微信扫码
添加专属顾问
Vibe Coding正掀起编程革命,但背后的安全隐患和混乱同样触目惊心。 核心内容: 1. Vibe Coding的兴起与跨界神话 2. 实际应用中暴露的安全漏洞与混乱 3. 人类把关在AI编程中的重要性
苹果刚刚把一款名为Anything的应用从App Store彻底下架。这款应用在2025年9月以1亿美元估值融资1100万美元,上线以来帮助用户发布了数千款应用。下架理由是违反了App Store审核指南第2.5.2条——禁止应用下载或执行未经审核的代码。在此之前,苹果已经冻结了Replit和Vibecode等同类工具的更新,持续时间长达数月。
这些被封杀的工具有一个共同的名字:Vibe Coding(氛围编程)。
这个概念由OpenAI联合创始人Andrej Karpathy在2025年2月提出,核心理念是“完全跟着感觉走,拥抱指数增长,忘掉代码本身的存在”。它被柯林斯词典评为2025年度词汇。
如今,它正在重塑软件开发的门槛,同时也在制造前所未有的混乱。
图片由AI生成
Vibe Coding最具传播力的叙事,是“不会写代码的人也能做出应用”。
2026年2月,媒体报道了一位名叫杨天润的中国创业者。天润本科和研究生学的是金融,毕业后做并购投资,从未写过一行代码。但他用AI工具在72小时内为GitHub上的明星开源项目OpenClaw贡献了代码,跻身贡献者前30名,排在他前后的,是一群拥有十年以上开发经验的硅谷工程师。“文科生72小时杀入GitHub全球榜”的标题迅速刷屏,成为Vibe Coding跨界叙事的标杆案例。
但这篇报道中最值得注意的细节,却被过滤掉了。天润本人在采访中坦承:“Vibe Coding只适合做Demo,不适合做产品。当你只是想做一个简单的网页,它很完美;但当你要做一个复杂的商业软件时,它就可能会乱成一锅粥。”他后来转向了一种被他称为“Agentic Engineering”的方法,让AI自主执行完整的工作流,而不是随意接受每一段AI输出。
换言之,主角自己也强调人类把关的重要性,纯粹的Vibe Coding走不通。
类似的“跨界成功”叙事在社交媒体上被大量复制,宣称“文科生的优势比想象中大得多”;各类课程承诺零基础也能5分钟做出AI应用。但是,当项目复杂度超越简单网页“涉及用户认证、数据库连接、支付接口、异常处理等等”,没有编程基础的人就会撞上一堵看不见的墙。
这堵墙有多高?Vibe Coding平台Lovable提供了最触目惊心的数据。
2025年5月,Replit员工Matt Palmer扫描了1645个在Lovable上创建的网站应用,发现其中170个(约10.3%)存在严重安全漏洞,任何人无需登录即可访问用户数据库,获取姓名、电子邮件、财务信息和API密钥。
Palantir工程师Daniel Asaria用47分钟就从多个Lovable展示的应用中提取了个人债务金额、家庭住址和敏感提示词。安全研究公司Escape后来对5600多个Vibe Coding应用进行了更大范围的扫描,发现超过2000个安全漏洞、400多个暴露的密钥以及175例个人隐私数据泄露,包括医疗记录和银行账号。这些应用的创建者大多不具备任何安全知识。
问题的根源不在于“文科生不该碰代码”,在于一个在媒体传播中被忽略的事实:软件开发的难度从来不只在“写出能运行的代码”。架构设计、安全审计、边界条件处理、数据库权限配置、长期可维护性,这些才是专业工程师花费多年积累的核心能力。
乱拳打死老师傅。
VibeCoding让人人能够用自然语言编程,也造成了各种应用量的暴增。
据Sensor Tower数据,2025年12月美国iOS应用发布量同比增长56%,2026年1月同比增长54.8%,均创下四年来最快增速。据Appfigures统计,2025年App Store新提交应用达55.7万款,较2024年增长24%,是2016年以来最大一波新增浪潮。
