尽管人工智能让编写程序变得容易,但随之而来的问题却鲜有人提及。
《纽约时报》的记者Mike Isaac和Erin Griffith在4月6日的文章中揭示了AI编程工具普及后的一个新现象——代码泛滥成灾。
在一家金融公司引入Cursor这一AI编程软件之后,其每月产生的程序代码量从2.5万行激增至25万行。与此同时,积压等待审查的代码更是达到了100万行之多。StackHawk公司的联合创始人兼CEO Joni Klippert对此表示:“他们无法跟上代码生成的速度,这导致了安全隐患急剧增加。”
此情况并非个案,而是整个行业正在经历的新挑战。
代码工厂"炸了"
Anthropic与OpenAI在去年11月分别对其旗下的Claude Code和Codex编程工具进行了升级。据称,这次更新使这些人工智能编程助手能够更高效地生成代码,只需少量的人工干预就能完成过去需要数周时间才能完成的编码工作。
根据谷歌的一项调查,在2025年9月时,90%的软件开发人员已经在使用AI来辅助他们的日常工作,并且有71%的技术工作者依靠AI帮助他们编写代码。
程序代码产量激增所带来的问题之一就是如何对其进行审查。
Replit公司的总裁兼首席技术官Michele Catasta对此表示,公司里的每个人几乎都成了程序员,这是既有利又有弊的情况。
Meta的首席技术官Andrew Bosworth在一份内部备忘录中指出:“以前需要数百名工程师参与的项目现在只需几十人就能完成;以往几个月才能完成的任务如今几天内即可搞定。”他强调了AI对Meta等组织的重大影响。
Cursor公司的工程、产品和设计负责人Tido Carriero总结道,软件开发领域正经历一场“混乱”,他们正在努力重新搭建这些系统的结构。
代码量激增带来的安全挑战
随着程序代码产量的大幅增加,安全审查的能力却没有相应提升。
据报道,在2025年5月,Replit公司的员工Matt Palmer检查了Vibe Coding平台上创建的1645个网站应用,发现其中约有170个(即大约十分之一)存在严重的安全隐患——这些漏洞使得任何人无需登录就能访问用户数据库,从而获取姓名、电子邮件地址以及财务信息等敏感资料。
Palantir公司的工程师Daniel Asaria仅用不到一个小时的时间就从多个Lovable展示的应用中提取了大量个人隐私数据和金融记录。
安全研究公司Escape随后对超过五千个Vibe Coding应用进行了更广泛的扫描,发现了两千多个安全漏洞、四百多个被暴露的密钥以及一百七十五例涉及医疗记录和个人银行账户的信息泄露案例。而这些应用程序的创建者大多不具备相关领域的专业知识。
硅谷的风险投资顾问Joe Sullivan指出,“全球的应用安全工程师人数远远不足以满足美国企业的需求。”他还表示,他接触的所有大型企业都愿意增加5至10名应用安全工程师岗位来应对这一问题。
Sullivan进一步揭示了一个更为隐蔽的问题:AI编程工具在本地笔记本电脑上的运行效果更佳,导致越来越多的程序员将整个公司的代码库下载到自己的个人设备上。他认为这是一个六个月前几乎没有人意识到的巨大风险,并且企业现在正在寻找解决办法。
开源社区面临的挑战
AI生成的代码对开源社区造成了尤为显著的影响。
据报道,cURL项目的创始人Daniel Stenberg在2026年1月关闭了他长达六年的漏洞奖励计划。他解释说,这是因为大量由AI产生的虚假漏洞报告淹没了维护团队。Stenberg透露,在计划关闭的前三周内,cURL收到了二十份提交,但无一被确认为真实存在的安全问题。
数字白板初创公司tldraw的创始人Steve Ruiz向《纽约时报》表示,他注意到从去年秋天开始出现大量异常贡献者。这些贡献者的特征包括完成所有工作后在最后一步突然放弃、无视明确指引或批量提交垃圾更新等行为。他认为这很可能是AI机器人的所为,并于今年1月关闭了外部贡献通道。“这对代码库构成了极大的风险,”他说。
Ghostty项目的创建者Mitchell Hashimoto也在年初禁止所有未经审核的AI生成代码贡献,并推出了基于信任系统的Vouch系统。
Voiceflow基础设施负责人Xavier Portilla Edo表示,“AI生成的PR中只有十分之一是合理的,其余九成都是浪费维护人员时间的东西。”
GitHub在2026年2月新增了两项设置功能,允许仓库管理员完全禁止Pull Request提交或限制为仅协作者可提交。
当平台本身开始提供“关闭阀门”的功能时,说明问题已经到了结构性的程度。一位大厂的AI工程师认为,“开发者提交垃圾PR,伤害的是开源维护者;安全人员提交虚假漏洞报告,则坑害了审查员。”
AI工具是否真的提高了效率?
尽管许多人认为人工智能编程工具能够提高工作效率,但事实可能并非如此。
据报道,在METR进行的一次随机对照实验中,16名资深开源开发者在熟悉的大规模代码库内完成了一定数量的真实任务。被随机分配使用或不使用AI工具的两组参与者,结果显示:使用了AI工具的开发者实际完成任务所花费的时间反而增加了约19%。
更令人担忧的是认知偏差——尽管实验前认为AI会让他们快24%,但实验结束后他们仍然觉得效率提高了大约20%。
另一项调查显示,开发者对人工智能准确性信任度从上一年的40%下降至29%,并且有超过四成的技术人员明确表示不信任这些工具。
应用数量激增的现象同样反映出这种“效率幻觉”。据数据统计,在2025年12月美国iOS应用发布量同比增长了近56%,而到了2026年1月,这一增长率达到了54.8%。这是过去四年中最快的增长速度。
苹果公司已将Vibe Coding应用Anything从App Store下架,并暂停了Replit和Vibecode等类似工具的更新数月之久。
用AI解决自身引发的问题
在面对代码过载这一问题时,科技企业给出的答案往往是更多的AI技术。
Anthropic与OpenAI均已推出了基于人工智能驱动的代码审查工具,用于自动检测错误。Cursor公司在去年12月收购了一家名为Graphite的初创公司,并将其技术整合进自家产品中,以帮助工程师优先处理最敏感的代码审查任务。
但这种方式能否有效解决问题目前尚无定论。
Tailwind CSS项目的创建者Adam Wathan在2026年1月披露称:尽管其项目每月下载量达到七千五百万次,但文档访问流量却比2023年初下降了约40%,收入也下滑接近八成。“人们发现我们商业产品的唯一渠道就是文档,没有客户我们就无法维持框架的开发。”
RedMonk分析师Kate Holterhoff将这种现象称为“AI Slopageddon”。正如其所言,由人工智能产生的代码问题才刚刚开始显现。