企業軟件交付商 CloudBees 最新發表的《2026 State of Code Abundance》 報告揭示,AI 自動生成程式碼正全面衝擊企業 IT 系統的穩定性與財務可預測性,在超過 200 名受訪企業科技高層當中,有 81% 表示生產環境故障數字明顯上升,問題源頭直指 AI 產出的程式碼。
即使如此仍有 92% 受訪者堅信自家程式碼推出市場前已達到生產級水平,反映企業對 AI 編碼工具的信心與實際營運表現出現嚴重落差。報告同時指出,企業在基建、測試、保安掃描方面的開支同步飆升,但只有 31% 的 AI 相關投入能夠對應到具體業務成果,管治真空進一步令風險擴大。
故障潮揭示驗證機制嚴重滯後
研究數據顯示,AI 現時生成或協助編寫企業 61% 的程式碼,而 64% 工程團隊已將 AI 廣泛或全面融入日常工作流程,CloudBees 行政總裁 Anuj Kapur 形容當前局面與當年雲端服務興起時的情況如出一轍,企業先求快速採用,再回頭處理經濟效益與保安問題,最終在帳單寄到時陷入恐慌。
漏洞修復方案商 Averlon 行政總裁 Sunil Gottumukkala 解釋這批故障主要涉及功能錯誤、效能瓶頸、可用性問題以及保安漏洞,而非單純的 CI/CD 流程崩潰,他指出程式碼通過所有審查及部署關卡後,這些問題才在生產環境浮現,反映現行驗證流程已追不上 AI 的產出速度。
Suzu Labs 安全 AI 方案及網絡安全高級總監 Jacob Krell 補充同一份報告顯示 69% 受訪者點名保安漏洞屬於 AI 程式碼的核心風險,63% 則指向合規違規問題,他強調問題核心在於驗證缺口持續擴大,因為 AI 編碼速度遠超人手核實能力,現時 70% 受訪者形容測試套件維護的工作量比撰寫程式碼本身更為沉重。
外部研究同樣印證情況嚴峻,Veracode 早前的分析發現 AI 生成的 Java 程式碼當中有 72% 帶有保安漏洞;另有業界數據顯示,AI 編碼工具在近半數 API 相關輸出中未能套用安全編碼標準,35% 在受控測試環境下的 AI 程式碼片段含有保安弱點。今年初研究人員發現 GitHub Copilot 存在編號 CVE-2025-53773 的高危漏洞,CVSS 評分高達 9.6,攻擊者可透過拉取請求描述中的隱藏提示注入,遠程執行任意程式碼。
企業應對策略:從速度文化轉向可控交付
對企業管理層而言這份報告提供具體可行的調整方向,首要任務是重新審視 AI 編碼工具的投資回報,因為現時有 36% 機構完全沒有追蹤 AI 開支與業務成果的關連,54% 受訪企業則指 CI/CD 基建支出在過去 12 個月顯著上升,53% 觀察到測試、保安及部署成本同步走高。以一間中型企業每年 AI 編碼相關支出 100 萬美元(約港幣 780 萬元)為例,若 ROI 無法量化等同把超過 3 分之 2 開支投放到無法追蹤的範疇。
問責架構同樣需要徹底重整,報告顯示僅 12% 機構設有專責 AI 管治職能,當生產系統出現故障時,科技總監或工程副總裁要為 46% 個案孭鑊,負責該工具的工程主管承擔 32% 個案,而提交程式碼的開發人員僅為 7% 個案負責。這種分散結構未能對應 AI 特有的失效模式,企業應考慮設立跨部門 AI 管治委員會,明確界定授權範圍與升級路徑。
成本控制方面目前僅 27% 企業設有 token 用量配額,18% 推行自動化開支管控,45% 表示季度成本可預測,企業可參考 NIST AI 風險管理框架,先為 AI 程式碼建立基線指標,追蹤每 1,000 行 AI 程式碼的漏洞密度、技術債務比率,以及與 AI 模組相關的事故關聯性,再逐步擴展 AI 應用範圍。
管治平台與 agentic 安全工具崛起
展望未來 12 至 18 個月市場將出現 2 大明顯走向,除了傳統靜態程式碼分析工具加快整合 AI 偵測能力,agentic AI 安全平台亦會成為主流,例如 Checkmarx、Snyk、Cycode 等廠商已陸續推出可在 IDE、拉取請求、CI/CD 管道及組合層面執行政策的統一方案。Anthropic 於 2026 年 2 月推出的 Claude Code Security 聲稱能找出傳統審查多年未發現的漏洞,OpenAI 的 Codex Security 則採用威脅建模方式分析儲存庫結構,反映保安掃描正由被動偵測進化到主動推理。
另一邊廂企業財務部門對「token 焦慮」的關注度有增無減,AI 編碼支出橫跨基建、雲端運算、保安掃描及合規審計多個層面,財務團隊難以準確預測季度開支。CloudBees 及 GitLab Ultimate 等廠商開始整合預算強制執行機制,期望可以解決這項痛點,並將開支控制納入軟件交付管道。
報告結論認為,AI 編碼工具的生產力承諾並非虛構,但驗證、管治、成本 3 條防線必須與產出速度同步擴張,雖然 93% 機構聲稱已制定 AI 程式碼正式審查流程,但只有 56% 表示流程一直獲得執行。企業若繼續以「先用後管」的心態推進 AI 編碼策略,最終要付出的修復成本與品牌損失,可能遠超表面上節省的開發時間。
來源:The Register