与此同时,传统软件上线的流程正在被跳过。
在传统的软件开发模式中,一款应用从构想到上架需要经历需求分析、系统设计、编码实现、代码评审、QA测试(产品正式给用户用之前,先反复检查有没有 bug、卡顿、报错或体验问题)、安全审计、性能优化、合规检查等多个环节,通常耗时数周到数月,涉及产品经理、开发工程师、测试工程师和安全团队的协作。每一个环节都是质量的安全阀。
Vibe Coding把这个流程压缩到了极限。一位大厂AI工程师直言:“现在Vibe Coding造垃圾软件碰运气,实在是消耗用户的时间。很多人想的是我造一堆,万一哪个成了呢,反正又没什么成本。”
制作一款最低可行应用变得极其简单,这些人批量生产数十款应用定期提交,赌的是只要有少量应用内购买就能赚一笔。如果一款应用没有起色,24小时内可以再上线另一款。即便被平台标记为垃圾应用甚至遭到拒绝,惩罚也几乎可以忽略,一个苹果开发者账户年费仅99美元,被封禁后换一个账户重新注册的成本远低于一轮审核给苹果团队带来的时间消耗。
来自纽约的35岁氛围编程用户James Steinberg坦言,他认为App Store正被“像我这样提交大量应用的人”淹没,他的一款应用已等待审核长达六周。
苹果回应称,90%的提交仍在48小时内完成审核,过去12周每周处理超过20万份提交,平均审核时间为1.5天。但开发者社区的感受与官方数据存在落差。Reddit的iOS开发社区中,多个帖子反映审核时间明显延长,一些长期运营的应用甚至开始收到“垃圾应用”标记或“不再达到最低质量标准”的警告。
Vibe Coding对开源社区的冲击更具系统性风险。
cURL创始人Daniel Stenberg在2026年1月关闭了运行六年的漏洞赏金计划。原因不是预算,是AI生成的虚假漏洞报告淹没了维护团队。在关闭前的三周内,cURL收到了20份提交,没有一份确认为真正的安全漏洞。
Stenberg在FOSDEM 2026大会上透露,2025年前cURL收到的安全报告中大约六分之一是有效的;到2025年底,这一比例已降至二十分之一甚至三十分之一。他将这种现象称为“对开源的DDoS攻击”。
这不是孤例。Ghostty创建者Mitchell Hashimoto在2026年初禁止了所有未经审核的AI生成代码贡献,并推出了基于信任的Vouch系统。tldraw项目负责人Steve Ruiz说:“我们近期看到大量完全由AI工具生成的贡献。虽然部分在形式上是正确的,但大多数存在背景不完整、对代码库理解有误、提交者几乎没有后续跟进等问题。”
一位大厂AI工程师对腾讯科技总结了这个链条的完整图景:“开发者提交Vibe垃圾PR(Pull Request),坑的是开源维护者;安全人员提交Vibe垃圾漏洞,坑的是漏洞审核员。完全不尊重别人的时间。”
在通常的开发流程里,开发者写完一部分代码后,会把这次修改提交成一个 PR,交给同事审核。审核通过后,这些代码才会被合并进主分支。如果用一种比较“vibe coding”式、随手糊出来的方式写代码,然后提交了一个质量很差的代码合并请求。
持续下去,就好像堆砌了一座越来越高的“代码屎山”。最终坑的是所有认真维护开源代码的人。
Voiceflow基础设施负责人Xavier Portilla Edo给出了一个量化判断:“AI生成的PR中,只有十分之一是合理的,其他九个浪费了维护者的时间。”GitHub在2026年2月推出了两项新的仓库设置,允许完全禁用Pull Request,或限制为仅协作者可提交。当平台本身开始提供“关闭阀门”的功能,说明问题已经是结构性的。
最后,回到一个根本性的问题。在VibeCoding让垃圾代码数量飙升的同时,真的提高了编程效率吗?
