AI編程：“全民狂歡” vs“屎山危機(jī)”

AI讓人人都能寫代碼，但沒人告訴你，代碼寫出來之后怎么辦。

4月6日，《紐約時報》記者M(jìn)ike Isaac和Erin Griffith發(fā)文揭示了AI編程工具普及后的另一面：代碼過載。

一家金融服務(wù)公司引入AI編程工具Cursor后，月產(chǎn)代碼量從2.5萬行跳升至25萬行——增長10倍。隨之而來的，是100萬行積壓待審代碼。安全初創(chuàng)公司StackHawk聯(lián)合創(chuàng)始人兼CEO Joni Klippert說："他們根本跟不上代碼交付量的增長，以及隨之而來的漏洞激增。"

這不是個例，而是整個行業(yè)正在面對的新現(xiàn)實(shí)。

代碼工廠"炸了"

Anthropic和OpenAI去年11月分別升級了旗下編程工具Claude Code和Codex的底層模型。據(jù)報道，這次升級讓AI編程代理從"偶爾有用的助手"變成了"全自動代碼生成機(jī)器"——只需少量人工引導(dǎo)，AI就能在極短時間內(nèi)完成此前需要數(shù)周的編程工作。

谷歌2025年9月的調(diào)查顯示，90%的軟件開發(fā)者已在使用AI輔助工作，71%的編程人員借助AI寫代碼。

代碼產(chǎn)量的爆炸，帶來了一個棘手問題：誰來審？

Replit總裁兼AI負(fù)責(zé)人Michele Catasta對此直言："公司里每個人都變成了程序員，這既是福音，也是詛咒。"

Meta首席技術(shù)官Andrew Bosworth今年在一份內(nèi)部備忘錄中寫道："過去需要數(shù)百名工程師的項(xiàng)目，現(xiàn)在幾十人就能完成。過去需要數(shù)月的工作，現(xiàn)在幾天就能搞定。"他補(bǔ)充稱，AI對Meta這樣的組織"影響深遠(yuǎn)"。

Cursor工程、產(chǎn)品與設(shè)計負(fù)責(zé)人Tido Carriero的總結(jié)更為直接："軟件開發(fā)工廠某種程度上已經(jīng)崩了，我們正在試圖重新拼裝這些零件。"

安全漏洞：被忽視的代價

代碼量暴增的同時，安全審查能力并未同步跟上。

據(jù)騰訊科技報道，2025年5月，Replit員工Matt Palmer掃描了1645個在Vibe Coding平臺Lovable上創(chuàng)建的網(wǎng)站應(yīng)用，發(fā)現(xiàn)其中170個（約10.3%）存在嚴(yán)重安全漏洞——任何人無需登錄即可訪問用戶數(shù)據(jù)庫，獲取姓名、電子郵件、財務(wù)信息和API密鑰。

Palantir工程師Daniel Asaria僅用47分鐘，就從多個Lovable展示的應(yīng)用中提取了個人債務(wù)金額、家庭住址和敏感提示詞。

安全研究公司Escape隨后對5600多個Vibe Coding應(yīng)用進(jìn)行了更大范圍掃描，發(fā)現(xiàn)超過2000個安全漏洞、400多個暴露的密鑰以及175例個人隱私數(shù)據(jù)泄露，涉及醫(yī)療記錄和銀行賬號。而這些應(yīng)用的創(chuàng)建者大多不具備任何安全知識。

硅谷風(fēng)投機(jī)構(gòu)Costanoa Ventures顧問Joe Sullivan表示："全球的應(yīng)用安全工程師加在一起，都滿足不了美國企業(yè)的需求。"他表示，他接觸的大型企業(yè)如果能招到人，每家都愿意再增加5至10名這類崗位。

Sullivan還指出了一個更隱蔽的風(fēng)險：AI編程工具在本地筆記本電腦上運(yùn)行效果更好，這導(dǎo)致越來越多的工程師把整個公司的代碼庫下載到個人電腦上。"這是六個月前沒人想到的瘋狂風(fēng)險，現(xiàn)在他們正在想辦法解決。"

開源社區(qū)：垃圾PR的"DDoS攻擊"

AI生成代碼的沖擊，在開源社區(qū)尤為明顯。

據(jù)騰訊科技報道，cURL創(chuàng)始人Daniel Stenberg在2026年1月關(guān)閉了運(yùn)行六年的漏洞賞金計劃。原因不是預(yù)算，而是AI生成的虛假漏洞報告淹沒了維護(hù)團(tuán)隊(duì)。關(guān)閉前三周，cURL收到20份提交，無一被確認(rèn)為真實(shí)漏洞。Stenberg在FOSDEM 2026大會上透露，2025年前cURL安全報告中約六分之一有效；到2025年底，這一比例已降至二十分之一甚至三十分之一。他將這種現(xiàn)象稱為"對開源的DDoS攻擊"。

