guardrails. Vad händer med ensam創業are i Cursor? Eller icke-tekniska chefer som kodar interna verktyg?

(New Stack skrev om C-level-ledare som kör "LLM-only" för interna grejer. En CEO byggde en BBS på 23 MB RAM utan incidenter på ett år. Coolt, men är det typiskt eller tur?)

Förlust av förtroende

Forrester kallar Vercel/Context.ai-läckan för ett tecken på trasiga ansvar modeller. Kritiken: Plattformar som gör "känslig" variabelmärkning valfri skapar svaga länkar.

SaaS-säkerhet är en illusion när plattformen hanterar kodgenerering, secrets, loggar – och devs litar på LLM för att skriva mot det. Gränserna suddas ut.

Vad det betyder för din stack

Bygger du med AI-kodning? Ändra tankesättet nu:

1. Räkna med buggar. Testa AI-kod som från en ny junior. SAST, dynamisk analys, fuzzing – allt.

2. Kartlägg dina AI-verktyg. Wiz AI-BOM är smart. Spåra modeller som Claude, Copilot, Cursor, Gemini. De har olika säkerhetsnivåer.

3. Kräv säkerhet i grunden. Manuella etiketter för känsliga variabler? Rött flagg. Scanning av AI-kod ska vara på som standard.

4. Planera för 76 procent misslyckanden. SecureVibeBench visar: AI missar säkerhet ofta. Kombinera med review, analys och runtime-skydd.

5. Prioritera kritiska delar. Databaser, auth, API:er – här är skadan störst från AI-kod. Lås dem först.

Den positiva vinkeln

Det här är inte ett stopp för AI-utveckling. CEO:er som Moshe Bar och OutSystems visar: AI snabbar upp utan kvalitetsförlust – om du bygger rätt.

Nyckeln: "bygg rätt".

• Scanning i IDE före commit.
• Remediation via extensions.
• Levande inventering av AI-modeller.
• Testa AI-kod som externa dependencies.
• Pressa plattformar på implicit säkerhet.

Wiz Red Agent, Red Gates analyser och SecureVibeBench är inte domedagsprofetior. De är verktyg vi alltid behövde. Skillnaden: Nu bygger vi dem efter att AI rullats ut till miljoner devs.

Veckan handlar om sen insikt och snabba fixar. Frågan: Hur många appar bär på de 20 procenten in i produktion?

Nyhetsgenomgång

Wiz på Google Cloud Next: Red Agent för offensiv testning, AI-BOM för inventering, inline scanning för Lovable-kod. Remediation körs i Claude Code och Cursor. 20 procent av AI-appar har stora säkerhetsproblem.

SecureVibeBench: 105 C/C++-utmaningar från 41 OSS-Fuzz-projekt. Fungerande OCH säker kod? Bäst: 23,8 procent. Resten floppar eller återinför buggar.

Red Gates databaseranalys: Fem kritiska felmönster i AI-kod. Hänvisar till Replits radering och Lovables 10 procent felrate.

CEO-kodning: Codenotary-CEO byggde BBS med 500 användare på 23 MB, noll incidenter. OutSystems CEO A/B-testade mot Claude.

Forresters ramverk: Vercel/Context.ai-läckan visar slut på SaaS-perimeter. Plattformar som blandar kod, secrets och loggar spräcker ansvarsmodellen.

Veckan bekräftade: AI-kodning är här, den levererar, och vi lär oss – ibland det hårda sättet – att säkra den.