夜雨聆风
5 月中旬,胡彦斌在小红书上发了一条和 vibe coding 有关的内容。
到了 5 月末,他亲手 vibe 出来的 App “彦火”就上线了。
我有点好奇,一个音乐人,如果真的自己上手用 AI 写 App,会做出一个什么东西?是一个粉丝福利性质的小玩具,还是一个能认真运营的产品?
于是我去注册体验了一下。
先说结论:作为一个 vibe coding 做出来的粉丝社区,“彦火”的完成度比我预想中高。
它不是只有几个页面的 demo,而是已经有了积分、等级、内容解锁、任务、商城、AI 陪聊、许愿树、巡演足迹这些完整模块。
但也正因为它已经不像 demo,而是一个真实上线、面向粉丝使用的 App,所以它暴露出来的问题也更值得认真看。(我先叠个甲,我绝对没有不尊重胡彦斌老师的意思,他是很有才华的!)
讲讲我的体验感受
首先注册登录,很快。
它没有一上来就索取一堆权限,这点其实不算坏事,至少不会刚进门就被各种弹窗打扰。
但账号、隐私和权限相关的说明也比较少:哪些信息会被收集,哪些内容会公开,后续如果用到位置或通知权限会怎么处理,这些地方没有给我很明确的安全感。
进入 App 之后,第一眼先看审美。
它的整体视觉很统一:黑底、金色、高饱和按钮、大圆角卡片、各种徽章和等级元素,确实有一种“官方粉丝会”的感觉。
但同时,它也有一股很明显的 AI 生成式审美:元素都很完整,氛围也很足,只是有些页面会显得稍微用力,像是 AI 把“高级感、科技感、专属感”这些关键词一次性都执行满了。
给你们几张图感受一下。
它也有典型 vibe coding 产品的下一阶段问题:功能已经长出来了,但产品叙事还需要被重新收束。
我的感觉是主线不够清晰。它可以考虑把用户路径收成一条更明确的线:每日打卡获得“光”,用“光”解锁独家内容,再参与巡演、写信、许愿、二创,最终沉淀成属于自己的粉丝身份资产。
另外一些功能细节也还比较粗,比如内容分享只能分享文字。
小Tiger 的“放歌”能力也没有真正接进音乐 App。这些都不算致命,但会让产品显得还停留在“功能有了”的阶段。
上面这些,更多是体验和前端层面的问题。
至于后端的一些问题,尤其是安全,已经有科技博主做了比较详尽的分析。
他的测试方式主要是黑盒体验加抓包观察:从注册登录、验证码、头像昵称简介、评论、许愿树、图片上传、小Tiger AI 聊天等路径入手,看 App 在真实用户操作中暴露出来的接口和内容流转。
结果发现几个比较关键的问题:
验证码接口缺少足够的前置校验和限流,存在被滥用成短信轰炸的风险。 头像、昵称、简介、评论、许愿树等 UGC 内容疑似缺少先审后发机制。 评论图片上传后可能直接拿到图片地址,存在被当作图床滥用的风险。 小Tiger AI 聊天可以被提示注入套出部分系统设定,说明 AI 安全边界还不够稳。
当然,这里也要补一句:能上架 App Store,本身已经说明它过了苹果审核;如果涉及国内 App 备案,也意味着它至少完成了一些基本合规流程。
上架和备案的门槛并不低,这不是随便传个安装包就能公开分发的。
但问题在于,上架审核和备案,并不等于一次完整的产品安全审计。
它们更多是在确认 App 的基础合规、内容说明、权限声明、分发资质等,而短信接口是否会被刷、UGC 是否先审后发、图片上传是否会被滥用、AI 是否能被提示注入,这些更细的运行时风险,往往还是要靠开发者自己在产品上线前后持续补。
这些问题本质上不是页面好不好看的问题,而是一个产品面向公众时必须补上的底层功课。
这就是Vibe Coding最容易掉进去的暗礁:AI能极快地把功能“写”出来,但它不懂什么是“好体验”,更不懂什么是“安全红线”。
胡老师有粉丝基础,大家能包容这些“糙”;但对普通人来说,一旦出了安全事故,产品可能就直接凉透了。
如果你是coding 小白,想做一个自己的产品, 可以。只是我会建议你先学习一点知识:先知道产品怎么拆,再用工具做出第一版,再补工程化和安全意识。
我建议你按下面这条路线来。
如果小白想学 vibe coding,可以按这个顺序来
先看 GitHub 上的开源项目 easy-vibe。
它适合帮小白建立基本感觉:一个想法怎么被拆成页面、功能、数据和部署。你不需要一开始就懂很多代码,但至少要知道,做产品不是对 AI 说一句“帮我做个 App”就结束了。
第二步,用 Lovable / v0 / Bolt 这类 AI Builder 做出第一个可见作品。先让自己看到一个能点、能改的页面,哪怕只是简单网页、表单页、工具页,也能帮助你理解页面、按钮、数据和用户操作是怎么连起来的。
第三步,再去用 Cursor / Codex / Claude Code 这类 AI 编程工具。这个阶段你就不只是生成页面了,而是要改代码、看项目结构、修 bug、跑测试。AI 更像结对搭档,但前提是你要会给上下文,也要会检查它。
第四步,看 vibe-coding-cn,补工程化意识,这也是个GitHub开源项目。
这个项目帮你补工程化意识。Prompt、Context、Git、测试、质量门禁这些东西听起来不浪漫,但它们决定了项目会不会越改越乱。
最后,一定要补一点 Web 安全和内容安全基础。验证码会不会被刷,UGC 要不要审核,图片会不会被当图床,数据库会不会暴露,这些才决定你的产品能不能真正上线。
所以我的建议是:先入门,再做出来;先跑通,再工程化;最后一定补安全。
结语
vibe coding 很迷人。
它让一个音乐人可以亲手做粉丝 App,也让很多原本不会写代码的人,第一次有机会把脑子里的想法变成一个真的能点、能看、能跑的东西。
但也正因为它太迷人了,我们才更容易忽略另一面:产品不是只有页面,App 也不是能打开就算完成。一个面向公众的产品,背后还有登录、权限、接口、数据库、审核、风控、隐私、安全,以及长期维护。
胡彦斌做「彦火」这件事,我个人是欣赏的。真正重要的下一步,是把它做稳、做安全,做成一个值得用户长期信任的产品。
所以,如果你也想开始 vibe coding,我会鼓励你开始。真的,先做起来。
但请记住:AI 可以帮你把想法变成产品的第一版,但产品最终会变成什么样,责任还是在你手里。
