AI-code ondermijnt grip op open source en IP

vrijdag, 27 februari 2026 (09:40) - Techzine

In dit artikel:

Het OSSRA-rapport 2026 waarschuwt dat de snelle ingebruikname van generatieve AI de softwareontwikkeling fundamenteel heeft veranderd — en dat snelheid leidt tot oplopende risico’s die organisaties onvoldoende beheersen. In ruim anderhalf jaar zijn AI-codeassistenten van experimenten uitgegroeid tot standaardtools in ontwikkelomgevingen, wat de productiviteit verhoogt maar ook de complexiteit en kwetsbaarheid van codebases doet exploderen.

Belangrijkste bevindingen
- Beveiliging: het gemiddelde aantal open-sourcekwetsbaarheden per codebase is voor het eerst meer dan verdubbeld; vrijwel alle onderzochte projecten bevatten beveiligingsproblemen, vaak met hoge of kritieke ernst. Tegelijkertijd nemen aanvallen op de software supply chain toe.
- Juridische risico’s: twee derde van de codebases bevat conflicterende open-sourcelicenties; in één geval waren er zelfs duizenden afzonderlijke conflicten binnen een enkele codebase.
- Rol van AI: AI-systemen produceren vaak codefragmenten die lijken voort te komen uit copyleft-licenties, zonder bijbehorende licentie-informatie, waardoor ongewenste schendingen kunnen ontstaan. Onderzoeken van Sonatype en Veracode tonen dat AI geregeld foutieve upgrade-adviezen geeft en zelf nieuwe kwetsbaarheden introduceert.
- Onzichtbare code: veel componenten komen niet via reguliere package managers maar via gekopieerde snippets, leveranciersintegraties of AI-generatie. Zulke code verschijnt niet altijd in manifests en ontloopt traditionele scans en audits.
- Onderhoudsprobleem: populaire open-sourcecomponenten worden soms al jaren niet meer onderhouden, zodat nieuwe kwetsbaarheden onopgelost blijven of organisaties zelf in onderhoud moeten voorzien.

Waarom dit belangrijk is
De adoptie van AI gaat sneller dan de ontwikkeling van governance, zichtbaarheid en continu toezicht. Met toenemende regelgeving rond AI en digitale productveiligheid wordt die mismatch onhoudbaar: in een omgeving waarin code constant verandert en automatisch wordt gegenereerd, is het klassieke “opleveren en loslaten”-model versleten.

Aanbeveling
Het rapport pleit voor blijvende investeringen in zichtbaarheid (bijv. volledige SBOM’s), strikte governance, continue controles en supply-chainbeheer. Zonder zulke maatregelen kan de snelheid die AI biedt eerder schade veroorzaken dan voordeel opleveren.