Vibe coding 时代还需要深究技术栈吗 AI 就是另一个你——你的上限决定了 AI 的上限。给一个普通人配诸葛亮也打不下汉中。坑无处不在AI 有多强取决于你有多强。2025 年 2 月 2 日Andrej Karpathy 在 X 上发了一条推文说自己发现了一种新的编程方式叫 vibe coding——完全沉浸在氛围里拥抱指数级进步忘记代码本身的存在。 他当时在用 Cursor 配合语音工具 SuperWhisper 做周末玩具项目。这条推文获得了超过 450 万次浏览vibe coding 后来被 Collins 词典评为 2025 年度词汇。一年多过去这个词被越来越多的人理解为不用懂技术栈也能写软件。这是一个昂贵的误读。在 AI 编程工具开发者渗透率突破 87% 的今天一个反直觉的事实正在被反复验证你对一个领域理解得越浅AI 给你的帮助就越有限甚至在安全与质量维度上为负。AI 不是拉平差距的天平而是放大差距的杠杆。你的上限就是 AI 的上限。一、Vibe Coding 的本意与被偷换的概念Karpathy 的原话有一个常被省略的定语——他描述的是做随手可弃的周末项目throwaway weekend projects时的体验。他自己后来在不同场合表达过保留这种方式的适用边界是那些跑完即弃、不进入生产、不服务真实用户的代码。学术界很快给出了更冷峻的判断。一篇发表在 TechRxiv 的论文对 vibe coding 做了形式化定义后明确指出它不适合作为学习编程的主要工具因为会遮蔽基础概念也不适合大规模或生产级项目因为调试与维护成本过高。Linus Torvalds 对 AI 生成代码的评价更为直接——他认为这类代码缺乏可维护系统所需的架构推理质量低下。问题出在传播环节。忘记代码本身的存在这句话太有诱惑力。它精准地击中了一个痛点编程最难的从来不是敲键盘而是把问题域理解到足以写出正确代码的程度。vibe coding 似乎承诺把这个最难的环节也外包出去。于是人们把它从周末玩具的语境里拎出来套到了生产系统商业产品合规软件上。一个本应被限定在沙盒里的方法论被当成了通用工程实践。这正是后面所有坑的起点。二、AI 是放大器不是替代品把 AI 当替代品的人和把 AI 当放大器的人拿到的结果是两条分叉的曲线。2026 年 6 月的一篇技术评论把这个现象讲得很清楚在使用 AI 之前就高效的开发者用上 AI 之后变得更高效而在 AI 之前就挣扎的开发者产出了更多的代码却未必是更好的软件。工具不会让你变强它只放大你已有的东西。经济学层面的研究给出了更精确的画面。一篇题为It Pays to be the Pilot的论文发现AI 工具对低技能程序员在原始代码量上的提升更显著但真正被合并进项目代码库merged pull requests的代码主要来自更有经验的程序员。换句话说新手产出了更多行数老兵产出了更多被采纳的代码。前者制造噪音后者创造价值。METR 的一项随机对照实验246 个真实任务甚至观察到一个更扎心的现象在需要上下文知识的复杂场景里AI 辅助反而拖慢了有经验开发者的完成速度——因为他们要花时间纠正 AI 的错误假设。但同样的研究也确认AI 对低技能程序员的能力上限有更明显的抬升。把这些数据放在一起模式很清楚开发者类型AI 带来的变化实际产出资深工程师思维加速器快速探索多种实现更多被合并的高质量代码普通工程师产出更多代码行更多代码但审查与调试负担上升初学者能力上限被抬升能跑的东西变多但难以判断对错AI 给每个人发的牌不一样但决定胜负的不是牌是打牌的人。三、坑无处不在AI 代码的安全真相如果说放大器还只是效率层面的冷暖自知那么安全维度上的数据就是真金白银的代价。Veracode 在《2025 年软件安全状况报告》中指出近半数 AI 生成代码未能通过基础的 OWASP Top 10 安全漏洞检测。arXiv 上 2026 年 4 月发表的Broken by Default研究测得更具体AI 生成代码的平均漏洞率是人类编写代码的 2.74 倍高达 55.8%。云安全联盟CSA的研究更触目惊心——在测试的 15 个生产级应用中AI 生成代码在 CSRF 防护这类基础安全控制上的失败率是 100%。趋势同样不乐观。佐治亚理工学院 SSLab 的追踪显示可明确归因于 AI 生成代码的 CVE 漏洞数量从 2025 年 8 月的 2 个飙升到 2026 年 3 月的 35 个。Aikido 在 2026 年的调查中报告69% 的受访者经历过源自 AI 生成代码的漏洞。这些数字背后是一个更隐蔽的敌人正确性幻觉。AI 生成的代码往往能跑起来界面能点接口能通。