De opkomst van generatieve AI heeft softwareontwikkeling in recordtempo veranderd en die versnelling brengt steeds grotere risico’s met zich mee. Dat blijkt uit het OSSRA-rapport 2026, een jaarlijkse analyse van de staat van open-sourcesoftware. Terwijl AI-tools de drempel voor ontwikkeling verlagen, groeit de kloof tussen snelheid en beheersbaarheid.
In ruim anderhalf jaar zijn AI-codeassistenten uitgegroeid van experiment tot vast onderdeel van moderne ontwikkelomgevingen. Ze zorgen voor een sterke productiviteitsgroei, maar organisaties houden het bijbehorende beveiligings- en governancevraagstuk onvoldoende bij. Het rapport laat zien dat het aantal bestanden en open-sourcecomponenten per codebase fors is toegenomen, waardoor de complexiteit sneller groeit dan bestaande processen aankunnen.
Die complexiteit leidt direct tot meer kwetsbaarheden. Voor het eerst is het gemiddelde aantal open-sourcekwetsbaarheden per codebase meer dan verdubbeld. Vrijwel alle onderzochte codebases bevatten beveiligingsproblemen, vaak ook met een hoog of kritisch risiconiveau. Tegelijkertijd nemen aanvallen op de software supply chain toe, waarbij aanvallers zich steeds vaker richten op het open-source-ecosysteem zelf.
Licentieconflicten lopen uit de hand
Niet alleen beveiliging staat onder druk, ook het juridische risico rond open source groeit snel. Het aantal licentieconflicten bereikt in 2026 een historisch hoogtepunt. Twee derde van de onderzochte codebases bevat conflicterende open-sourcelicenties. In één geval ging het zelfs om duizenden afzonderlijke conflicten binnen één codebase, wat de toegenomen complexiteit van IP-beheer onderstreept.
Een belangrijke oorzaak is de manier waarop AI met broncode omgaat. AI-systemen genereren codefragmenten die zijn afgeleid van copyleft-licenties zonder de bijbehorende licentie-informatie mee te nemen. Organisaties lopen daardoor het risico onbedoeld licentievoorwaarden te schenden. Omdat lang niet alle bedrijven AI-gegenereerde code actief controleren, blijven juridische risico’s vaak lange tijd verborgen.
Die zorgen worden breder gedeeld in de sector. SDTimes wijst op andere onderzoeken waaruit blijkt dat AI ook nieuwe problemen introduceert. Sonatype concludeerde dat AI in meer dan een kwart van de gevallen foutieve upgrade-adviezen geeft voor open-sourceprojecten. Veracode stelde vast dat AI bij bijna de helft van de onderzochte programmeertaken nieuwe beveiligingskwetsbaarheden introduceerde. Dit versterkt het beeld dat AI-gegenereerde code structureel risicovoller kan zijn dan vaak wordt aangenomen.
Veel van die risico’s blijven onzichtbaar. Een deel van de open-sourcecomponenten komt niet via reguliere package managers binnen, maar via gekopieerde snippets, leveranciersintegraties of AI-generatie. Deze code verschijnt niet altijd in manifests en ontsnapt daardoor aan traditionele scan- en audittools, waardoor organisaties het overzicht verliezen.
Verouderde componenten vormen risico
Daarbovenop komt een groeiend onderhoudsprobleem. Veel gebruikte open-sourcecomponenten worden al jaren niet meer actief onderhouden. Als daarin nieuwe kwetsbaarheden worden ontdekt, is er vaak geen maintainer meer om ze te verhelpen. Organisaties moeten dan zelf ingrijpen of het risico accepteren.
Het overkoepelende beeld is dat de adoptie van AI sneller gaat dan de ontwikkeling van governance en controle. Terwijl vrijwel alle organisaties AI en open source inzetten, ontbreekt het vaak aan structurele transparantie. Met toenemende regelgeving rond AI en digitale productveiligheid wordt die situatie steeds minder houdbaar.
Het klassieke model waarin software na oplevering wordt losgelaten, past niet meer bij een omgeving waarin code continu verandert en automatisch wordt gegenereerd. Het rapport maakt duidelijk dat organisaties alleen grip houden door blijvend te investeren in zichtbaarheid, governance en continue controle van hun software supply chain. In het AI-tijdperk is snelheid geen voordeel meer als de controle ontbreekt.