86 procent av företagskoden under kvalitetskraven – AI riskerar att förvärra problemen

Enligt rapporten når 86 procent av den analyserade koden inte upp till rekommenderade kvalitetsnivåer. Dessutom har 71 procent av koden en låg grad av säkerhetskontroller och hälften av systemen ligger under rekommenderad nivå för systemarkitektur.

– Den siffran har varit relativt konstant över tid, även om vi ser en viss ökning i takt med att AI-assisterad kodutveckling blir vanligare. Våra analyser visar att andelen kod som inte når upp till rekommenderade kvalitetsnivåer sannolikt kommer att öka i takt med att användningen av AI-genererad kod fortsätter att växa, säger Luc Brandts, vd för Software Improvement Group.

Arkitekturen pekas ut som största utmaningen

Enligt rapporten fungerar AI främst som en förstärkare av redan existerande styrkor och svagheter i mjukvaruutvecklingen. Där organisationer har kontroll över kvalitet och utvecklingsprocesser kan tekniken bidra till högre produktivitet. Där motsvarande kontroll saknas riskerar problemen att växa snabbare.

Luc Brandts pekar särskilt ut systemarkitekturen som ett område där AI har svårt att kompensera för brister.

– Arkitekturen är den största utmaningen för AI att hantera, och det är också där vi ser de största problemen. Arkitektonisk teknisk skuld driver ofta på många andra problem. När komplexiteten ökar också risken för felaktigheter, vilket leder till fler säkerhetsproblem, högre underhållskostnader och lägre tillförlitlighet, säger han.

En svag arkitektur tenderar dessutom att försämras ytterligare över tid eftersom systemen blir svårare att förändra och vidareutveckla.

Välskötta organisationer får störst nytta av AI

Enligt Brandts är det inte nödvändigtvis de mest AI-intensiva organisationerna som lyckas bäst, utan de som redan har etablerade processer för styrning och uppföljning.

– De organisationer som lyckas bäst är välskötta organisationer som har rätt skyddsmekanismer och kontrollsystem kring användningen av AI. De ser möjligheterna, men är inte förblindade av föreställningen att AI automatiskt kommer att lösa alla problem.

Rapporten visar samtidigt att AI-genererad kod innehåller ungefär dubbelt så många säkerhetsrelaterade avvikelser som kod skriven av människor.

Enligt Brandts handlar det bland annat om att AI kan introducera äldre eller sårbara open source-komponenter i kodbasen.

– AI kan hjälpa angripare att hitta vägar in snabbare. Samtidigt som dåligt organiserad AI-assisterad kodutveckling riskerar att göra systemen mer sårbara.

Nya kostnader växer fram

Rapporten lyfter också fram att AI innebär nya typer av kostnader som många organisationer fortfarande försöker få grepp om.

Särskilt agentiska AI-system kan bli betydligt mer resurskrävande än dagens AI-assistenter. Enligt rapporten kan vissa lösningar använda upp till 1 000 gånger fler AI-tokens än traditionella AI-verktyg.

– Den största effekten är att pengar spenderas betydligt snabbare. Om man tidigare byggde ett system med ett team på tio personer under fyra år innebar det att kostnaderna fördelades över 48 månader. Om en agentisk metod, teoretiskt sett, skulle kunna genomföra samma arbete på en vecka, spenderas samma mängd pengar under en mycket kortare tidsperiod. Det är naturligtvis ett förenklat och extremt exempel för att illustrera poängen, säger Brandts.

– Tokenekonomi (tokenomics) är en fråga som behöver få betydligt större uppmärksamhet. Vi arbetar själva med modeller och benchmarkdata för att hjälpa organisationer att få bättre kontroll över dessa kostnader. Time to market kan kortas ner, men budgetarna kommer att användas på ett annat sätt.

– Om 2 000 AI-agenter bygger ett system som tidigare skulle ha krävt 40 personårs arbete, är det sannolikt att kvaliteten blir betydligt lägre, med kostsamma korrigeringar och (mycket) höga förvaltningskostnader.