但能跑和正确之间隔着一条护城河——参数化查询、事务隔离级别、连接池上限、幂等性、竞态条件、索引命中、缓存失效策略、限流与降级。这些恰恰是 AI 在 vibe coding 模式下最容易被忘记的部分因为它们不影响程序运行只影响程序在真实流量下的生死。代码能跑不代表代码对。而判断它对不对需要的正是你打算跳过的那些技术栈知识。四、你的上限为什么就是 AI 的上限AI 的工作方式决定了它无法超越使用者的认知边界。它本质上是基于上下文预测下一个最可能的 token它能组合出的方案受限于你在 prompt 里给出的约束、你在 review 时能识别的问题、你在架构层面做出的取舍。举一个再普通不过的例子。你让 AI 写一个查询某用户所有订单的接口它大概率会给你这样的代码def get_user_orders(user_id, conn): cursor conn.cursor() cursor.execute(fSELECT * FROM orders WHERE user_id {user_id}) return cursor.fetchall()这段代码能跑。对一个不深究技术栈的人它看起来就是完成了需求。但一个真正懂后端的人会看到至少六个坑SQL 注入字符串拼接直接进查询user_id来自外部即致命。未参数化即使没有注入也失去了预编译缓存的性能收益。SELECT *绕过了覆盖索引回表开销随字段数线性增长。无分页一个用户十万条订单时这个接口会拖垮数据库连接池。无事务/连接管理游标泄漏连接不归还高并发下池子耗尽。无异常处理数据库超时直接 500没有降级没有重试边界。这六个坑里没有一个会让程序在测试环境报错。它们只在生产流量、真实数据规模、攻击者输入下才会显形。而识别它们需要的正是深究技术栈——数据库原理、并发模型、安全工程、性能分析。你不懂AI 也不会替你懂因为 AI 根本不知道你打算把这个接口部署在什么样的真实环境里。这还只是一个函数。架构层面的决策更依赖人的判断选强一致还是最终一致用消息队列削峰还是同步限流缓存击穿时返回旧值还是直接熔断这些问题的答案藏在业务特性、流量模型、团队能力里没有标准答案也就没有 AI 能替你拍板的部分。你给出的每一个约束都来自你对技术栈的理解深度你识别不出的问题AI 也不会主动告诉你。更关键的是 review 瓶颈。AI 能在一分钟内生成一千行代码但你能在一分钟内审出一千行代码里的并发 bug 吗审查能力的上限就是你能安全采纳的 AI 代码的上限。生成是廉价的验证是昂贵的而验证能力完全取决于你。五、给普通人配诸葛亮为何打不下汉中回到那个比喻。诸葛亮是顶级谋士但谋士提供的本质是方案与判断不是执行力也不是对战场实况的感知。一个不懂地形、不识粮草、不会判断敌情的主帅即便案头摆着隆中对也无法把它转化成一次成功的战役。谋士放大的是主帅已有的能力而不是凭空制造能力。AI 之于开发者正是如此。它是你认知的投影你问得越精准它答得越到位你能识别的边界条件越多它生成代码里的漏洞就越少你对架构的理解越深它给出的方案就越接近可用。反过来你不懂的部分它会用一种看起来很专业的方式糊弄过去而你甚至意识不到自己被糊弄了。这才是最危险的地方。vibe coding 制造了一种甜蜜的无知——它让你跳过了理解环节直接拿到一个能跑的结果于是你误以为自己掌握了这项能力。心理学上这叫达克效应的加速版能力不足的人不仅做不好还意识不到自己做得不好。AI 把这个意识不到的窗口拉得更长、更舒服因为屏幕上总有一些东西在正常工作。领域知识是不可压缩的。AI 压缩的是执行——把写出这段代码的时间从一小时压缩到一分钟。但它压缩不了判断——这段代码该不该写、写得对不对、放在这个位置会不会出问题。执行可以被杠杆撬动判断只能靠你自己长出来。六、所以还需要深究技术栈吗需要而且比以往任何时候都更需要。只是深究的含义变了。过去深究技术栈很大程度上是为了记住语法、背下 API、熟悉框架的约定。这些恰恰是 AI 最擅长接手的部分。今天还把时间花在死记硬背上是战略上的误判。但技术栈里有一层东西是 AI 接不走的系统思维。数据库为什么在某种查询模式下会慢背后是 B 树与磁盘 IO 的物理特性并发为什么会出 bug背后是内存模型与指令重排分布式系统为什么难背后是 CAP 与共识算法的根本约束。这些不是 API是约束世界的物理定律。你理解它们才能在 AI 给你十个方案时选出对的那个你不理解十个方案对你而言就是十个随机的赌注。新的分工正在成型AI 负责写你负责想和验。写的部分被极大加速想和验的部分因此被推到了能力的最前沿。当生成代码不再是瓶颈判断代码对错就成了唯一的瓶颈——而这个瓶颈完全由你的技术深度决定。