Wie reviewt jouw AI-gegenereerde code?
96% van de developers denkt dat AI-gegenereerde code niet correct is. Toch controleert maar 48% de AI-code altijd voordat ze committen. De kloof tussen wat developers denken en wat ze doen laat zien hoe het ervoor staat met AI coding in 2026. Teams bouwen op code waar ze zelf aan twijfelen, terwijl ongeveer de helft het ongecheckt live zet. Deze bevindingen komen uit Sonar's 2026 State of Code Developer Survey, een onderzoek onder 1.100 developers. Samen met onderzoek van METR, CodeRabbit en Veracode, en onze ervaring met development teams die AI gebruiken, zien we patronen. AI coding is nu de standaard 72% van de developers die AI tools hebben geprobeerd, gebruikt ze dagelijks of meerdere keren per dag. GitHub Copilot wordt het meest gebruikt met 75%, gevolgd door ChatGPT met 74%, Claude met 48% en Gemini met 37%. Cursor, dat twee jaar geleden nauwelijks bestond, staat nu op 31%. De code zelf vertelt het verhaal: 42% van productiecode is gemaakt met behulp van AI. Dat is gestegen van 6% in 2023 en naar verwachting stijgt het naar 65% in 2027. Developers gebruiken goedgekeurde AI tools, maar 35% gebruikt (ook) persoonlijke accounts. Dat betekent dat een derde van je team mogelijk bedrijfsgevoelige code deelt met AI-systemen waar je geen controle over hebt. De controlekloof Terug naar dat 96% van developers die denkt dat AI code incorrect is. Developers weten waar AI de fout ingaat: verzonnen functies, subtiele logicafouten, of security code met gaten. Bijna iedereen snapt het probleem. Toch loopt de controle sterk uiteen. Code wordt regelmatig niet goed gereviewd voordat het naar productie gaat. Sonar's data laat zien dat 95% van de developers AI-gegenereerde code in zekere mate controleert, al loopt het niveau van reviewen sterk uiteen. 59% noemt die moeite "matig" tot "substantieel." En de resterende 5% zet AI-code live met minimale of geen review. Als LLMs sneller meer code kunnen genereren, verandert de focus van teams. Ze moeten zich meer richten op het lezen en reviewen van code in plaats van het schrijven ervan. 38% van de developers zegt dat AI-code reviewen meer moeite kost dan menselijke code reviewen. Slechts 27% zegt dat het minder tijd kost. Voor veel teams wordt de bespaarde tijd op het schrijven van code opgeslokt door reviews. Of de andere kant op: reviewen wordt helemaal overgeslagen. Wat we in de praktijk zien is dat veel junior engineers hun eigen pull requests niet eens meer lezen. Zorgen over kwaliteit Extern onderzoek bevestigt dat AI-code kwaliteitsproblemen heeft. CodeRabbit's 2025-analyse vond dat AI-gegenereerde code 1,7x meer issues heeft dan door mensen geschreven code. Veracode's 2025 GenAI Code Security Report vond dat 45% van AI-gegenereerde code kwetsbaarheden bevat. Developers hebben zorgen over de volgende AI kwaliteitsissues:AI-code die er correct uitziet maar niet betrouwbaar is: 61% Blootstelling van gevoelige data: 57% Introductie van ernstige beveiligingslekken: 44%AI schrijft code die soms subtiel fout is op manieren die moeilijk te vinden zijn in reviews. Vooral als teams snelle reviews doen als ze druk ervaren om snel op te leveren. Waar AI effectief is Gevraagd waar AI tools het meest effectief zijn, noemen developers:Documentatie maken: 74% Bestaande code uitleggen en begrijpen: 66% Tests genereren: 59% Assisteren bij ontwikkeling van nieuwe code: 55%AI werkt het best bij taken die goed afgebakend zijn, duidelijke succescriteria hebben en geen diepe businesscontext vereisen. LLM-gegenereerde documentatie beschrijft vaak niet het 'waarom' achter de code. Waar AI moeite mee heeft zijn architectuurbeslissingen, businesslogica, security en langetermijn onderhoudbaarheid. Om dit goed te kunnen heeft AI meer informatie en begrip nodig van het gehele systeem, de organisatie en bedrijfsprocessen. Met meer context 'geheugen' en geavanceerdere modellen kunnen deze problemen in de toekomst verbeteren. Slimme teams zetten AI strategisch in. Ze weten waar AI ze helpt, maar verwachten niet dat het het echte denkwerk vervangt. Agents 64% van de developers heeft AI agents zoals Claude Code gebruikt. 