42%的代码是AI写的,可96%的开发者不信它:谁敢拍板说“上线”?这成了2026年最大挑战-夜雨聆风

42%的代码是AI写的,可96%的开发者不信它:谁敢拍板说“上线”?这成了2026年最大挑战

点击上方“图灵人工智能”，选择“星标”公众号

您想知道的人工智能干货，第一时间送达

转自InfoQ，仅用于学术分享，如有侵权留言删除

作者丨SEDaily 译者丨明知山策划丨Tina

“我批准将这段代码投入生产环境，并承担随之而来的所有风险。”2026 年最大的挑战，就是找到愿意说出这句话的人。

AI 编码已经不是尝鲜工具，而是进入了生产环境。Sonar 每天分析 7500 亿行代码，他们在最新《开发者代码现状调查报告》中看到一个很刺眼的矛盾：72% 的开发者每天使用 AI 编码工具，42% 的代码已经由 AI 生成或辅助完成，但 96% 的开发者仍然无法完全信任 AI 生成的代码。

这意味着，软件工程正在从“怎么写出更多代码”，转向另一个更棘手的问题：代码可以由 AI 批量生成，但谁来确认它足够安全、可靠、可维护？谁敢签字让它上线？这也成了 2026 年工程团队绕不开的挑战。

Sonar 是一家专注代码质量与安全分析的公司，核心产品 SonarQube 已被全球超过 700 万开发者使用。在本期节目中，Sonar 企业营销高级副总裁 Chris Grams、产品营销与开发者关系副总裁 Manish Kapur，与拥有二十余年工程管理经验的 Matt Merrill 讨论了这份报告背后的真实信号：AI 为什么让代码生成更快，却让审核、测试、治理变得更重？为什么 35% 的开发者会绕过企业授权工具使用“影子 AI”？为什么 AI 生成代码不一定需要重造审核流程，反而更需要确定性校验、质量门禁和人工责任制？

当 AI 从实验工具变成开发基础设施，真正的瓶颈不再是代码产出，而是信任、质量和责任。

1 AI 代码的信任鸿沟：42% 生成率与 96% 不信任”

Matt Merrill：今天我和来自 Sonar 的两位嘉宾一起聊聊《开发者代码现状调查报告》。开始之前，Manish、Chris，二位能否先简单介绍一下自己，聊聊个人背景以及各自在 Sonar 负责的工作？

Matt Merrill：那 Sonar 呢？如果有听众不太熟悉 Sonar，二位能简单介绍一下这家公司是做什么的、都提供哪些产品吗？

Matt Merrill：我认真阅读了这份调查报告，非常有意思。作为一个有工程领导背景、之前主要从事后端工程等工作的人，我的第一反应是：怎么又来了一份调查报告？它和的 Stack Overflow 调查报告有什么不同？但深入阅读后，我发现这份报告真的很独特。如果可以的话，你们认为从这份调查中能收获哪些 Stack Overflow 调查无法提供的内容？

Matt Merrill：我很喜欢你提到的“人文视角”，这也正是我的感受——你们用这些数据讲述了一个很好的故事。我很好奇，能否介绍一下这份数据的收集与分析方式？不得不说，这份报告做得十分出色。

Matt Merrill：我们已经聊了很多关于调查的背景内容，接下来就正式进入调研结果部分。我们先从重磅的发现开始。这个问题想请二位都聊聊。Chris，你可以先来讲讲。你最直观、最深刻的收获是什么？哪些内容最能引发你们的共鸣？

2 代码快了，工程慢了

Matt Merrill：结合我的经验与日常工作来看，这个结论完全合理。我越来越多地听到关于智能体代码审查的事，甚至出现了让智能体互相校验、交叉验证的做法。这是一项非常有意思的发现。Manish，你最大的收获是什么？

Matt Merrill：我同样满怀期待，迫切想要见证后续的发展。谈及 AI 工具的快速普及，我在日常工作中发现一个现象：开发者们普遍主动想要使用这类工具。一方面，行业环境带来了无形的推动压力；另一方面，大家自身的探索意愿也在不断增强。不少开发者会使用个人账号处理工作事务、访问 AI 工具，只为提升工作效率、尝试新兴技术。你们的报告中也提到了不少有意思的调研结论，方便和我们分享一下吗？

在管控治理层面，有一条核心原则始终不变：无论使用企业合规工具还是个人第三方工具，所有 AI 生成的代码都必须经过严格核验，后续的全流程管控环节缺一不可。企业需要进一步强化审核力度，全面校验代码可靠性，确保代码能够直接投入生产环境使用。

Matt Merrill：就在今天，公司隐私合规部门的同事还专门强调，若团队使用 AI 工具，务必将相关合规要求纳入合作协议，与软件开发行业的规范标准保持一致。当下明显呈现出本末倒置的现状：全员都在被迫拥抱 AI 工具，但对应的合规管控、风险约束机制却严重滞后。这个问题确实值得重视。Chris，针对这份调研结论，你还有其他内容想要补充吗？

