人工智能編程工具使用率正創新高,但開發人員對其信任度卻急劇下降。Stack Overflow 2025 年開發者調查訪問了來自 177 個國家的 49,009 名開發人員,結果顯示 84% 開發者正使用或計劃使用 AI 工具,較去年的 76% 上升。然而信任這些工具準確性的開發者僅佔 33%,較 2024 年的 43% 大幅下跌 10 個百分點。對 AI 工具的正面評價亦從 2024 年的 72% 暴跌至今年的 60%。
開發人員對 AI 生成程式碼的品質與安全性存在嚴重疑慮。多項研究揭示 AI 程式碼存在系統性缺陷,令企業面對前所未有的網絡安全風險。
近半 AI 程式碼含安全漏洞
Veracode 2025 年生成式 AI 程式碼安全報告分析了超過 100 個大型語言模型在 80 個真實編程任務中產生的程式碼,發現 45% 情況下 AI 會引入安全漏洞。Veracode 技術總監 Jens Wessling 表示:「開發人員通常不需要明確定義安全要求就能獲得他們想要的程式碼,實際上將安全編程決策留給大型語言模型。我們的研究顯示,這些模型近一半時間會做出錯誤選擇,而且情況並未改善。」
Veracode 的研究發現,45% 程式碼樣本未通過安全測試並引入 OWASP 十大安全漏洞。Java 是風險最高的語言,安全失敗率達 72%。其他主要語言的表現同樣令人擔憂。最常見的問題之一是跨站腳本攻擊 (CWE-80),AI 工具在 86% 相關程式碼樣本中未能防禦此漏洞。
雲端安全聯盟的研究發現,即使開發人員使用最新的基礎 AI 模型,62% AI 生成的程式碼解決方案仍包含設計缺陷或已知的安全漏洞。根本問題在於 AI 編程助手本質上不理解應用程式的風險模型、內部標準或威脅環境。
「幾乎正確」成最大痛點
Stack Overflow 調查顯示,開發者最大的挫折感 (45% 受訪者提及) 是處理「幾乎正確但又不完全正確」的 AI 解決方案,這往往令除錯工作更加耗時。66% 開發者表示遇到這類問題,45% 表示除錯 AI 生成的程式碼比預期花費更多時間。
Qodo 對超過 600 名開發人員的調查顯示,雖然 82% 每天或每週使用 AI 編程助手,但極少人完全信任生成的程式碼。76% 開發者仍不完全信任 AI 生成的程式碼。65% 開發者表示 AI 在重構、編寫測試或審查程式碼等關鍵任務期間缺少相關背景資訊。
Qodo 研究指出,風格不匹配和缺乏背景相關性是主要原因。44% 認為 AI 降低程式碼品質的開發者將問題歸咎於背景資訊問題,近 40% 將與團隊標準不一致列為最大挫折。
經驗豐富開發者最謹慎
調查揭示經驗與信任度之間存在明顯關聯。更多開發者主動不信任 AI 工具的準確性 (46%) 多於信任它 (33%),只有極少數 (3%) 報告「高度信任」輸出。經驗豐富的開發者最謹慎,「高度信任」率最低 (2.6%),「高度不信任」率最高 (20%)。
擁有 10 年以上經驗的資深開發者報告從 AI 獲得最高的程式碼品質效益 (68.2%),但對在沒有審查的情況下交付 AI 程式碼表現出最謹慎態度,只有 25.8% 有信心這樣做。相比之下,少於 2 年經驗的初級開發者報告的品質改善最低 (51.9%),但對在沒有人工審查的情況下交付 AI 生成程式碼的信心最高 (60.2%)。
這顯示經驗豐富的開發者更了解 AI 編程工具的能力與局限性,經驗較少的開發者可能高估了 AI 的能力。
速度與安全性的矛盾
OX Security 分析了超過 300 個軟件儲存庫,包括 50 個使用 GitHub Copilot、Cursor 或 Claude 等 AI 編程工具的儲存庫。研究人員發現,AI 生成的程式碼每行並不比人工編寫的程式碼更容易出現漏洞。問題在於速度。程式碼審查、除錯和團隊監督等瓶頸已被移除。過去需要數月構建的軟件現在可以在數天內完成並部署。
OX Security 研究副總裁 Eyal Paz 表示:「功能性應用程式現在可以比人類正確評估它們的速度更快地構建。易受攻擊的系統現在以前所未有的速度進入生產環境,而適當的程式碼審查根本無法跟上新的輸出速度。」