答案有些复杂。
AI编程工具的拥护者常引用的数据是开发效率提升26%至56%。但METR(Model Evaluation & Threat Research)在2025年发表的一项随机对照实验讲述了不同的故事。16名资深开源开发者在他们熟悉的大型代码仓库中完成246个真实任务,被随机分配是否允许使用AI工具。结果显示:使用AI工具的开发者实际完成任务的时间延长了19%,AI让他们变慢了。而开发者本人在实验前预计AI会让他们快24%,实验后仍然认为自己快了20%。
当人们“感觉”更高效时,他们可能正在生产更多未经充分审查的代码。2025年Stack Overflow开发者调查显示,对AI准确性的信任从前一年的40%降至29%,46%的开发者明确表示不信任AI工具的准确性。
这种效率幻觉的真正代价最终由谁承担?
一篇2026年1月发表的学术论文《Vibe Coding Kills Open Source》提供了更宏观的警告。来自中欧大学和基尔研究所的经济学家指出,AI降低了使用和构建开源代码的成本,但同时削弱了维护者赖以获得回报的用户互动。
Tailwind CSS的创建者Adam Wathan在2026年1月披露:尽管Tailwind的月下载量达到7500万次,但文档流量较2023年初下降了约40%,收入下滑近80%。“文档是人们发现我们商业产品的唯一渠道,没有客户我们就无法维持框架的开发。”
犯错的成本从未如此之低。生成一段有漏洞的代码只需几秒,但审查、修复和清理这些产出的成本,仍然完全由人类承担。
当代码生成的成本趋近于零而审查的成本保持不变,这个体系就已经失衡了。正如RedMonk分析师Kate Holterhoff所命名的,这是一场“AI Slopageddon”(AI垃圾末日)。
技术的进步不应以将责任外部化为代价,而Vibe Coding的现状,正是对这一原则最直接的挑战。
AI可以替代打字,但无法替代判断。正如Y Combinator CEO Garry Tan所承认的,即使是YC中那些95%代码由AI生成的创业公司,创始团队也具有深厚的技术背景,他们有能力从零开始手写代码。
AI时代比以往任何时候都更需要专业判断。
53AI,企业落地大模型首选服务商
产品:场景落地咨询+大模型应用平台+行业解决方案
承诺:免费POC验证,效果达标后再合作。零风险落地应用大模型,已交付160+中大型企业
2026-07-01
一文了解|SkillScan 智能体技能安全扫描最佳实践
2026-07-01
协作的逆向演进:从 Agent 逻辑重构团队管理
2026-07-01
港科大郭毅可谈Agentic AI时代的核心命题:人机共生,人不可能退场
2026-07-01
Sonnet 5终于来了,然而Opus 4.8现在有点尴尬
2026-07-01
AI可观测性:Prompt、Tool Call、Trace、Token全链路追踪
2026-07-01
AI Infra 全景图:Agent Framework、调度、编排、沙箱、记忆管理、Tracing 分层拆解
2026-07-01
Claude Science发布:60+科学数据库一个对话搞定
2026-07-01
AI 的向量空间里藏着心理学,这是一场嵌入模型的情绪对决
2026-04-15
2026-04-07
2026-04-07
2026-04-24
2026-04-17
2026-04-05
2026-04-05
2026-04-14
2026-04-24
2026-04-22
欢迎您使用【53AI 官方网站】(以下简称“本网站”或“我们”)。本《会员服务协议》(以下简称“本协议”)是您(以下简称“会员”或“用户”)与【深圳市博思协创网络科技有限公司】之间关于注册、登录及使用本网站会员服务所订立的法律协议。
在您注册或登录前,请务必审慎阅读、充分理解各条款内容,特别是免除或限制责任的条款、知识产权条款、争议解决条款等。此类条款将以加粗形式提示您注意。 当您通过微信公众号授权、手机验证码验证或其他方式成功登录本网站时,即视为您已完全理解并同意接受本协议的全部内容。