Matt Merrill：确实如此。直到去年 11 月，我还无法判定哪款工具更具优势，但体验过 Claude 之后，不得不承认它的表现极为出色。除此之外，企业的流程迭代速度远远跟不上技术变革节奏，开发者自行注册试用新兴工具也就成了必然，这种现象的出现并不难理解。

3 AI 消灭了重复劳动，但新的低效工作正在生成

Matt Merrill：确实是这样。我们换个话题。这份报告里有两个内容让我格外关注，其中一个是“低效工作转移”这一概念。能否为我们解读一下这个概念，以及相关的调研发现？

Matt Merrill：我经常用一个类比和身边人探讨这类问题，或许不算完全贴切，但很贴合当下的现状：电子表格问世之后，会计行业并没有消失，只是工作内容发生了变化。AI 之于开发行业，也是同样的道理。“低效工作转移”这个定义十分贴切，我之后也会沿用这个说法。

Matt Merrill：完全认同。Sonar 的核心产品之一是静态代码分析工具。能否分享一下目前客户在借助静态分析技术时都通过哪些创新方式应对 AI 编码带来的各类隐患与挑战？

我们还推出了 MCP 服务器，目前不少大型企业客户都在使用 SonarQube 的 MCP 服务器。该服务器相当于智能体对接 SonarQube 代码分析能力的网关，采用了智能体通用通信协议，可为智能体开发环境、命令行工具等各类平台提供服务。除常规代码分析外，我们也在持续优化检测引擎，专门针对 AI 引发的漏洞添加识别能力。我们的产品支持自定义规则配置，已有部分客户通过添加自定义规则专门识别 AI 编码带来的风险模式。同时，我们也内置了多条专属检测规则，用于防范 AI 衍生风险，例如提示词注入攻击、规则文件后门攻击。这类风险完全由 AI 的编码行为产生，传统人工开发模式下基本不会出现。

4 不需要重造流程，老的审核体系依然有效

Matt Merrill：你刚刚最后提到的那个风险是什么？

Matt Merrill：我大概明白了这类后门攻击的原理。比如从 Claude 平台或其他地方复制了一份配置文件，无意间带入大量隐蔽的 Unicode 字符，进而篡改指令提示词，大致是这个逻辑吧？

Manish Kapur： 就是这样。不法攻击者正是通过在这类文件中植入隐藏 Unicode 字符实施恶意操作。

Matt Merrill：这确实值得关注。结合实际场景来看，如果我自主编写功能配置、设计持续集成与持续交付流程，就可以接入你们的 MCP 服务器及其他集成工具，将静态代码分析纳入自动化校验环节，同步输出检测结果。一旦检测出指定问题，即可终止构建流程，这类操作是否能够实现？

5 大模型写代码各有脾气，怎么选比“谁更强”更重要

Matt Merrill：没错。你们在《开发者代码现状调查报告》中还提及并引用了一份关于大语言模型编码特征的专项报告，内容十分有价值。希望你能简单介绍这份报告，以及目前的调研得出的相关结论。

Matt Merrill：你刚才提到了模型特质，能否详细聊聊这部分内容？有没有比较特别、有意思的案例？

Matt Merrill：确实很有意思，这种方式也更容易让人记住各个模型的特点。现如今行业早已告别小众定制化，进入规模标准化阶段。我发现 Opus 4.5 的逻辑思考能力小幅领先 Opus 4.6，这个细节十分耐人寻味。从安全维度，也就是每百万行代码的安全漏洞数量来看，高配版 GPT 5.2 位居榜首；从可靠性维度，即漏洞严重程度与百万行代码问题密度方面，高配版 Gemini 3 Pro 表现最优，不同模型的优势领域差异十分鲜明。另外我还注意到，本次测评全部基于 Java 语言。

这一点至关重要，不同模型针对不同编程语言的训练侧重点存在明显差异。

即便如此，这份测评结果依旧极具参考价值。在结束这个话题之前，两位还有没有关于排行榜或模型特质的内容想要补充？

6 AI 让新人更快，也让经验更值钱

Matt Merrill：我内心同样抱有顾虑，不禁会想：这类工具的定价会不会大幅暴涨？厂商是不是想先牢牢锁住用户，抢占行业龙头地位？在规划自身团队与业务发展时，这也是我一直在思考的问题。

接下来我们聊聊从业年限，以及从业经验如何影响本次的调研结果。我深耕这个行业已有二十余年，我发现其中有一个现象十分值得深究。能否谈谈开发者的从业年限会如何影响他们对 AI 工具的认知？

