在RSAC 2026大会上，Sonar公司的代码安全副总裁Jeremy Katz分享了代码安全必须提前至CI阶段之前的观点。随着AI辅助和智能体驱动开发成为主流，传统CI/CD流程中的检查点已难以早期识别风险。

Katz指出："当前最大的差距在于代码进入CI之前。开发人员和AI智能体高速生成代码，若无前期验证，漏洞易累积。"他强调，安全需在生命周期早期介入，在编写时进行实时检查。

软件供应链攻击加剧了风险，Katz提到npm包等开源依赖被入侵事件增多，恶意代码通过可信渠道传播。Sonar在SonarQube高级安全版中引入自动恶意包检测，为AI驱动工作流提供护栏。

AI生成代码的兴起进一步扩大了风险。Sonar研究显示，编码模型产生不安全代码的速度快于人工审查。Katz表示，AI可加速开发，但管理不当会放大风险，这促使Sonar提出智能体中心开发周期（AC/DC）概念。

AC/DC模型从传统持续集成转向AI驱动开发，智能体生成大型代码块，增加了早期错误累积的风险。其结构化循环包括指导、生成、验证和解决，其中验证变得不可或缺。

Katz强调人工监督仍至关重要："AI无法完全取代人类判断，特别是在理解业务逻辑和风险承受方面。"Sonar的工具如SonarQube CLI支持实时代码分析，在本地和CI/CD管道中扫描漏洞，减少误报以增强信任。

Katz总结："安全不能是事后想法，必须嵌入每个阶段，从CI之前开始。"实时生成、验证和保护代码的能力正成为软件开发成功的关键。