一、 定义
本网站:指由【深圳市博思协创网络科技有限公司】运营的,域名为【53ai.com】的网站及相关移动端页面。
会员服务:指本网站向注册会员提供的知识库文章查阅、内容检索及其他相关增值服务。
知识库内容:指本网站发布的包括但不限于文字、图表、数据、研究报告、行业分析等数字化内容资源。
二、 账号注册与登录
登录方式:本网站支持以下登录方式,您可根据实际情况选择:
微信公众号授权登录:您同意将您的微信OpenID信息授权给本网站,用于创建或关联会员账号。
手机验证码登录:您需提供真实有效的手机号码,并通过短信验证码完成身份验证与登录/注册。
账号安全:您的账号仅限您本人使用,禁止赠与、借用、租用、转让或售卖。因您保管不善导致的账号被盗、密码泄露等损失,由您自行承担。
实名认证:根据相关法律法规要求,我们可能要求您在特定功能下完成实名认证。如您拒绝提供,可能无法使用部分或全部服务。
未成年人保护:若您未满18周岁,请在法定监护人的陪同下阅读本协议,并在征得监护人同意后使用本服务。
三、 服务内容与规范
知识库查阅权限:会员登录后,有权按照其会员等级对应的权限范围,在线浏览、检索本网站知识库中的相关文章及内容。
服务变更:我们有权根据业务发展需要,调整、变更或终止部分服务内容,并将以网站公告、公众号消息等方式提前通知。
禁止行为:您在使用服务时不得实施以下行为:
利用技术手段批量爬取、下载、转存知识库内容;
将知识库内容用于商业目的或未经授权地向第三方传播;
干扰本网站正常运行或侵犯其他用户合法权益;
发布违法违规信息或从事违反公序良俗的活动。
四、 知识产权声明
权利归属:本网站知识库中的排版设计、软件代码等内容的知识产权均归【公司全称】或原权利人所有,受《中华人民共和国著作权法》等法律保护。
有限许可:本网站授予会员一项非独占、不可转让、不可转授权的普通许可,仅限于个人学习、研究之目的在线查阅知识库内容。
侵权追责:未经书面许可,任何单位或个人不得以任何形式复制、转载、摘编、镜像、汇编或以其他方式使用上述内容。一经发现,我们保留追究其法律责任的权利。
五、 个人信息保护
我们重视对您个人信息的保护。关于我们如何收集、使用、存储和保护您的个人信息,请单独阅读 《隐私政策》。
您通过微信公众号授权或手机号验证所提供的信息,我们将严格按照《个人信息保护法》的规定处理,仅用于身份识别、服务提供及安全验证等必要用途。
您可以随时通过网站设置或联系客服行使查阅、更正、删除个人信息及撤回授权同意的权利。
六、 免责声明
内容准确性:知识库内容仅供参考,不构成专业建议。我们不对其完整性、准确性、时效性作任何明示或暗示的保证,您应自行判断并承担使用风险。
不可抗力:因自然灾害、政策法规变化、网络故障、第三方平台接口异常(如微信接口维护、运营商短信通道故障)等不可抗力导致的服务中断或延迟,我们不承担违约责任。
第三方链接:本网站可能包含指向第三方网站的链接,该等网站的内容和服务不受我们控制,请您自行甄别风险。
七、 违约责任
如您违反本协议约定,我们有权视情节采取警告、限制功能、暂停服务、注销账号等措施,并保留要求赔偿损失的权利。
如因您的违约行为导致我们遭受行政处罚、第三方索赔或商誉损失,您应承担全部赔偿责任(包括但不限于罚款、赔偿金、律师费、公证费等)。
八、 法律适用与争议解决
本协议的订立、执行和解释均适用中华人民共和国大陆地区法律。
因本协议产生的或与本协议有关的任何争议,双方应友好协商解决;协商不成的,任何一方均可向【公司所在地】有管辖权的人民法院提起诉讼。
九、 其他
本协议构成双方就本服务达成的完整协议,取代此前任何口头或书面约定。
本协议任一条款被认定为无效或不可执行的,不影响其他条款的效力。
我们对本协议享有最终解释权,并在法律允许的范围内保留随时修改的权利。修改后的协议一经公布即生效,继续使用服务即视为同意修订内容。