导读：人工智能编码正在大规模实施，但是却没有评审和测试。

如今在一些组织中，超过一半的代码已经由人工智能生成的，但其中大部分代码几乎在没有监管的情况下投入到生产环境。

我们根据 Cloudsmith 发布的《2025 年工件管理报告》，“人工智能现在正在大规模编写代码。” 在使用人工智能的软件开发者中，42% 的人士表示他们至少一半的代码是由人工智能生成的。

进一步细分来看，16.6% 的人表示他们的大部分代码是由人工智能生成的，3.6% 的人表示他们的所有代码都是机器生成的。

该报告并未具体说明有多少开发人员正在使用AI生成代码。

根据去年一份涵盖美国、巴西、德国和印度的GitHub报告指出，“超过97%的受访者表示曾在工作中使用过AI编码工具。” 表示“至少获得一些公司支持”AI代码生成工具的比例从美国的88%到德国的59%不等。

Cloudsmith还警告说：“虽然大语言模型可以通过快速生成代码来提高生产力，但它们可能会无意中推荐不存在或恶意的软件包，从而带来很高的风险。”

开发人员对此有着敏锐的意识。当被问及人工智能是否会加剧开源恶意软件威胁（例如域名抢注、依赖项混淆）时，79.2% 的受访者认为人工智能会增加了环境中恶意软件的数量，30% 的受访者表示人工智能将显著增加恶意软件的暴露量。

还有 13% 的受访者认为人工智能能够“预防或减少威胁”。40% 的受访者表示，代码生成是人工智能输入构成最大风险的环节。

在现实中，三分之一的开发者在每次部署之前并未审查AI生成的代码，
这意味着“很大一部分”源代码未经任何审核，这给系统，特别是软件供应链带来了越来越大的漏洞。

三分之二的开发者均表示，他们只会认可人工审查后才信任AI生成的代码，但是目前的情况是，随着AI在全球日益庞大的代码库中所占比例越来越大，这一比例也正在被刷新。

以上的内容表示人工智能正在引入新的风险，“通常是大规模的”，同时“诸如工件完整性、依赖关系管理和 SBOM（软件物料清单）等传统问题正因
人工智能快速使用和重用未知或不受信任代码的能力而变得更加复杂”。

Cloudsmith还认为，这代表着一个软件工程转折点，人工智能将成为软件堆栈的关键贡献者，而信任模型、工具和策略尚未跟上。而且，依靠人工审查代码是不太可持续的。

Cloudsmith 提倡改进工件管理，具有智能访问控制和端到端可视性，以及动态访问控制策略和强大的策略即代码框架。

我们再具体到人工智能代码，它提出了自动执行策略，以识别未经审查或不受信任的人工智能代码，并通过溯源追踪来区分人工生成的代码和人工智能生成的代码。

信任信号需要直接集成到开发流程中，审查将不再只是可选项。

作者：行动中的大雄

参考：

https://cloudsmith.ghost.io/ai-is-now-writing-code-at-scale-but-whos-checking-it/