盲目Vibe Coding必将酿成大祸别再乱搞了大家好我是HLAIA光子。最近一年一个叫Vibe Coding的概念火遍全网。大意是你不需要会写代码只要用自然语言指挥AI就能做出完整的应用。听起来很美但现实是大量完全不懂代码的人用AI生成了一堆定时炸弹然后把这些炸弹推到了公开仓库里。2025年GitHub上泄露的密钥数量达到了2900万条同比增长34%创历史新高。这不是巧合。一个被阉割的概念2025年2月OpenAI联合创始人Andrej Karpathy发了一条推文说自己用自然语言指挥AI写代码戏称之为Vibe Coding。但他紧接着说了一句话这只适合周末抛弃项目的黑客玩法。Karpathy 2025年2月发布的vibe coding原始推文来源CodeRabbit博客注意到了吗后半段被截掉了。Karpathy说的原话是vibe coding…I just write things, I barely even look at it——他把自己都定位成一个不严肃的玩家。但传到国内周末抛弃项目这个关键定语消失了传着传着就变成 “不会写代码也能编程”。接下来的一年里无数完全不懂代码的人拿起AI工具宣布自己会编程了。他们在GitHub上推代码在社交媒体上宣称程序员要死了在技术论坛上对从业者指指点点。然后灾难开始发生。2900万个密钥GitGuardian发布的《2025年Secret蔓延状态报告》给出了一个触目惊心的数字GitHub公开仓库泄露的Secrets总量约2900万条同比增长34%是历史最大增幅。更离谱的是泄露后两年仍处于活跃状态的Secrets比例高达70%。没有人去撤销没有人去轮换。暗网上攻击者已经把这些泄露的密钥工业化分类出售AWS密钥一组、GCP密钥一组、金融API一组、SaaS Token一组。Fresh GitHub Keys成了一门生意。还有一个数据使用Claude Code等AI编程工具的公开提交中秘密泄露率约为3.2%是GitHub整体基线的两倍。原因很简单AI模型的目标函数是让代码跑起来不是让代码安全。它帮你生成了功能完整的代码顺手把API Key硬编码在源文件里。它能跑但它是个定时炸弹。启用Copilot的仓库密钥泄露率对比来源GitGuardian这张图很直观左边是未启用Copilot的仓库密钥泄露率右边是启用了的。差距不是一点半点。Copilot帮你写得又快又多但它不会提醒你嘿你刚才让我把Stripe密钥写进index.js了。真金白银的教训先说一个学生的故事。一名计算机专业学生把Google Gemini API密钥推到了GitHub。他以为仓库是私有的它不是。攻击者发现后长期调用该密钥直到账单飙升到55,444.78美元。再说一个更离谱的。安全公司Vicarius发现超过5000个公开GitHub仓库和3000个生产网站暴露了硬编码的ChatGPT API密钥。不是几个是8000多个。而DeepSeek API Key被泄露的数量更是达到了11万个。还有一个更典型的Vibe Coding受害者一位用户用氛围编程构建了一个图像生成应用Provider API Key直接暴露在前端代码中。一觉醒来余额清零。这些案例有一个共同点当事人完全不知道自己的行为意味着什么。他们不知道.env是干什么的不知道.gitignore该怎么写不知道API Key不应该出现在源代码里。AI帮他们生成了能跑的代码但也帮他们把钥匙放在了门口的垫子下面。91.5%都有漏洞安全公司Escape.tech扫描了5600个vibe coding构建的应用。结果发现2000高影响漏洞、400个暴露的秘密、175个个人身份信息泄露。2026年Q1评估的200多个应用中91.5%包含至少一个可追溯到AI生成代码的漏洞。Escape.tech对5600个Vibe Coding应用的安全审计来源Escape.tech这不是小概率事件这是系统性问题。学术界早就下了判决纽约大学Tandon网络安全中心的里程碑论文通过89个场景生成1689个程序发现约40%存在安全漏洞。后续研究补充29.5%的Python和24.2%的JavaScript Copilot生成代码片段含安全缺陷。卡内基梅隆大学发现AI生成的代码中61%功能正确但只有10.5%安全。能跑起来不等于跑得安全。Georgia Tech的研究者在AI生成代码中找到了74个已确认漏洞其中14个严重级。