夜雨聆风先说现象:工具变蠢了,不是个错觉
最近半个月,技术社区的反馈越来越直白: AI 编程助手好像在变差。不是「感觉上」变差,是有具体投诉的差。
Hacker News 上这条帖子拿到了 451 个点赞,标题就三个字:「 AI coding assistants are getting worse?」。评论区炸出了一堆实际案例: Claude Code 之前能正确重构的代码,现在开始瞎改; Cursor 的 Tab 补全莫名其妙断档; Copilot 在 TypeScript 项目里频繁报类型错误。这些问题不是新问题,但频率确实在上升。
更值得警惕的是背后的原因,比「模型变差」要复杂得多。
第一刀: Claude Code 源码泄露事件
五月中旬,有人在 NPM registry 的 map 文件里发现了 Claude Code 的完整源代码。这不是普通的「泄露」——地图文件里连内部工具的路径、限制规则、甚至一些没公开的功能设计都暴露了。
很快社区就发现了问题所在:泄露的源码里有一批假工具( fake tools )。所谓假工具,就是那些对外宣传支持、但实际调用时会被静默拦截或者返回预设响应的工具。开发者以为自己调了某个 API ,实际上根本没走那行代码。
更骚的是「 undercover mode 」——泄露代码里还有一层隐藏逻辑,专门用来检测用户是否在调试模式下使用 Claude Code 。一旦检测到,工具行为会发生变化,简单说就是:你在 debug 的时候,工具反而会更不透明。
这对于依赖 Claude Code 做生产开发的团队来说,是个非常糟糕的信号。你以为你在用工具,实际上你在被观察。
第二刀: Cursor 编辑器的 NPM 供应链攻击
几乎同一时间,安全研究人员发现了一批恶意 NPM 包,专门针对 Cursor 编辑器在 macOS 上的安装过程。这批包利用了 Cursor 的安装脚本漏洞,在安装阶段就注入了后门代码。
这事情有意思的地方在于:攻击目标不是普通用户,是开发者,而且是愿意付钱用 Cursor 的开发者。这个群体有一定的安全意识,会检查权限、会看日志——但供应链攻击恰好就是在这些环节最难防的。
Cursor 官方很快发了声明,说已经下架相关包、更改了安装流程。但这类攻击的本质是:一旦你信任了 npm install 的输出,后续代码执行权限就在别人手里了。开发者工作站在这类攻击面前,脆弱程度远超普通用户机器。
第三刀: IDE 后门的系统性风险
把这两件事放在一起看,有个更大的图景开始浮现: AI 编程工具正在成为攻击者的首选目标。
原因很简单:开发者工作站拥有高权限,税务数据、数据库凭证、 API 密钥、代码仓库权限全在一台机器上。攻陷一个开发者,等于攻陷整个 CI/CD 流水线的入口。
而 AI 编程工具的特殊之处在于:它们的权限设计本来就比传统 IDE 更激进。为了让 AI 能「帮」你操作文件、执行命令、调用 API ,工具们普遍需要更高的系统权限。这些权限原本是给人类工程师用的,现在要给一个第三方模型共享——权限边界本来就模糊。
更麻烦的是,现在很多团队引入 AI 编程工具时,根本没做过安全评估。安全团队的注意力还在边界防火墙和钓鱼邮件上,工作站端的 AI 工具链条是个标准的盲区。
数据说话: GitHub 上 AI 编程工具的真实情况
看几个数据:
caveman 项目(整合了 Claude Code 、 Codex 、 OpenCode 、 Cursor 、 Gemini CLI 等多种 AI 编程工具),五天内拿到了 62751 个 Star 。这个数字说明什么?市场对 AI 编程工具的需求在爆发,但质量的参差不齐。
同期, career-ops 项目(用于追踪 Claude Code 、 Codex 和 Cursor 的消费成本)拿到了 46370 个 Star 。 Star 多不代表安全,但说明用的人多——用得越多,攻击价值越高。
Tabby (自托管 AI 编程助手)作为开源方案,在 HN 上拿到了 366 个点赞。它的卖点很简单:数据不出境,可以私有化部署。这个定位在当前环境下突然变得非常有价值。
一个悲观但诚实的判断
说了这么多,不是让大家都回去手写代码。 AI 编程工具的效率收益是真实的,不是伪需求。
但有三个基本事实需要接受:
第一,工具越强大,攻击价值越高。这个逻辑不会因为工具是 AI 就改变。现在 AI 编程工具拿到的是生产级权限,攻下来的收益远超传统钓鱼攻击。
第二,开源和自托管是当前为数不多的防御手段。 Cursor 的 NPM 攻击成功率高,一个重要原因是闭源工具的供应链验证难度更高。 Tabby 这类开源方案至少在供应链上是可审计的。
第三,短期内工具质量波动是正常的。 Claude Code 源码泄露说明 Anthropic 在内部工具管理上存在疏漏,这不是洗地,是事实。但疏漏被公开,总比被地下黑产悄悄利用要好。
至于「 AI 编程助手是不是在变差」这个问题——技术层面,模型能力可能没变,但工具链的复杂度在增加,出问题的维度在变多。用了这些工具的团队,需要开始把它们纳入安全审计范围了。
这不是唱衰 AI 编程,这是在它变成基础设施之前,先把安全债算清楚。
