明知有漏洞照樣上線！調查：七成開發者認 AI 程式碼更脆弱，三成仍硬推

根據資安業者 Checkmarx 最新《2026 年應用程式安全現況》調查，AI 生成程式碼正加速進入生產環境，但開發團隊對其風險也心知肚明。報告指出，70% 的開發者認為 AI 產生的程式碼漏洞更多，仍有 30% 的受訪者坦承會明知含有弱點的程式碼直接送進正式環境。

這份調查涵蓋 2,350 名來自全球的開發者、資安長（CISO）與應用安全主管，樣本數比去年增加 54%。結果顯示，AI 生成的生產環境程式碼占比雖較前一年從 54% 小幅降至 49%，但仍接近半數；同時，生產應用也有 59% 建立在開放原始碼基礎上，讓供應鏈與第三方套件風險一併浮現。

Checkmarx 進一步指出，93% 的受訪者表示曾因脆弱應用遭遇過至少一次資安事件，雖較去年的 98% 略降，但仍顯示「風險已被常態化」。受訪者列出的原因包括：上線壓力過大、漏洞修補太困難，以及過度依賴其他防護機制來補位。報告也提到，AI 生成內容約占受訪者實際撰寫程式的 50%，其中 70% 認為 AI 程式碼存在「明顯更多」漏洞。

在防護做法上，報告認為問題不在於工具不足，而是組織未能把工具真正落實到流程中。Checkmarx 表示，雖然靜態分析與新一代 AI 驅動工具都能協助找出並修補弱點，但多數企業仍無法在開發流程中持續套用。報告並指出，AI 程式碼占比越高，脆弱程式碼上線與資安事件的機率也越高；當 AI 生成程式碼占比達 81% 至 100% 時，脆弱程式碼的送出率是 AI 採用僅 1% 至 20% 的組織的 3.4 倍。

此外，Checkmarx 於今年 6 月 8 日釋出的另一組補充資料也顯示，95% 的資安長感受到來自高層的壓力，在商業時程面前延後或壓低合規相關的資安議題；僅 18% 的開發者表示會在撰寫程式時持續進行安全檢查，反映 AI 加速開發的同時，安全管理明顯跟不上。