“AI skriver det mesta av vår kod” låter som en startup-slogan. Kan det vara verkligt för en företagsapplikation — aktiva kunder, aktiv fakturering, en monorepo där en felaktig sammanslagning kostar pengar? På QualityUnit är det det. Här är tiomonadersspåret av bevis och de regler som gör det fungerar.
TL;DR: Under tio månader gick agentförfattat arbete från de första experimentella PR:erna till 133 av 144 utvecklings-PR:er sammanslagna i maj (92 %) — verifierat av en trevägs rättsmedicinsk revision av alla 1 409 sammanslagna PR:er, ner till commit-trailrar och en manuell inspektion av varje omärkt 2026 PR. Det hände inte genom att “låta AI-koda”: det hände genom att lägga till regler — en risknivåskyddskonfiguration, en stegvis agentpipeline med begränsade granskningsslingor, skyddade sökvägar och en människa som håller varje sammanslagning. Reglerna är produkten. Och med en kontextmotor som matar agenterna kostar samma arbete nu ~30 % mindre per uppgift (mätt här ).
Vad det faktiskt krävs
Inte ett verktyg. En pipeline, en policyfil och en grind — körd av harnext .
Pipelinen: stegvisa agenter, en människa
Skyddet är harnext — QualityUnits öppen källkod, leverantörsagnostisk kodningsagentskydd. I vår produktionsmonorepo kör varje utgåva som går in i pipelinen samma rad CI-utlösta agentfaser, med framgång spårad genom etiketter en människa kan läsa på en blick:
Två detaljer är viktigare än antalet faser. Slingan är begränsad: defekter som hittas i granskningen går tillbaka till implementeringsfasen ett begränsat antal gånger — agenter konvergerar eller eskalerar till en människa, de trasslar inte. Ingenting börjar blindt: innan någon rad skrivs måste implementeringsagenten ladda projektets konventioner och avge ett bekräftelseblock som granskare kan kontrollera.
Policyfilen
Den andra hälften är en maskinläsbar policy: varje sökväg i förrådet klassificerad i risknivåer, varje nivå med verkställbara grindar. CI läser den; sammanslagningspolicy läser den; agenter får information om den. Det är inte råd:
Skyddade sökvägar — migreringar, betalningar, autentisering — är filer som ingen agent får röra. Arkitektoniska gränser är verkställda, inte föreslagna. Ta bort dessa regler och en kodningsagent är en mycket snabb generator av trolig ansvar.
Tio månader, ett diagram
Adoptionsspåret, mätt från själva förrådet.
Diagrammet räknar, för varje månad, hur många sammanslagna utvecklings-PR:er som bär någon hård agentsignal — kodningsagentens sidfot, pipelinens etiketter, skyddets nivåkonvention, commit samförfattartrailrar, agentcommit-mejl eller pipelinens eget konto som författare. Dependency-bot PR:er (cirka 8 % av alla sammanslagningar) är helt uteslutna från diagrammet — de är varken mänskligt eller kodningsagentarbete. Vi granskade signalerna på tre oberoende sätt: PR-metadata för alla 1 409 sammanslagningar, commit-nivåtrailrar över 5 000+ commits och en manuell rättsmedicinsk genomgång av varje enda omärkt 2026 PR. Tre läsningar är viktiga:
Entusiasm försvinner; infrastruktur sitter fast. 2025-eran var ad-hoc, personlig adoption — och den oscillerade exakt som personliga vanor gör: 44 % en månad, knappast 4 % i november när de tyngsta användarna pausade. Skyddet ändrade kurvans form: inom en månad efter att risknivåerna anlände hoppade det uppmätta antalet till 89 %; med den fullständiga pipelinen nådde det 92 % och stannade där. Varje lager av regler ökade adoptionen mer än någon individs entusiasm någonsin gjorde. De två skuggorna berättar samma historia inom agentandelen: ljusbandet är utvecklare som parar sig med agenten för hand; mörkbandet — arbete som körde full pipeline från utgåva till granskad PR — visas bara när skyddet landar, och i maj bär det majoriteten av agentarbetet.
Vi inspekterade resten, PR för PR. För april–juni 2026 sönderdelas PR:erna utan någon markering i: dependency-bot-automation, agentarbete vars enda attribution överlevde i commit-trailrar och en rest av plausibelt handskrivna ändringar — cirka 11 % av icke-automationssammanslagningar. Så den ärliga meningen är: ~89 % av verkliga utvecklingssammanslagningar under det senaste kvartalet visar verifierbar agentinvolvering — och även det är en gräns, eftersom AI-assistans på redigeringsnivå lämnar ingen spår alls. Vi skickade också skeptiska revisorer på de tre svagaste månaderna, PR för PR: novembers antal steg från 1 till 3 bevisade (plus 3 misstänkt på stil), januaris föll från 10 till 8 efter att ha fångat två falska positiva, och december bekräftades exakt — med en vändning: efter kodvolym levererade decembers åtta markerade PR:er 39 % av den månadens infogade linjer. Agenten skrev redan de stora funktionerna; räkningen kunde bara inte se det. Adoption är också inte enhetlig: vissa utvecklare kör nästan 100 % agentassisterad, ett par skriver fortfarande mest för hand — pipelinen bär en växande andel antingen sätt.
Kvaliteten gick inte bakåt. Samma fönster skeppade nivå-3-ändringar — LLM-leverantörsintegrering, betalningsrelaterat arbete, en i18n-expansion — under grindar som blev strängare under perioden, inte lösare. Och när vi mätte agentgranskningskonsistens direkt, 21 av 22 oberoende granskningsagenter nådde samma slutsats på samma PR.
Så vem är författaren?
Den bästa artikuleringen av var detta lämnar människan kommer från en ingenjörstesis som studerade skyddsstyrd utveckling på ett luftfartsgradberoende projekt:
När en ändring nådde den mänskliga författaren hade rutinmässiga kvalitetsproblem lösts — författarens granskning koncentrerades på arkitektur- och domännivåbeslut. Sammanslagningen var författarens beslut. Författarskapet för den sammanslagna koden vilar hos den mänskliga författaren, oavsett vilken aktör som producerade det första utkastet.
— Štefan Moravík, Design and Implementation of a Drone Mission Planning Module for Airport Lighting Inspection (thesis, 2026)
Det är affären i produktion också: agenter gör utkastet och rutinmässigt kvalitetsarbete; människan gör arkitektur, domänbedömning och äger sammanslagningen.