數(shù)字白板初創(chuàng)公司tldraw創(chuàng)始人Steve Ruiz對《紐約時報》表示，他去年秋天開始注意到大量異常貢獻(xiàn)者——有人完成所有工作后在最后一步簽署協(xié)議時突然放棄，有人無視明確指引，有人批量提交垃圾更新。他判斷這些大概率是AI機(jī)器人，并于今年1月關(guān)閉了外部貢獻(xiàn)通道。"對代碼庫的風(fēng)險非常高，"他說，"這場沖擊可能危及團(tuán)隊(duì)、社區(qū)和項(xiàng)目聲譽(yù)。"

Ghostty創(chuàng)建者M(jìn)itchell Hashimoto也在2026年初禁止了所有未經(jīng)審核的AI生成代碼貢獻(xiàn)，并推出了基于信任的Vouch系統(tǒng)。

Voiceflow基礎(chǔ)設(shè)施負(fù)責(zé)人Xavier Portilla Edo給出了一個量化判斷："AI生成的PR中，只有十分之一是合理的，其他九個浪費(fèi)了維護(hù)者的時間。"

GitHub在2026年2月推出了兩項(xiàng)新設(shè)置，允許倉庫完全禁用Pull Request，或限制為僅協(xié)作者可提交。

而當(dāng)平臺本身開始提供"關(guān)閉閥門"的功能，說明問題已經(jīng)是結(jié)構(gòu)性的。一位大廠AI工程師對騰訊科技總結(jié)道："開發(fā)者提交Vibe垃圾PR，坑的是開源維護(hù)者；安全人員提交Vibe垃圾漏洞，坑的是漏洞審核員。完全不尊重別人的時間。"

效率幻覺：感覺快了，其實(shí)慢了

AI編程工具真的提升了效率嗎？數(shù)據(jù)給出了令人意外的答案。

據(jù)騰訊科技報道，METR（模型評估與威脅研究機(jī)構(gòu)）2025年發(fā)表的一項(xiàng)隨機(jī)對照實(shí)驗(yàn)中，16名資深開源開發(fā)者在熟悉的大型代碼倉庫中完成246個真實(shí)任務(wù)，被隨機(jī)分配是否可使用AI工具。結(jié)果：使用AI工具的開發(fā)者實(shí)際完成任務(wù)的時間延長了19%。

更值得關(guān)注的是認(rèn)知偏差：這些開發(fā)者在實(shí)驗(yàn)前預(yù)計AI會讓他們快24%，實(shí)驗(yàn)結(jié)束后仍然認(rèn)為自己快了20%。

與此同時，2025年Stack Overflow開發(fā)者調(diào)查顯示，開發(fā)者對AI準(zhǔn)確性的信任度從前一年的40%降至29%，46%的開發(fā)者明確表示不信任AI工具的準(zhǔn)確性。

應(yīng)用數(shù)量的暴增印證了這種"效率幻覺"的規(guī)模。據(jù)騰訊科技援引Sensor Tower數(shù)據(jù)，2025年12月美國iOS應(yīng)用發(fā)布量同比增長56%，2026年1月同比增長54.8%，均創(chuàng)四年來最快增速。Appfigures統(tǒng)計顯示，2025年App Store新提交應(yīng)用達(dá)55.7萬款，較2024年增長24%，是2016年以來最大一波新增浪潮。

而蘋果已將Vibe Coding應(yīng)用Anything從App Store下架（該應(yīng)用曾以1億美元估值融資1100萬美元），并凍結(jié)了Replit和Vibecode等同類工具的更新，持續(xù)時間長達(dá)數(shù)月。

用AI解決AI制造的問題

面對代碼過載，科技公司給出的答案，仍然是更多AI。

Anthropic和OpenAI均推出了AI驅(qū)動的代碼審查工具，用于自動檢測錯誤。Cursor在去年12月收購了代碼審查機(jī)器人初創(chuàng)公司Graphite，并將其技術(shù)整合進(jìn)產(chǎn)品，幫助工程師優(yōu)先處理最敏感的代碼審查需求。

但這條路能否走通，目前仍無定論。

據(jù)騰訊科技報道，Tailwind CSS創(chuàng)建者Adam Wathan在2026年1月披露：盡管Tailwind月下載量達(dá)7500萬次，但文檔流量較2023年初下降約40%，收入下滑近80%。"文檔是人們發(fā)現(xiàn)我們商業(yè)產(chǎn)品的唯一渠道，沒有客戶我們就無法維持框架的開發(fā)。"

RedMonk分析師Kate Holterhoff將這一現(xiàn)象命名為"AI Slopageddon"（AI垃圾末日）。也正如騰訊科技所言：AI代碼的“屎山危機(jī)”才剛剛開始。