APREX · EST. 2026
Programvarebransjen har gjennomført et stille eksperiment på seg selv — og resultatene er katastrofale. Mens teknologiselskaper kappes om å skryte av AI-drevne produktivitetsgevinster, siver usikker, feilaktig og vedlikeholdsuegnet kode ut i produksjonssystemer verden over. Det er ikke en fremtidig risiko. Det skjer akkurat nå.
Tallene som bransjen helst ikke vil snakke om
> KEYFIGURE
>
> 61 % — andel organisatorisk kode som er AI-generert eller AI-assistert (The Register / SmartBear, mai 2026)
>
> 92 % — andel AI-genererte kodebaser med minst én kritisk sårbarhet (Sherlock Forensics, jan–apr 2026)
>
> 18 dager — gjennomsnittlig tid fra deploy til første exploit-forsøk mot AI-genererte apper
>
> 10 000+ — månedlige sikkerhetsfunn i én Fortune 50-bedrift etter AI-innføring, opp fra ~1 000 (Apiiro, des 2024–jun 2025)
Et SmartBear-survey av 273 programvareledere, publisert i mai 2026, avdekker at 70 prosent mener applikasjonskvaliteten allerede har forringet seg som direkte konsekvens av AI-generert kode. Det er ikke bekymring for fremtiden — det er en diagnose av nåtiden.
AI-kode mot menneskelig kode: hva dataene sier
| Kategori | AI-kode vs. menneskelig kode |
|---|---|
| Totale feil | 1,7x flere |
| Logikk- og korrekthetsfeil | 75 % vanligere |
| Sikkerhetssårbarheter | opptil 2,74x høyere |
| Lesbarhetsproblemer | 3x vanligere |
| Svakheter i feilhåndtering | nesten 2x vanligere |
| Hallusinerte pakker | 20 % av all AI-kode |
| Feil output | 26,6 % av programmer |
Kilde: CodeRabbit (470 GitHub PRs), Veracode (100+ LLM-er, 80 kodingsoppgaver), Sherlock Forensics 2026
Selve verktøyene er blitt angrepsmål
Veracode testet over 100 ulike språkmodeller på 80 standardiserte kodingsoppgaver i fire programmeringsspråk — Java, Python, C# og JavaScript. Resultatet: 45 prosent av all AI-generert kode inneholder sikkerhetssårbarheter.
Java var verst stilt med en feilrate på hele 72 prosent. 86 prosent av AI-generert Java-kode forsvarer ikke mot XSS-angrep (CWE-80). 88 prosent er sårbar for log injection (CWE-117). Og siden januar 2025 har gjennomsnittlig beståttrate knapt beveget seg — den ligger flat på rundt 55 prosent, til tross for at leverandørene hevder å ha trent modellene sine med sikkerhet i fokus.
> HIGHLIGHT
> «Silent logic failures» utgjør 60 prosent av alle feil i AI-generert kode. De passerer automatiserte tester — og feiler først i edge cases ute i produksjon, der ekte brukere rammes.
Georgia Techs Vibe Security Radar, som ble lansert i mai 2025, sporer CVE-er som kan knyttes direkte til AI-kodeverktøy. I mars 2026 registrerte radaren 35 bekreftede CVE-er — en nær seksgangersøkning fra januar samme år (6 CVE-er). Totalt er 74 CVE-er bekreftet. Claude Code alene sto for 27 av disse, identifiserbare gjennom commit-signaturer. GitHub Copilot, Cursor, Devin og Aether utgjør resten. Forskerne anslår at det reelle tallet i offentlige repoer er et sted mellom 400 og 700 — og at enterprise-kodebaser ikke er inkludert i dette estimatet.
Iterasjon gjør det verre, ikke bedre
Den kanskje mest alarmerende oppdagelsen kommer fra en studie publisert av IEEE-ISTAS i 2025, gjennomført av forskere ved University of San Francisco, Vector Institute og University of Massachusetts Boston. De testet 400 AI-genererte kodesampler gjennom 40 iterative runder der modellene ble bedt om å forbedre sin egen kode.
Resultat: Etter bare 5 runder hadde kritiske sårbarheter økt med 37,6 prosent. Etter 10 runder hadde gjennomsnittlig antall sårbarheter per kodeeksempel klatret fra 2,1 til 6,2 — nesten en tredobling. Mønsteret holdt seg selv når forskerne eksplisitt instruerte modellene om å prioritere sikkerhet.
> PULLQUOTE
> «Iterativ AI-forbedring er ikke kvalitetssikring. Det er en sårbarhetsmultiplikator.»
