De opkomst van met AI gegene­reerde code dwingt organi­sa­ties tot een funda­men­tele herzie­ning van hun securi­ty­s­tra­tegie. Waar tradi­ti­o­nele appli­ca­tie­be­vei­li­ging jaren­lang draaide om scannen en achteraf herstellen, ontstaat nu een nieuwe disci­pline: AI Code Security. Volgens James Berthoty, analist bij onder­zoeks­bu­reau Latio, is die verschui­ving onver­mij­de­lijk nu AI de manier waarop software wordt ontwik­keld ingrij­pend verandert.

AI-codege­ne­ratie via tools als Claude, Copilot en Codex zorgt voor een enorme versnel­ling in ontwik­kel­pro­cessen. Maar die produc­ti­vi­teits­winst heeft een keerzijde. Meer code betekent ook meer poten­tiële kwets­baar­heden — en bestaande securi­ty­pro­cessen zijn daar niet op ingericht.

Berthoty stelt dat organi­sa­ties zich momen­teel op twee fronten tegelijk moeten aanpassen: het bevei­ligen van AI-gegene­reerde code én het bevei­ligen van de AI-tools zelf. “Er ontstaat een compleet nieuwe categorie”, schrijft hij, waarin deze werelden samenkomen.

Van ‘shift left’ naar AI-gedreven security

De afgelopen jaren was ‘shift left’ het dominante paradigma in appli­ca­tie­be­vei­li­ging: kwets­baar­heden zo vroeg mogelijk in de ontwik­kel­cy­clus detec­teren. Maar dat model loopt volgens Berthoty tegen funda­men­tele grenzen aan.

“De bottle­neck zit niet in het vinden van kwets­baar­heden, maar in het oplossen ervan”, stelt hij. Boven­dien kunnen tradi­ti­o­nele tools geen rekening houden met de speci­fieke context van een organi­satie, zoals archi­tec­tuur­keuzes of gebruikte frameworks.

Daar komt bij dat AI-gedreven ontwik­kel­pro­cessen simpelweg te snel gaan voor bestaande securi­ty­work­flows. Waar tradi­ti­o­nele tools feedback geven nadat code is geschreven, hebben AI-agents die infor­matie al nodig vóórdat ze beginnen met genereren.

Volgens Berthoty leidt dit tot frictie: security wordt een rem op ontwik­kel­teams in plaats van een geïnte­greerd onder­deel van het proces. “Tools zijn gebouwd voor mensen, niet voor AI”, is de kern van zijn analyse.

Security verschuift naar de voorkant

Een nieuwe benade­ring draait om het voeden van AI-agents met context: bevei­li­gings­richt­lijnen, archi­tec­tuur­prin­cipes en kennis over het appli­ca­tie­land­schap. In plaats van achteraf te contro­leren, wordt security daarmee een integraal onder­deel van het ontwik­kel­proces. Berthoty beschrijft dit als een funda­men­tele verschui­ving: van detectie naar preventie. “AI Code Security biedt agents de juiste context om direct veilige code te genereren”, schrijft hij.

Centraal daarin staat een zogenoemde ‘context graph’: een model waarin infor­matie over code, archi­tec­tuur, dreigingen en bedrijfs­doel­stel­lingen samen­komt. AI-tools gebruiken deze context om zowel kwets­baar­heden te identi­fi­ceren als oplos­singen voor te stellen die aansluiten bij de speci­fieke situatie van een organisatie.

Dat maakt volgens Berthoty een einde aan een bekend probleem: generieke adviezen die niet toepas­baar zijn in de praktijk.

Nieuwe generatie securitytools

De opkomst van AI Code Security gaat gepaard met een reeks nieuwe techno­lo­gieën. Volgens Latio bestaat de nieuwe categorie uit meerdere compo­nenten, waaronder AI-gedreven threat modeling, geavan­ceerde code-analyse en automa­ti­sche penetratietests.

Belang­rijk verschil met tradi­ti­o­nele tools is dat deze oplos­singen niet alleen kwets­baar­heden signa­leren, maar ook actief bijdragen aan het oplossen ervan. AI-agents kunnen bijvoor­beeld automa­tisch patches voorstellen of zelfs imple­men­teren. “Het doel is niet om meer bevin­dingen te genereren, maar om risico daadwer­ke­lijk te reduceren”, aldus Berthoty.

Ook de inter­actie met ontwik­ke­laars veran­dert. In plaats van stati­sche rappor­tages verschuift de inter­face naar inter­ac­tieve omgevingen, waarin devel­o­pers direct met securi­ty­tools communiceren.

Governance wordt cruciaal

Voor IT- en securi­ty­ma­na­gers ligt de grootste uitda­ging volgens Latio niet alleen in techno­logie, maar in gover­nance. De adoptie van AI in softwa­re­ont­wik­ke­ling wordt vaak top-down gesti­mu­leerd, terwijl securi­ty­teams verant­woor­de­lijk blijven voor risico’s. “Securi­ty­teams hebben gover­nance nodig om AI veilig te kunnen adopteren”, stelt Berthoty echter.

Dat betekent onder meer het vastleggen van coding standards, het beheren van AI-tools op devel­oper endpoints en het afdwingen van beleid via centrale controles. Zonder deze maatre­gelen dreigt wildgroei aan tools en werkwijzen, met alle risico’s van dien.

Praktische implicaties voor organisaties

Voor de praktijk betekent dit dat organi­sa­ties hun securi­ty­aanpak moeten herzien. Het simpelweg uitbreiden van bestaande scanpro­cessen is niet voldoende.

Latio ziet dat veel teams al experi­men­teren met onder­delen van de nieuwe aanpak. Denk aan het opbouwen van centrale kennis­banken met securi­ty­richt­lijnen of het integreren van threat modeling in ontwikkelprocessen.

Volgens Berthoty ligt de sleutel in het combi­neren van deze elementen tot een samen­han­gend geheel. Alleen dan kan AI daadwer­ke­lijk bijdragen aan zowel snelheid als veiligheid.

Meer code, meer risico

De urgentie is groot. AI maakt het mogelijk om in korte tijd enorme hoeveel­heden code te produ­ceren. Zelfs als AI minder fouten maakt dan mense­lijke devel­o­pers, kan het absolute aantal kwets­baar­heden alsnog toenemen door de schaal.

Die paradox maakt duide­lijk waarom een nieuwe aanpak noodza­ke­lijk is, meent hij.

Berthoty schetst een toekomst waarin AI Code Security uitgroeit tot een miljar­den­markt. De partijen die erin slagen context, analyse en gover­nance te combi­neren in één platform, zullen volgens hem de nieuwe standaard zetten in applicatiebeveiliging.

Voor organi­sa­ties betekent dat één ding: security moet meebe­wegen met AI — niet als controle achteraf, maar als integraal onder­deel van het ontwikkelproces.