組織準備好應對AI生成代碼可能帶來的繁瑣工作、漏洞和開發者倦怠了嗎？

譯自More AI, More Problems for Software Developers in 2025，作者 Jennifer Riggins。

生成式AI創造了比以往任何時候都更多的代碼。但盡管平臺工程很流行，但正如Harness的2025年軟件交付現狀所揭示的那樣，一場開發者危機正在醞釀之中，該報告總結了250位工程領導和250位軟件開發人員的共同經驗。

“生成更多代碼很棒，”Harness的首席現場技術官說，因為開發人員主要感覺使用AI編碼助手提高了生產力。

“但這會產生代碼之后發生的一切——而且后續工作很多。從安全測試到單元測試，到整體治理，發生的部署數量，以及引入的依賴項數量。”

大多數接受采訪的開發人員在至少一半由AI編碼助手輔助的部署中都遇到了問題。報告發現，67%的開發人員花費更多時間調試AI生成的代碼，而68%的開發人員花費更多時間解決安全漏洞。雖然AI在軟件開發生命周期的早期加快了代碼編寫速度，但更多的代碼意味著對代碼審查、安全驗證和質量保證的需求更大。到目前為止，這一需求遠未得到滿足。

此外，當AI采用率提高時，交付穩定性和吞吐量下降。

盡管存在所有這些缺點，但在2025年的軟件交付中，AI的采用率仍在繼續上升。以下是組織可以采取的措施，以防止AI生成的代碼變成完全令人厭煩的災難。

報告發現，開發人員花費在調試上的時間比以往任何時候都多。這并不一定意味著AI生成的代碼天生就更容易出錯。

然而，使用AI生成代碼可能會讓用戶——尤其是初級開發人員——無法了解代碼編寫的上下文以及代碼的編寫對象，從而難以找出問題所在。

“對于初級開發人員來說，風險通常更高。高級開發人員往往對生成的代碼有更好的了解和更快的理解，”觀察到。“初級開發人員承受著完成工作的巨大壓力。他們想快速行動，并不一定具備對代碼更改的上下文感知能力。”

如果沒有貫穿整個軟件開發生命周期的質量和治理控制——例如安全掃描和依賴項檢查，以及單元、系統和集成測試——他警告說，錯誤的東西經常會被合并。

“許多組織在沒有GenAI軟件的情況下就為此苦苦掙扎，然后，當你生成更多代碼時，它只會加劇這個問題，”說。

有趣的是，GenAI在解釋代碼方面非常有用，尤其對初級開發人員而言。

“為什么不把它作為流程的一部分，即當生成AI代碼時，它也會生成關于該代碼如何工作的文檔呢？”他建議道。

事實上，生成式AI非常擅長解釋復雜的概念。事實上，2024年DORA報告發現，生成式AI最大的優勢是文檔質量的顯著提高。文檔有助于減少認知負荷。在文檔上疊加聊天機器人或將其集成到代碼庫中——就像Github的Copilot一樣——進一步減少了上下文切換。

雖然更多AI生成的代碼增加了對代碼審查的需求，但最新的DORA報告還發現，AI采用率提高25%使代碼審查速度提高了3.5%。這可能是通過簡單的更多提示，或者通過利用AI來第一次識別合適的審查人員或更均勻地分配代碼審查工作量來實現的。

但是文檔和代碼審查只是復雜軟件開發生命周期的一小部分，Harness的報告發現，開發人員仍然至少花費30%的時間在手動、重復性任務上。這種繁瑣的工作代價高昂。 隨著AI生成代碼的增多，開發人員的負擔也隨之增加。根據Harness的報告，88%的開發者每周工作時間超過預期的40小時，其中一半受訪者承認這種加班導致工作與生活平衡不健康。

組織需要考慮AI不僅對軟件開發生命周期，而且對軟件開發人員的生命周期產生的影響。

組織準備好應對影子AI了嗎？

影子IT讓開發人員試圖通過采用——通常甚至付費——未經雇主正式批準的工具來解決問題。報告發現，影子AI的延伸是52%的開發人員使用未經IT部門提供或明確批準的AI工具。

