夜雨聆风↑ 订阅我们,回复“AI”,免费获取大量AI教程资源
大家好呀,今天聊一个我看到有点后怕的事。
4月底,ACM正式发了一份TechBrief。
ACM是什么。国际计算机学会。全球计算机科学领域最权威的学术组织。
它极少针对某一种开发方式发正式警告。这次非常罕见。
它说了一句话,翻译过来就是:Vibe Coding提升了开发效率,但缺乏关键安全保障。
我又看到了另一组数据。
Georgia Tech追踪到,光是2026年3月一个月,就有35个CVE直接归因于AI编程工具。Escape.tech扫描了5600个应用,发现超过2000个漏洞,其中400个涉及密钥泄露。
更夸张的是,Veracode报告显示,约45%的AI生成代码样本,没能通过OWASP Top 10安全测试。
也就是说,接近一半的AI写的代码,连最基本的十项安全标准都过不了。
而同一时期,92%的美国开发者已经在用AI编程工具了。
92%的人在用。接近一半的代码存在安全隐患。
这个对比让我后背发凉。
到底发生了什么
事情是这样的。
Vibe Coding这个概念,是Andrej Karpathy在2025年2月提出的。简单说就是用自然语言描述你想要的功能,然后让AI来写代码。你不用管实现细节,只管"vibe"。
一年时间,这个模式从极客圈的小众玩法,变成了主流开发方式。
GitHub Copilot给开发者写的代码占比平均达到46%,Java开发者更是高达61%。Gartner预测到2026年底,全球60%的新代码将由AI生成。
速度太快了。快到安全体系根本没跟上。
ACM的警告不是凭空来的。2026年4月一周内,爆发了3起重大安全事故:Lovable上的一个项目暴露在公网48天无人发现、Vercel配置错误导致敏感数据泄露、Bitwarden的AI功能扩大了攻击面。
63%使用Vibe Coding平台的人,根本不是开发者。他们是产品经理、设计师、创业者、想用AI做副业的普通人。他们没有受过任何安全训练。
你让一个没学过游泳的人直接下深水区。他可能游得很快。但翻船的概率也更大。
AI代码的最大陷阱
我用AI编程工具做过好几个系统和工具。去年用Cursor帮朋友做了一套完整的管理系统,拿到了副业的第一笔收入。今年初又用Next.js做了一个面向海外用户的AI工具站。
在这个过程中,我发现了一个很多人忽略的事实。
AI写代码最大的问题,不是它写得差。而是它写得看起来很好。
AI生成的代码,缩进整齐、变量命名规范、逻辑结构完整。你乍一看,觉得这代码质量不错。但你仔细审一遍就会发现,它在安全敏感的地方,往往用了一种"看似可行但不安全"的实现方式。
CodeRabbit分析了470个GitHub上的PR,发现AI辅助编写的代码比人类写的多出1.7倍的主要问题,其中安全漏洞率是人类代码的2.74倍。
不是AI不懂安全。是它没有安全意识。
它不知道这段代码会部署在公网。不知道这个接口会被恶意扫描。不知道这个数据库连接需要加密。它只是根据你的描述,生成了功能上正确的代码。
功能正确。不等于安全。
但大多数用AI编程的人,只看功能对不对。
3条保命安全原则
很多人看完这些安全警告,第一反应是:那AI编程是不是不安全,我是不是不该用了?
不是这个意思。
刀有危险性,不代表你不该用刀做饭。代表你需要学会怎么握刀。
我用AI编程这么久,总结了3条我自己一直在用的安全原则。分享给大家。
第一,永远不要信任AI生成的安全相关代码。
认证、加密、权限控制、输入校验。这些模块,AI写的每一行你都要逐行审查。不要因为它"看起来很对"就放过。安全问题的隐蔽性在于,你第一眼看不出来,上线之后才爆。
第二,敏感信息绝对不能出现在AI生成的代码里。
API密钥、数据库密码、Token。这些东西必须走环境变量和密钥管理服务。AI最喜欢干的事就是把key硬编码到代码里。你必须养成习惯,每次生成完先搜一遍有没有硬编码的key。
第三,非开发者用AI做产品,一定要找人review。
如果你不懂代码,用Lovable或者Bolt做出了一个产品,在上线之前找一个懂技术的人帮你过一遍。哪怕花几百块请人做个安全审计,也比上线之后数据泄露的成本低得多。
写在最后
ACM的TechBrief里还提到一件事。Gartner预测到2027年,至少30%的应用安全暴露将来自Vibe Coding的实践方式。
这个预测一点都不夸张。
当63%的构建者没有安全训练,当45%的AI代码过不了基本安全测试,当一周能爆发3起安全事故。这不是"可能发生"的问题,是"一定会发生"的问题。
但我还是支持用AI编程。
因为AI编程的底层逻辑没有错。它让不会写代码的人也能做出产品。它让一个想法到上线的周期从几个月缩短到几天。它让副业创作的门槛大幅降低。
错的不是工具。是使用工具的方式。
真正让我意识到这一点的,不是ACM的报告。而是我自己的项目经历。当我把JWT密钥放在前端配置文件里的那一刻,我突然明白了一件事。
AI编程最大的风险,不是你写得不够快。而是你错把功能正确当成了安全可靠。
用AI写代码,不是偷懒。是换了一种工作方式。以前你花时间写代码,现在你花时间审代码。时间没有省。只是从"建造"转移到了"检查"。
所以不要怕AI编程。怕的是你用了AI编程,却忘了自己还是那个最终负责的人。
AI编程这个话题,其实你怎么重视都不为过。你是怎么看待它的呢?欢迎在评论区唠唠~
祝您的生活一帆风顺,点个“❤”支持一下吧!