研究確定了 AI 程式碼的常見模式,包括避免重構 (80-90%)、過度具體化 (80-90%) 和按部就班的固定思維 (80-90%)。與經驗豐富的開發者不同,AI 會在「足夠好」時停止,不會重組或最佳化,導致技術債務增長。
Vibe Coding 未成主流
調查詢問了開發者對 vibe coding 的看法,即從 AI 提示生成軟件而不自己編寫程式碼的方式。結果顯示這種方法仍不受歡迎。72% 開發者表示 vibe coding 不是其專業工作的一部分,另有 5% 強烈拒絕。只有約 12% 開發者以某種形式使用 vibe coding。
Lawfare 網站指出,vibe coding 的概念與傳統軟件開發實踐完全相反。雖然 AI 助手已成為軟件工程師的標準工具,但傳統上它們是補充而非取代人類開發者。vibe coding 的理念與此完全相反:vibe coders 不直接與程式碼互動,因此無法評估,更不用說保證程式碼品質。
當被問及未來即使有先進 AI,他們仍會尋求人類幫助的原因時,開發者給出明確答案。75% 表示「當我不信任 AI 的答案時」會尋求人類協助。這將人類開發者定位為品質和正確性的最終仲裁者。
對企業的影響與應對策略
開發者對 AI 程式碼的不信任為企業帶來重大挑戰。雖然 78% 開發者從 AI 工具獲得生產力提升,但驚人的 76% 仍不完全信任生成的程式碼,這造成瓶頸,侵蝕了自動化程式碼生成承諾的速度優勢,開發者轉向手動審查程式碼。
企業需要建立系統性的安全措施。Veracode 建議採取主動措施確保安全,例如將 AI 驅動的工具整合到開發者工作流程中以即時修復安全風險、利用靜態分析及早自動檢測缺陷、在代理工作流程中嵌入安全性以自動化政策合規、以及使用軟件組合分析確保 AI 生成的程式碼不會從第三方依賴項和開源組件中引入漏洞。
雲端安全聯盟建議企業應及早整合安全反饋。等到提交拉取請求或 CI 管道時已太遲,應與開發者合作,使用 MCP 伺服器為 AI 編程助手提供安全見解。支援安全程式碼審查。人類審查者仍是最重要的檢查,但隨著審查增加,疲勞也隨之而來。
程式碼審查是關鍵環節。研究確定自動化 AI 驅動的程式碼審查是關鍵催化劑。將 AI 審查整合到工作流程中的團隊看到品質改善跳升至 81%,而沒有審查的類似團隊僅為 55%。
企業應重新定義開發流程。OX Security 報告建議將安全知識直接嵌入 AI 工作流程。實際上,這意味著在提示中添加組織「安全指令集」,強制執行架構約束,並將自動化護欄整合到開發環境中。
未來展望與建議
Stack Overflow 行政總裁 Prashanth Chandrasekar 表示:「今年調查中對 AI 工具信任度的下降是關鍵數據點,特別是考慮到這些 AI 工具增長和採用速度的加快。AI 是強大的工具,但存在錯誤資訊的重大風險,或可能缺乏複雜性或相關性」。
開發者態度的轉變反映了行業正進入成熟階段。Stack Overflow 資深市場研究分析師 Erin Yepis 表示:「這並不是開發者放棄 AI,使用率正在增長,69% 在工作中使用 AI 代理的開發者同意生產力正在提高。相反,統計數據顯示開發者更謹慎地使用 AI。他們正在了解 AI 在工作流程中的適用範圍及不適用的地方。這是新技術成熟時的自然進展:最初的熱情讓位於現實主義」。
開發者需要建立新的工作模式。受訪者顯示對使用 AI 完成高責任、系統性任務如部署和監控(76% 不計劃使用)和項目規劃(69% 不計劃使用)的抵制最強。人類監督在可預見的將來仍將是必不可少的。
AI 編程工具的未來取決於如何平衡速度與品質。企業必須投資於強大的安全審查機制,開發者需要提升對 AI 工具能力與局限性的認識,而 AI 工具供應商則需要改善模型對背景資訊的理解。只有當這三方共同努力時,AI 才能真正成為開發者可信賴的合作夥伴,而非製造更多問題的工具。
來源:VentureBeat