42%使用AI的开发者表示代码库主要由AI生成

北爱尔兰贝尔法斯特——2025年6月18日
领先的云原生软件制品管理平台Cloudsmith的新研究发现，在使用AI辅助开发的开发者中，42%表示其当前代码库至少一半由AI生成。然而，尽管出现了针对AI的特定攻击手法（如利用编码助手建议的虚构包名进行攻击的“slopsquatting”），仅67%的开发者会在每次部署前审查这些代码。

这些发现今日发布于《Cloudsmith 2025制品管理报告》，凸显了软件开发中AI应用与相关风险监管之间日益扩大的差距。20%的开发者表示“完全信任”AI生成的代码。虽然59%会对AI生成的软件包进行额外审查，但仅34%使用专门针对AI生成制品的策略执行工具，17%坦言完全未实施此类控制。

Cloudsmith首席执行官Glenn Weinstein表示：“软件开发团队正以更快的速度交付，其中包含更多AI生成的代码和AI代理主导的更新。AI工具对开发者生产力产生了巨大影响，这固然很好。但鉴于生成代码可能缺乏人工审查，领导者更需确保为软件供应链建立正确的自动化控制机制。”

报告还发现，86%的开发者过去一年中AI影响的软件包或依赖项使用量增加，40%认为增幅“显著”。尽管如此，仅29%的受访者对自身检测开源库漏洞的能力“非常有信心”，而AI工具很可能从这些库中获取建议。

Weinstein补充道：“控制软件供应链是确保其安全的第一步。自动化检查和精选制品库的使用有助于开发者在开发生命周期早期发现问题。”

除上述发现外，《Cloudsmith 2025制品管理报告》还探讨了开发者如何评估开源软件包的可信度、AI在构建流水线中如何提升速度，以及即使安全被列为优先事项时工具升级仍受阻的原因。报告下载地址：https://cloudsmith.com/campaigns/2025-artifact-management-report