这带来一个略带讽刺的结论。vibe coding 时代承诺让技术深度变得不重要结果它让技术深度变得前所未有的重要。因为当人人都能让 AI 吐出代码时区分胜负的就不再是能不能写出来而是能不能判断它对不对、敢不敢让它上线。前者被拉平了后者被放大了。结语Karpathy 提出 vibe coding 时他描述的是一个具体的、有限的、诚实的场景周末、玩具、随手可弃。把它扩张成一种通用工程哲学是后来者的挪用。AI 是另一个你。它不会比你更懂你正在解决的问题它只是把你已经懂的东西以更快的速度铺开。你看得见的坑它能帮你绕过你看不见的坑它会带着你一起跳下去而且跳得比你亲手写还要快。你的上限就是 AI 的上限。这句话在 2025 年是一条推文在 2026 年是一组安全数据在未来则会是无数个凌晨三点被叫起来救火的工程师用代价换来的共识。深究技术栈不是为了和 AI 比谁写代码快而是为了在 AI 帮你写完之后你还能认出哪些地方会塌。参考资料Karpathy 首次提出 vibe coding 的推文与起源natively.devTechRxiv 论文What is Vibe coding and when should you use it (or not)?techrxiv.orgAI Doesnt Make Great Developers. It Amplifies The Skills You Already Have.pietschsoft.comIt Pays to be the Pilot: The Impact of Generative AI Coding Tools on Developer Productivitychristian-wilson.comMETR 随机对照实验与开发者效率研究augmentcode.comVeracode《2025 年软件安全状况报告》与 arXivBroken by Defaultbook118.com云安全联盟Vibe Coding Security Crisislabs.cloudsecurityalliance.org佐治亚理工学院 SSLab AI 代码 CVE 追踪CSDNLinus Torvalds 对 AI 生成代码的评价vallettasoftware.com
Vibe Coding 时代,你的上限就是 AI 的上限
Vibe coding 时代还需要深究技术栈吗 AI 就是另一个你——你的上限决定了 AI 的上限。给一个普通人配诸葛亮也打不下汉中。坑无处不在AI 有多强取决于你有多强。2025 年 2 月 2 日Andrej Karpathy 在 X 上发了一条推文说自己发现了一种新的编程方式叫 vibe coding——完全沉浸在氛围里拥抱指数级进步忘记代码本身的存在。 他当时在用 Cursor 配合语音工具 SuperWhisper 做周末玩具项目。这条推文获得了超过 450 万次浏览vibe coding 后来被 Collins 词典评为 2025 年度词汇。一年多过去这个词被越来越多的人理解为不用懂技术栈也能写软件。这是一个昂贵的误读。在 AI 编程工具开发者渗透率突破 87% 的今天一个反直觉的事实正在被反复验证你对一个领域理解得越浅AI 给你的帮助就越有限甚至在安全与质量维度上为负。AI 不是拉平差距的天平而是放大差距的杠杆。你的上限就是 AI 的上限。一、Vibe Coding 的本意与被偷换的概念Karpathy 的原话有一个常被省略的定语——他描述的是做随手可弃的周末项目throwaway weekend projects时的体验。他自己后来在不同场合表达过保留这种方式的适用边界是那些跑完即弃、不进入生产、不服务真实用户的代码。学术界很快给出了更冷峻的判断。一篇发表在 TechRxiv 的论文对 vibe coding 做了形式化定义后明确指出它不适合作为学习编程的主要工具因为会遮蔽基础概念也不适合大规模或生产级项目因为调试与维护成本过高。Linus Torvalds 对 AI 生成代码的评价更为直接——他认为这类代码缺乏可维护系统所需的架构推理质量低下。问题出在传播环节。忘记代码本身的存在这句话太有诱惑力。它精准地击中了一个痛点编程最难的从来不是敲键盘而是把问题域理解到足以写出正确代码的程度。vibe coding 似乎承诺把这个最难的环节也外包出去。于是人们把它从周末玩具的语境里拎出来套到了生产系统商业产品合规软件上。一个本应被限定在沙盒里的方法论被当成了通用工程实践。这正是后面所有坑的起点。二、AI 是放大器不是替代品把 AI 当替代品的人和把 AI 当放大器的人拿到的结果是两条分叉的曲线。