25% gebruikt ze regelmatig. De belangrijkste toepassingen zijn documentatie maken (68%), automatische testen genereren (61%) en code review automatiseren (57%). Agents zijn de volgende stap: autonome systemen die complete workflows afhandelen met minder menselijk toezicht. De problemen rondom het genereren van code met AI worden versterkt wanneer agents zelfstandig opereren. Vragen die engineering management zouden moeten stellen: Welke vangrails bestaan er voor agent-acties? Hoe controleren we wat agents doen? Wat is onze recovery strategie als agents fouten maken? AI-productiviteit Maakt AI developers productiever, of voelen ze zich alleen productiever? De gemiddelde tijd die developers besteden aan routinetaken is 10 uur per week. Dit is niet gedaald ondanks wijdverbreide adoptie van AI tools. Wat wel veranderd is: wat developers doen in die tijd. Developers besteden het nu aan het reviewen van AI-gegenereerde code in plaats van zelf code schrijven. Als AI codegeneratie sneller maakt maar review net zo lang of langer duurt, waar is dan de winst? Meer code betekent meer PR's, en dan wordt reviewen de bottleneck. Kwaliteitsproblemen komen later in de pipeline aan het licht. "Bespaarde" tijd op het schrijven van code wordt besteed aan debuggen en fixen. METR's 2025 randomized controlled trial vond dat ervaren developers 19% langzamer waren bij het gebruik van AI tools. Productiviteit is moeilijk objectief te meten, maar het is niet altijd waar dat AI developers productiever maakt. Meet je volledige delivery cycle en kies goede metrics. Wat engineering leaders moeten doen Erken de controlekloof. Je developers vertrouwen AI-output niet. Zorg ervoor dat hier rekening mee wordt gehouden voordat het naar productie gaat. Ga er niet vanuit dat AI automatisch productiviteitswinst betekent. Maak controle verplicht. Als maar 48% AI-code altijd nakijkt, moet controle de norm worden. Automatische kwaliteitscontroles voor AI-gegenereerde code. Uitgebreide review voor AI-ondersteunde commits. Verbeter pre-commit checks: hoe meer je automatisch kunt vangen, hoe beter. Pak ongeautoriseerd AI-gebruik aan. Dat 35% persoonlijke accounts gebruikt is een beheerprobleem. Bied goedgekeurde tools met controles en creëer duidelijk beleid. Als je goedgekeurde tools hebt, beperk ze dan niet om kosten te besparen, want dan gaan mensen hun persoonlijke accounts gebruiken. Meet wat ertoe doet. Volg de volledige delivery cycle. Meet de codekwaliteit over tijd. Let op als er meer problemen na deployment komen. Stel verwachtingen bij. AI blinkt uit in documentatie, testgeneratie en code-uitleg. Het worstelt met betrouwbaarheid, security en architectuur. Bereid je voor op agents. Als je team agents gebruikt, moet het toezicht nu op orde zijn. Maak inzichtelijk wat er gebeurt en zorg dat er mogelijkheden zijn om terug te draaien. Succes met AI vraagt om een nuchtere aanpak: realistische verwachtingen, grondige controle, duidelijk toezicht.Lumia Labs helpt organisaties software bouwen die werkt. Zoek je een technisch perspectief op AI tools Laten we praten.