夜雨聆风
上个月,有个朋友兴奋地告诉我,他用 AI 工具,两天就"做"出了一款App,发到了 App Store 上。他把这件事发到了朋友圈,收到了几十个点赞。
一周后,他垂头丧气地来找我:App 被苹果下架了,理由是存在数据泄露风险。他连"数据泄露"是什么意思都没搞清楚。
这不是个例。2026 年第一季度,App Store 新上架了 23.58 万款应用,同比暴涨 84%。 增速的背后,有大量像他这样的普通人——不懂代码,却借助 AI 工具快速"造"出了一个能跑的应用。但这些应用,正在变成一场看不见的危机。
先说清楚:什么是 Vibe Coding?
“Vibe Coding” 这个词,是特斯拉 AI 大牛 Andrej Karpathy 提出来的。它的意思很简单:
你不需要写代码,只需要用自然语言告诉 AI “我要一个记账 App”,AI 直接帮你把代码全写出来,你自己点几下就能发布。
打个比方:以前开餐厅,你得会炒菜才行。现在有了中央厨房,你只要说"来一份宫保鸡丁",半成品就送上门了,你加热一下就能出餐。
门槛确实降低了。降低到,任何人只要会打字,就能"做"出一个 App。
Cursor、Claude Code、GitHub Copilot Workspace、Replit Agent……这类工具正在快速普及。网上到处是"一天做出一个 App"、"用 AI 副业月入过万"的教程。听起来很美好,对吧?
但问题也出在这里。
数字不会说谎:塑料 App 有多严重?
先看一组数据:
App 数量大爆炸。 2026 年第一季度,App Store 新增了 23.58 万款应用,同比增加 84%。苹果的审核周期从以前的 24-48 小时,被迫拉长到最长 45 天——即便如此,审核团队依然追不上增速。
安全漏洞大爆发。 安全公司 Escape 扫描了 5600 多个 AI 生成的应用,发现:
2000 多个存在安全漏洞 400 多个直接把密钥硬编码在代码里——相当于你家门上贴了张纸条写着"备用钥匙在门口花盆底下" 175 个存在隐私数据泄露,用户信息暴露在公网上
一个更直观的数据:AI 生成的代码,漏洞检出率是人工开发代码的 3.2 倍。 换句话说,用 AI 写的东西,出问题的概率远高于程序员写的。
真实事故已经发生了。 亚马逊内部 AI 编程工具 Kiro,在 2026 年初造成了 4 次"一级事故"——这是亚马逊对最高级别生产故障的称呼。其中一次导致 AWS 云服务中断了整整 13 个小时。事故原因:AI 在没有人工复核的情况下,执行了一个大规模"删除旧代码、重建新结构"的操作,删错了东西,系统直接崩了。
苹果已经开始动手了。 苹果下架了一款叫"Anything"的 AI 生成应用,还拦截了 Replit 的 iOS 应用更新。理由很明确:不允许 App 未经审核就生成和运行代码。
《韦氏词典》甚至把 2025 年的年度词汇给了 slop——专门用来形容 AI 批量生成的垃圾内容。
普通人怎么看出一款 App 靠不靠谱?
到这里,你可能会问:我不是开发者,我怎么知道一款 App 安不安全?
好问题。我给你几个不需要技术背景也能用的判断标准:
看 App 的来源
是大公司出品,还是个人开发者? 有没有官方网站?网站能不能打开? 开发者在应用商店里的其他 App 评价怎么样?
看权限申请
一个简单的记账 App,上来就要读取你的通讯录和相册?——果断拒绝 一个天气 App,要获取你的位置信息——这合理 一个天气 App,要读取你的短信内容?——跑
看 App 的反应速度
AI 生成的应用,遇到"边界情况"(比如没网络、数据为空)时,经常直接崩溃或白屏 如果一个 App 在你没有网络的时候直接罢工,它大概率没经过充分的人工测试
看更新频率
一个 App 上线后再也没有更新,要么是开发者放弃了,要么是问题太多修不过来 好的 App 通常有持续的小版本更新(修复 Bug、适配新系统)
建设性的做法:普通人能用 AI 做什么、不能做什么?
批评完了,该给解决方案了。AI 不是不能用,关键是用在哪里。
AI 适合做的事(对普通人来说):
1. 快速验证想法你有一个点子,想知道有没有人需要?用 AI 做一个简单的原型,给周围 10 个人用用看。如果没人用——恭喜,你用一天时间验证了一个失败的想法,省了几个月开发成本。这就是"高效失败",比"危险成功"好得多。
2. 内部工具和工作流如果这个 App 只给你自己或团队内部用,不涉及用户数据、不上线应用商店,AI 生成的工具完全可以满足需求。比如用 AI 帮你写一个自动整理 Excel 表格的脚本。
3. 学习和理解产品逻辑你是个产品经理,想知道一个功能"技术上能不能实现",可以让 AI 快速生成一个 Demo 来验证思路。这比空想靠谱得多。
AI 不能做的事(暂时别碰):
1. 涉及用户个人数据的应用任何需要收集、保存他人信息的 App,都需要专业安全审计。AI 生成代码里的隐私泄露、密钥暴露问题,普通人根本看不出来,但一旦出问题,直接违法。
2. 需要上架应用商店的产品App Store 和 Google Play 都有严格的审核机制。AI 生成的应用很容易在审核环节被卡——最坏的情况是下架,甚至影响你的开发者账号。
3. 涉及财产和安全的核心功能理财 App、支付工具、医疗相关应用——这些领域的容错率是零。一旦出问题,后果是真实的财产损失甚至人身安全风险。
写在最后:别被"门槛降低"骗了
AI 编程工具让"做出一个能看的原型"变得前所未有地简单。这件事本身没错。
错的是,把"能看"当成"能用",把"能跑"当成"能上线"。
用一个类比来结尾:
中央厨房让每个人都能轻松做出"看起来像餐厅出品"的菜。但你不会因为用了一个好用的半成品,就去开餐馆——你知道后厨、卫生许可、食材供应链、食品安全检查,每一样都不是半成品能解决的。
App 开发也是一样。原型只是第一步,后面还有安全审计、合规审查、压力测试、持续运维……这些事,AI 帮不了你,也永远不该绕过人。
用 AI 提高效率,没问题。用 AI 替代判断,迟早出问题。