2026 年 6 月的一篇技术评论把这个现象讲得很清楚在使用 AI 之前就高效的开发者用上 AI 之后变得更高效而在 AI 之前就挣扎的开发者产出了更多的代码却未必是更好的软件。工具不会让你变强它只放大你已有的东西。经济学层面的研究给出了更精确的画面。一篇题为It Pays to be the Pilot的论文发现AI 工具对低技能程序员在原始代码量上的提升更显著但真正被合并进项目代码库merged pull requests的代码主要来自更有经验的程序员。换句话说新手产出了更多行数老兵产出了更多被采纳的代码。前者制造噪音后者创造价值。METR 的一项随机对照实验246 个真实任务甚至观察到一个更扎心的现象在需要上下文知识的复杂场景里AI 辅助反而拖慢了有经验开发者的完成速度——因为他们要花时间纠正 AI 的错误假设。但同样的研究也确认AI 对低技能程序员的能力上限有更明显的抬升。把这些数据放在一起模式很清楚开发者类型AI 带来的变化实际产出资深工程师思维加速器快速探索多种实现更多被合并的高质量代码普通工程师产出更多代码行更多代码但审查与调试负担上升初学者能力上限被抬升能跑的东西变多但难以判断对错AI 给每个人发的牌不一样但决定胜负的不是牌是打牌的人。三、坑无处不在AI 代码的安全真相如果说放大器还只是效率层面的冷暖自知那么安全维度上的数据就是真金白银的代价。Veracode 在《2025 年软件安全状况报告》中指出近半数 AI 生成代码未能通过基础的 OWASP Top 10 安全漏洞检测。arXiv 上 2026 年 4 月发表的Broken by Default研究测得更具体AI 生成代码的平均漏洞率是人类编写代码的 2.74 倍高达 55.8%。云安全联盟CSA的研究更触目惊心——在测试的 15 个生产级应用中AI 生成代码在 CSRF 防护这类基础安全控制上的失败率是 100%。趋势同样不乐观。佐治亚理工学院 SSLab 的追踪显示可明确归因于 AI 生成代码的 CVE 漏洞数量从 2025 年 8 月的 2 个飙升到 2026 年 3 月的 35 个。Aikido 在 2026 年的调查中报告69% 的受访者经历过源自 AI 生成代码的漏洞。这些数字背后是一个更隐蔽的敌人正确性幻觉。AI 生成的代码往往能跑起来界面能点接口能通。但能跑和正确之间隔着一条护城河——参数化查询、事务隔离级别、连接池上限、幂等性、竞态条件、索引命中、缓存失效策略、限流与降级。这些恰恰是 AI 在 vibe coding 模式下最容易被忘记的部分因为它们不影响程序运行只影响程序在真实流量下的生死。代码能跑不代表代码对。而判断它对不对需要的正是你打算跳过的那些技术栈知识。四、你的上限为什么就是 AI 的上限AI 的工作方式决定了它无法超越使用者的认知边界。它本质上是基于上下文预测下一个最可能的 token它能组合出的方案受限于你在 prompt 里给出的约束、你在 review 时能识别的问题、你在架构层面做出的取舍。举一个再普通不过的例子。你让 AI 写一个查询某用户所有订单的接口它大概率会给你这样的代码def get_user_orders(user_id, conn): cursor conn.cursor() cursor.execute(fSELECT * FROM orders WHERE user_id {user_id}) return cursor.fetchall()这段代码能跑。对一个不深究技术栈的人它看起来就是完成了需求。但一个真正懂后端的人会看到至少六个坑SQL 注入字符串拼接直接进查询user_id来自外部即致命。未参数化即使没有注入也失去了预编译缓存的性能收益。SELECT *绕过了覆盖索引回表开销随字段数线性增长。无分页一个用户十万条订单时这个接口会拖垮数据库连接池。无事务/连接管理游标泄漏连接不归还高并发下池子耗尽。无异常处理数据库超时直接 500没有降级没有重试边界。这六个坑里没有一个会让程序在测试环境报错。它们只在生产流量、真实数据规模、攻击者输入下才会显形。而识别它们需要的正是深究技术栈——数据库原理、并发模型、安全工程、性能分析。你不懂AI 也不会替你懂因为 AI 根本不知道你打算把这个接口部署在什么样的真实环境里。这还只是一个函数。架构层面的决策更依赖人的判断选强一致还是最终一致用消息队列削峰还是同步限流缓存击穿时返回旧值还是直接熔断这些问题的答案藏在业务特性、流量模型、团队能力里没有标准答案也就没有 AI 能替你拍板的部分。你给出的每一个约束都来自你对技术栈的理解深度你识别不出的问题AI 也不会主动告诉你。