> — IEEE-ISTAS 2025-studie, University of San Francisco / Vector Institute / UMass Boston
TIDSLINJE: Krisen eskalerer
TIMELINE
🔴 Januar 2025 — Georgia Tech Vibe Security Radar registrerer 6 CVE-er knyttet til AI-kodeverktøy siden oppstart
🟠 Februar 2025 — Antallet doblet til 15 bekreftede CVE-er på én måned
🟡 Desember 2024–juni 2025 — Apiiro dokumenterer at AI-assisterte utviklere i én Fortune 50-bedrift øker månedlige sikkerhetsfunn fra ~1 000 til over 10 000
🔴 Mars 2026 — 35 CVE-er på én måned. Georgia Tech estimerer 400–700 i offentlige repoer totalt
🚨 Januar–april 2026 — Sherlock Forensics analyserer AI-genererte kodebaser: 92 % har kritiske sårbarheter, gjennomsnittlig 8,3 exploitable findings per app
Vibe coding: apper i produksjon, brukere i faresonen
Escape.tech skannet 1 400 såkalt «vibe-coded» apper — apper bygget raskt med minimal menneskelig oversikt ved hjelp av AI. Funnene var dramatiske: 2 038 kritiske sårbarheter, over 400 lekkede hemmeligheter og 175 tilfeller av eksponert personlig informasjon, inkludert medisinske data og finansielle opplysninger. Appene var ikke prototyper. De var i produksjon med ekte brukere.
Sherlock Forensics-rapporten fra januar–april 2026 legger til flere detaljer: 78 prosent av AI-genererte applikasjoner lagrer hemmeligheter i klartekst eller i .env-filer. 91 prosent mangler security logging. 88 prosent har ikke rate limiting på autentisering. Og gjennomsnittlig tar det bare 18 dager fra en app er deployed til den utsettes for sitt første exploit-forsøk.
Fartsfellen: mer output, mer rot
Apiiro analyserte data fra en Fortune 50-bedrift mellom desember 2024 og juni 2025. AI-assisterte utviklere produserte 3–4 ganger flere commits enn kollegene sine som ikke brukte AI. Syntax-feil falt med 76 prosent. Logikkbugs falt med 60 prosent. Det hørtes godt ut.
Men bak tallene: tilfeller av eskalering av rettigheter økte med 322 prosent. Designfeil økte med 153 prosent. Pull request-volumet falt med nesten en tredjedel — ikke fordi det ble gjort mindre arbeid, men fordi større PR-er med flere konsentrerte problemer ble samlet inn i færre reviewrunder.
Et Uplevel-survey av over 800 utviklere fant at 96 prosent er bekymret for påliteligheten til AI-generert kode. Enda mer avslørende: 67 prosent bruker mer tid på debugging etter at de tok i bruk AI-verktøy — ikke mindre.
GitClear analyserte over 150 millioner linjer kode og bekreftet trenden: i AI-tunge kodebaser øker «code churn» dramatisk. Kode som er skrevet av AI, modifiseres eller slettes langt hyppigere i løpet av de første to ukene enn menneskelig kode. Den kopieres og limes mer, og vedlikeholdes mindre konsistent over tid.
Slopsquatting: når hallusinasjoner blir våpen
En av de mer bisarre konsekvensene av AI-kodeskriving er et angrepsscenario som har fått tilnavnet «slopsquatting». Rundt 20 prosent av all AI-generert kode refererer til pakker som ikke eksisterer — modellene hallusinerer pakkenavn. Angripere registrerer nå disse ikke-eksisterende pakkenavnene som ondsinnede biblioteker, og venter på at AI-assisterte utviklere skal installere dem automatisk.
Det er ikke lenger bare koden som er et angrepsflate. Selve verktøyene er det. I 2025 ble det dokumentert CVE-er mot Amazon Q, Cursor og GitHub Copilots regelfilbehandling — supply chain-angrep rettet direkte mot AI-kodeverktøyene millioner av utviklere daglig stoler på.
FAKTABOKS: Hva bransjen gjør galt
Vanligste feil i AI-generert kode (Sherlock Forensics, 2026):
- 78 % lagrer API-nøkler og passord i klartekst
- 91 % mangler security logging
- 88 % har ingen rate limiting på innlogging
- 34 % har hallusinerte avhengigheter (Node.js)
- Bare 12 % implementerer rate limiting overhodet
Stanford 2024: Utviklere som brukte AI-assistenter, var mer tilbøyelige til å innføre sikkerhetssårbarheter — og mer tilbøyelige til å vurdere usikker kode som trygg (authority bias).
BOTTOM LINE
Bransjen har byttet ut kvalitet mot hastighet — og regningen tikker inn. AI-generert kode er ikke et fremtidig problem som kan løses med neste modellgenerasjon. Det er et nåtidig problem som allerede befinner seg i produksjonssystemer med ekte brukere. Svaret er ikke å slutte å bruke AI. Det er å slutte å late som om AI-kode er ferdig kode. Grundig review, automatisert sikkerhetstesting og menneskelig ekspertise er ikke valgfrie tillegg — de er obligatoriske mottiltak.
Verifisert mot 10 åpne primærkilder
Kilder: SmartBear (273 software leaders, mai 2026) via The Register og ShiftAsia; CodeRabbit (470 GitHub PRs); Veracode (100+ LLM-er, 80 oppgaver); Sherlock Forensics AI Code Security Report (jan–apr 2026); IEEE-ISTAS 2025 (USF / Vector Institute / UMass Boston, 400 kodesampler, 40 iterasjoner); Georgia Tech Vibe Security Radar; Apiiro Fortune 50-analyse (des 2024–jun 2025); GitClear (150M+ linjer); Uplevel survey (800+ utviklere); Escape.tech (1 400 vibe-coded apper); Stanford 2024 (authority bias-studie)