開發人員的行為并非不守規矩。現實情況是，在生成式AI廣泛應用三年后，大多數組織仍然沒有生成式AI策略。

調查受訪者發現AI生成代碼審查中存在嚴重差距：

• 60%的人表示他們不評估AI編碼工具的有效性。
• 60%的人表示他們沒有評估代碼漏洞或錯誤的流程。
• 58%的受訪組織沒有概述AI安全使用的具體用例。
• 43%的組織沒有規定可以或不可以輸入AI工具的代碼。
• 42%的組織沒有首選或拒絕工具的列表。

由于工程本身就是一門科學，你無法改進你沒有衡量的東西。雖然83%的開發者回應他們認為自從引入AI工具以來軟件開發效率有所提高，但這些感知到的開發者生產力提升仍未得到證實。

更令人擔憂的是，在AI生成代碼激增之前，組織并沒有到位所有的控制和自動化測試。在受監管的環境中，這種擔憂會加劇，因為正常運行時間會直接影響人們的生命。

“這又回到了制定策略[和]進行安全掃描，確保他們不會因為依賴關系而將有風險的漏洞引入他們的軟件，這也在檢查代碼的安全質量，”Reynolds說。“工具是存在的。確保它們始終針對你的代碼運行絕對是關鍵。”

組織還必須考慮公共AI工具可能接受個人身份信息、專有代碼、商業秘密等訓練的風險，并創建和編纂生成式AI策略，以應對自動回滾。

這些策略也必須經常更新，但要提前通知，在應用這些策略時提醒開發人員——理想情況下，還要說明原因。版本控制也很重要。

隨著生成式AI工具采用和應用的增加，對生成式AI策略的需求將變得更加迫切。在2025年，工程領導者計劃在以下領域實施AI：

• 持續集成和交付 (CI/CD) – 50%。
• 性能優化 – 48%。
• 安全和合規 – 42%。
• 代碼成本優化 – 40%。
• 代碼生成（目前使用最多）– 39%。
• QA/測試 – 28%。
• 錯誤修復 – 26%。

Harness旨在制定治理策略——使用開放策略代理對其進行編纂——因此不會有任何例外。

生成式AI會讓你失業嗎？

最近流行的標題似乎確信生成式AI已準備好取代初級開發人員和QA的工作。而Harness的90%的調查受訪者也表達了這種擔憂。

首先，這個結果令人擔憂，因為工程領導者占受訪者的半數，這意味著大多數人可能對生成式AI有不良企圖。除此之外，對生成式AI的支出預計將增加在2025年再增長10%。

但是，如此依賴AI生成的代碼——尤其是在沒有到位檢查的情況下——是輕率的。

“說‘減少對初級開發人員的需求’或‘我不需要初級開發人員，因為我有AI’——你未來的所有高級開發人員從哪里來？”Reynolds問道，稱這是一種短視的解決方案。“我會依賴其他公司來培養初級開發人員嗎？”

AI取代QA似乎尤其不現實。目前，AI生成的代碼需要人工參與，尤其是在沒有策略檢查的企業中。 “我認為生成式AI可以減輕QA的負擔，”他說道，并提到了Harness如何進行自動測試生成。“但這并不能消除人工確保他們在正確領域使用正確測試、將軟件指向系統正確部分的需求。”

隨著AI工具越來越融入日常開發者的體驗，Harness報告預測開發者的角色將繼續發展——并且可能會擴展到更多方面。報告指出，與其說是取代，不如說角色的職權范圍必須繼續擴展，包括AI提示工程、輸出驗證和能力集成等，組織也必須幫助員工提升這些方面的技能。所有這些都必須有明確的界限和培訓。

正如Reynolds所說，AI生成代碼的成功未來關乎在護欄內的創新。