更关键的是 review 瓶颈。AI 能在一分钟内生成一千行代码但你能在一分钟内审出一千行代码里的并发 bug 吗审查能力的上限就是你能安全采纳的 AI 代码的上限。生成是廉价的验证是昂贵的而验证能力完全取决于你。五、给普通人配诸葛亮为何打不下汉中回到那个比喻。诸葛亮是顶级谋士但谋士提供的本质是方案与判断不是执行力也不是对战场实况的感知。一个不懂地形、不识粮草、不会判断敌情的主帅即便案头摆着隆中对也无法把它转化成一次成功的战役。谋士放大的是主帅已有的能力而不是凭空制造能力。AI 之于开发者正是如此。它是你认知的投影你问得越精准它答得越到位你能识别的边界条件越多它生成代码里的漏洞就越少你对架构的理解越深它给出的方案就越接近可用。反过来你不懂的部分它会用一种看起来很专业的方式糊弄过去而你甚至意识不到自己被糊弄了。这才是最危险的地方。vibe coding 制造了一种甜蜜的无知——它让你跳过了理解环节直接拿到一个能跑的结果于是你误以为自己掌握了这项能力。心理学上这叫达克效应的加速版能力不足的人不仅做不好还意识不到自己做得不好。AI 把这个意识不到的窗口拉得更长、更舒服因为屏幕上总有一些东西在正常工作。领域知识是不可压缩的。AI 压缩的是执行——把写出这段代码的时间从一小时压缩到一分钟。但它压缩不了判断——这段代码该不该写、写得对不对、放在这个位置会不会出问题。执行可以被杠杆撬动判断只能靠你自己长出来。六、所以还需要深究技术栈吗需要而且比以往任何时候都更需要。只是深究的含义变了。过去深究技术栈很大程度上是为了记住语法、背下 API、熟悉框架的约定。这些恰恰是 AI 最擅长接手的部分。今天还把时间花在死记硬背上是战略上的误判。但技术栈里有一层东西是 AI 接不走的系统思维。数据库为什么在某种查询模式下会慢背后是 B 树与磁盘 IO 的物理特性并发为什么会出 bug背后是内存模型与指令重排分布式系统为什么难背后是 CAP 与共识算法的根本约束。这些不是 API是约束世界的物理定律。你理解它们才能在 AI 给你十个方案时选出对的那个你不理解十个方案对你而言就是十个随机的赌注。新的分工正在成型AI 负责写你负责想和验。写的部分被极大加速想和验的部分因此被推到了能力的最前沿。当生成代码不再是瓶颈判断代码对错就成了唯一的瓶颈——而这个瓶颈完全由你的技术深度决定。这带来一个略带讽刺的结论。vibe coding 时代承诺让技术深度变得不重要结果它让技术深度变得前所未有的重要。因为当人人都能让 AI 吐出代码时区分胜负的就不再是能不能写出来而是能不能判断它对不对、敢不敢让它上线。前者被拉平了后者被放大了。结语Karpathy 提出 vibe coding 时他描述的是一个具体的、有限的、诚实的场景周末、玩具、随手可弃。把它扩张成一种通用工程哲学是后来者的挪用。AI 是另一个你。它不会比你更懂你正在解决的问题它只是把你已经懂的东西以更快的速度铺开。你看得见的坑它能帮你绕过你看不见的坑它会带着你一起跳下去而且跳得比你亲手写还要快。你的上限就是 AI 的上限。这句话在 2025 年是一条推文在 2026 年是一组安全数据在未来则会是无数个凌晨三点被叫起来救火的工程师用代价换来的共识。深究技术栈不是为了和 AI 比谁写代码快而是为了在 AI 帮你写完之后你还能认出哪些地方会塌。参考资料Karpathy 首次提出 vibe coding 的推文与起源natively.devTechRxiv 论文What is Vibe coding and when should you use it (or not)?techrxiv.orgAI Doesnt Make Great Developers. It Amplifies The Skills You Already Have.pietschsoft.comIt Pays to be the Pilot: The Impact of Generative AI Coding Tools on Developer Productivitychristian-wilson.comMETR 随机对照实验与开发者效率研究augmentcode.comVeracode《2025 年软件安全状况报告》与 arXivBroken by Defaultbook118.com云安全联盟Vibe Coding Security Crisislabs.cloudsecurityalliance.org佐治亚理工学院 SSLab AI 代码 CVE 追踪CSDNLinus Torvalds 对 AI 生成代码的评价vallettasoftware.com