Matt Merrill：报告中还有一点值得关注，调研显示，借助 AI 编码工具，初级开发者的工作满意度显著提升。结合你们的分享，这个结论也合乎情理。我平时不使用社交平台，但你们提到的假期体验大模型这件事我深有同感。当时平台发放了免费体验额度，我亲自试用后彻底改变了对这类工具效能的认知，即便我从业多年，也深受震撼。看来有相同感受的人并不在少数，这一点十分有意思。

Matt Merrill：没错，发展速度着实令人震惊。你提到初级开发者对这类工具抱有极高的热情，而我在体验过后，也对其改观并充满期待。我们聊到了去年 10 月至今的变化，我很好奇，资深开发者的态度与认知是否也在同步发生转变？从 10 月至今，你们是否观察到了相关变化？

7 快而不稳，不如不快

Matt Merrill：结合我服务大型企业客户的经验，过去半年里，企业对智能体与 AI 编码工具的落地使用率大幅攀升，变化十分明显。还有一个有趣的发现：AI 在全新开发项目与老旧存量项目中的落地效果差异显著。报告中是否提及 AI 在哪类场景的落地效果更好、认可度更高？

Matt Merrill：这个结论完全符合客观逻辑。还有一个我很好奇但尚未验证的问题：自 10 月以来，有没有团队尝试借助智能体 MD 说明文档或是同类辅助文件为老旧项目提供逻辑参考？你们是否了解这类落地实践？

Matt Merrill：简单再问最后一个小问题。本次调研受访者覆盖全球各地，不同地区的开发者之间是否存在明显的地域化使用差异？

Chris Grams： 我们暂未统计并发布相关结论。整体来看，全球开发者面临的行业环境与技术变革趋势基本一致。我们专门筛选过具备统计学意义的差异化数据，但并没有找到足够显著的地域特征。无论身处全球哪个地区，所有人都在同步经历这场 AI 技术变革。

Matt Merrill：可以理解，我只是单纯好奇。本次分享接近尾声，这次调研内容让我收获满满。我脱离一线开发岗位、转入管理岗位已有一段时间，虽然仍会编写代码，但核心工作以管理为主。换位思考来看，当下很多企业管理者会强制要求团队落地 AI 工具，部分目标切合实际，也有不少要求脱离了现实。对于广大从业者而言，如果上级制定了不切实际的 AI 落地目标，你会给出哪些建议？

8 2026 年，管理者必须正视代码信任危机

Matt Merrill：站在普通开发者的角度，本次调研最重要的启发是什么？

Manish Kapur： 对于开发者而言，核心技能已经不再是单纯的编写代码，编码已经成为可被工具替代的基础能力。未来的核心能力是读懂、校验智能体与 AI 工具生成的代码，完善审核机制、搭建开发约束规则。无论代码由谁产出，最终的责任归属依旧在开发者身上。从业者需要恪守开发规范、做好代码校验、把控产出质量，不必再一味执着于学习新的编程语言。

管理者必须正视代码信任危机。 如今 AI 技术持续发展，但调研初期的一组核心数据值得所有人重视：96% 的开发者无法完全信任 AI 生成的代码。并非工具产出的代码质量不佳，事实上其水准一直在稳步提升，核心原因在于：代码故障、安全漏洞产生的后果不会由 AI 承担，最终责任仍归属企业与团队管理者。作为负责人，必须明确代码的人工责任制，搭建完善的审核体系，严守上线关口，杜绝盲目直接上线 AI 生成的代码。除非是追求极致创新、能够承担试错风险的初创团队，普通企业手握大量用户数据与核心业务信息，必须审慎校验每一段代码的可靠性。

过去的难题是如何产出更多代码，这个问题早已解决。如今我们能够生成质量相当不错的优质代码，且代码质量还在持续提升。

但关键难点在于，必须要有专人审核，愿意签字确认：“我批准将这段代码投入生产环境，并承担随之而来的所有风险。”这，将会是 2026 年面临的最大挑战。

Matt Merrill：说得很有道理。作为管理者，我会想到，既然调研显示 66% 的开发者并不信任 AI 生成的代码，那就必须加入人工审核。我觉得以这个引人深思的观点收尾恰到好处。今晚的交流里，还有没有什么内容是你们想补充提及的？

Chris Grams： 我们之前提到的大模型排行榜项目也在持续推进，我们每天都会关注新上线的模型、实测数据，亲眼见证这类技术在不断进步。当下是变革迅猛的一段时期。我的职业生涯经历过数次行业转折，相信你们二位也是，但像如今这样的变革盛况，前所未有。身处这个行业，既充满挑战，又乐趣十足。前路略带未知与忐忑，但整体充满意义，非常感谢你的邀约与交流。

Matt Merrill： 非常感谢二位的精彩分享。

查看英文原文：

https://softwareengineeringdaily.com/2026/04/23/hype-and-reality-of-the-ai-coding-shift