AI-code overspoelt developerteams — nieuwe security-aanpak moet voorkomen dat kwetsbaarheden exploderen

De opkomst van met AI gege­ne­reerde code dwingt orga­ni­sa­ties tot een funda­men­tele herzie­ning van hun secu­ri­ty­s­tra­tegie. Waar tradi­ti­o­nele appli­ca­tie­be­vei­li­ging jarenlang draaide om scannen en achteraf herstellen, ontstaat nu een nieuwe disci­pline: AI Code Security. Volgens James Berthoty, analist bij onder­zoeks­bu­reau Latio, is die verschui­ving onver­mij­de­lijk nu AI de manier waarop software wordt ontwik­keld ingrij­pend verandert.

AI-code­ge­ne­ratie via tools als Claude, Copilot en Codex zorgt voor een enorme versnel­ling in ontwik­kel­pro­cessen. Maar die produc­ti­vi­teits­winst heeft een keerzijde. Meer code betekent ook meer poten­tiële kwets­baar­heden — en bestaande secu­ri­ty­pro­cessen zijn daar niet op ingericht.

Berthoty stelt dat orga­ni­sa­ties zich momenteel op twee fronten tegelijk moeten aanpassen: het bevei­ligen van AI-gege­ne­reerde code én het bevei­ligen van de AI-tools zelf. “Er ontstaat een compleet nieuwe categorie”, schrijft hij, waarin deze werelden samenkomen.

Van ‘shift left’ naar AI-gedreven security

De afgelopen jaren was ‘shift left’ het dominante paradigma in appli­ca­tie­be­vei­li­ging: kwets­baar­heden zo vroeg mogelijk in de ontwik­kel­cy­clus detec­teren. Maar dat model loopt volgens Berthoty tegen funda­men­tele grenzen aan.

“De bott­le­neck zit niet in het vinden van kwets­baar­heden, maar in het oplossen ervan”, stelt hij. Bovendien kunnen tradi­ti­o­nele tools geen rekening houden met de speci­fieke context van een orga­ni­satie, zoals archi­tec­tuur­keuzes of gebruikte frameworks.

Daar komt bij dat AI-gedreven ontwik­kel­pro­cessen simpelweg te snel gaan voor bestaande secu­ri­ty­work­flows. Waar tradi­ti­o­nele tools feedback geven nadat code is geschreven, hebben AI-agents die infor­matie al nodig vóórdat ze beginnen met genereren.

Volgens Berthoty leidt dit tot frictie: security wordt een rem op ontwik­kel­teams in plaats van een geïn­te­greerd onderdeel van het proces. “Tools zijn gebouwd voor mensen, niet voor AI”, is de kern van zijn analyse.

Security verschuift naar de voorkant

Een nieuwe bena­de­ring draait om het voeden van AI-agents met context: bevei­li­gings­richt­lijnen, archi­tec­tuur­prin­cipes en kennis over het appli­ca­tie­land­schap. In plaats van achteraf te contro­leren, wordt security daarmee een integraal onderdeel van het ontwik­kel­proces. Berthoty beschrijft dit als een funda­men­tele verschui­ving: van detectie naar preventie. “AI Code Security biedt agents de juiste context om direct veilige code te genereren”, schrijft hij.

Centraal daarin staat een zoge­noemde ‘context graph’: een model waarin infor­matie over code, archi­tec­tuur, drei­gingen en bedrijfs­doel­stel­lingen samenkomt. AI-tools gebruiken deze context om zowel kwets­baar­heden te iden­ti­fi­ceren als oplos­singen voor te stellen die aansluiten bij de speci­fieke situatie van een organisatie.

Dat maakt volgens Berthoty een einde aan een bekend probleem: generieke adviezen die niet toepas­baar zijn in de praktijk.

Nieuwe generatie securitytools

De opkomst van AI Code Security gaat gepaard met een reeks nieuwe tech­no­lo­gieën. Volgens Latio bestaat de nieuwe categorie uit meerdere compo­nenten, waaronder AI-gedreven threat modeling, geavan­ceerde code-analyse en auto­ma­ti­sche penetratietests.

Belang­rijk verschil met tradi­ti­o­nele tools is dat deze oplos­singen niet alleen kwets­baar­heden signa­leren, maar ook actief bijdragen aan het oplossen ervan. AI-agents kunnen bijvoor­beeld auto­ma­tisch patches voor­stellen of zelfs imple­men­teren. “Het doel is niet om meer bevin­dingen te genereren, maar om risico daad­wer­ke­lijk te reduceren”, aldus Berthoty.

Ook de inter­actie met ontwik­ke­laars verandert. In plaats van statische rappor­tages verschuift de interface naar inter­ac­tieve omge­vingen, waarin devel­o­pers direct met secu­ri­ty­tools communiceren.

Governance wordt cruciaal

Voor IT- en secu­ri­ty­ma­na­gers ligt de grootste uitdaging volgens Latio niet alleen in tech­no­logie, maar in gover­nance. De adoptie van AI in soft­wa­re­ont­wik­ke­ling wordt vaak top-down gesti­mu­leerd, terwijl secu­ri­ty­teams verant­woor­de­lijk blijven voor risico’s. “Secu­ri­ty­teams hebben gover­nance nodig om AI veilig te kunnen adopteren”, stelt Berthoty echter.

Dat betekent onder meer het vast­leggen van coding standards, het beheren van AI-tools op developer endpoints en het afdwingen van beleid via centrale controles. Zonder deze maat­re­gelen dreigt wildgroei aan tools en werk­wijzen, met alle risico’s van dien.

Praktische implicaties voor organisaties

Voor de praktijk betekent dit dat orga­ni­sa­ties hun secu­ri­ty­aanpak moeten herzien. Het simpelweg uitbreiden van bestaande scan­pro­cessen is niet voldoende.

Latio ziet dat veel teams al expe­ri­men­teren met onder­delen van de nieuwe aanpak. Denk aan het opbouwen van centrale kennis­banken met secu­ri­ty­richt­lijnen of het inte­greren van threat modeling in ontwikkelprocessen.

Volgens Berthoty ligt de sleutel in het combi­neren van deze elementen tot een samen­han­gend geheel. Alleen dan kan AI daad­wer­ke­lijk bijdragen aan zowel snelheid als veiligheid.

Meer code, meer risico

De urgentie is groot. AI maakt het mogelijk om in korte tijd enorme hoeveel­heden code te produ­ceren. Zelfs als AI minder fouten maakt dan mense­lijke devel­o­pers, kan het absolute aantal kwets­baar­heden alsnog toenemen door de schaal.

Die paradox maakt duidelijk waarom een nieuwe aanpak nood­za­ke­lijk is, meent hij.

Berthoty schetst een toekomst waarin AI Code Security uitgroeit tot een miljar­den­markt. De partijen die erin slagen context, analyse en gover­nance te combi­neren in één platform, zullen volgens hem de nieuwe standaard zetten in applicatiebeveiliging.

Voor orga­ni­sa­ties betekent dat één ding: security moet meebe­wegen met AI — niet als controle achteraf, maar als integraal onderdeel van het ontwikkelproces.