包括命令注入等高危漏洞。Forbes报道AI生成代码的安全漏洞比人类编写代码高出2.74倍逻辑和正确性问题多出75%。来自斯坦福大学的发现使用AI助手的开发者写出了更多安全漏洞而且他们对自己的代码安全性过度自信。代码克隆/重复块比例逐年上升趋势来源GitClear 2025)说一个我自己的感受现在的开发会用ai来辅助比如Claude Code、codex这些。这些工具确实能提升我的效率但我很清楚一点**人要能在AI生成代码中发现问题是需要有足够的工程经验来判断哪里可能出错。**一个完全不懂代码的人用同样的工具得到的结果截然不同。AI不具有全局视野在一个工程里ai 的视野是局部的你可以用 Harness 去约束 ai用记忆机制去让 ai 记得项目架构和项目约定但是”注意力机制”天生有缺陷它只能关注当前上下文窗口里的内容。AI在生成一段代码的时候它的注意力基本放在”这段逻辑对不对、功能能不能跑通”上如果不加约束大概率安全意识比较薄弱。AI也不知道你的项目整体长什么样它看不到隔壁那个暴露在公网的接口看不到你的仓库是public还是private看不到你的部署环境有没有基本的安全防护。它在局部做了正确的事但在全局挖坑、埋雷、拉屎。会用量角器和会盖楼36氪2025年报道了一个新职位Vibe Code Cleanup Specialist氛围编程代码清理专家。自由开发者被雇来修复AI生成的烂代码但客户往往不知道问题出在哪里也不愿意付足够的时间和预算来修复。这就是Vibe Coding的现实用AI 10分钟写出来的东西可能需要专业人员10小时来修复。Dave Farley知名软件工程师直接说Vibe Coding是2025年最糟糕的想法。编程的核心在于问题理解与精确表达这不是靠氛围能解决的。Dave Farley在YouTube发布视频批评Vibe Coding来源YouTubeStack Overflow官方博客写得更直白不具备代码知识就进行Vibe Coding的人构成了新型最糟糕的程序员。甚至连Karpathy本人都在2026年初表示正在超越这个概念。OpenAI的欧盟开发者负责人也公开反对Vibe Coding。说白了会用ChatGPT生成一段代码和会编程之间的距离大概就是会用量角器和会盖楼之间的距离。工具降低了门槛但没有消除门槛。你不知道自己在做什么的时候AI只会让你更快地做错事情。写在最后这篇文章不是在说AI编程工具不好我自己每天都在用。那些完全不懂代码、拿着AI工具就觉得自己是全栈工程师的人你们制造的每一个漏洞、每一次密钥泄露、每一个安全灾难最终都要由真正懂行的人来收拾。出了事谁背锅所以工具是工具能力是能力。AI让编程的门槛降低了但安全地使用AI编程的门槛一点都没降。你依然需要理解代码在做什么依然需要知道API Key不能硬编码依然需要了解基本的网络安全常识。如果你觉得这篇文章有帮助点赞关注点点赞~
盲目Vibe Coding必将酿成大祸!别再乱搞了!
盲目Vibe Coding必将酿成大祸别再乱搞了大家好我是HLAIA光子。最近一年一个叫Vibe Coding的概念火遍全网。大意是你不需要会写代码只要用自然语言指挥AI就能做出完整的应用。听起来很美但现实是大量完全不懂代码的人用AI生成了一堆定时炸弹然后把这些炸弹推到了公开仓库里。2025年GitHub上泄露的密钥数量达到了2900万条同比增长34%创历史新高。这不是巧合。一个被阉割的概念2025年2月OpenAI联合创始人Andrej Karpathy发了一条推文说自己用自然语言指挥AI写代码戏称之为Vibe Coding。但他紧接着说了一句话这只适合周末抛弃项目的黑客玩法。Karpathy 2025年2月发布的vibe coding原始推文来源CodeRabbit博客注意到了吗后半段被截掉了。Karpathy说的原话是vibe coding…I just write things, I barely even look at it——他把自己都定位成一个不严肃的玩家。但传到国内周末抛弃项目这个关键定语消失了传着传着就变成 “不会写代码也能编程”。接下来的一年里无数完全不懂代码的人拿起AI工具宣布自己会编程了。他们在GitHub上推代码在社交媒体上宣称程序员要死了在技术论坛上对从业者指指点点。然后灾难开始发生。2900万个密钥GitGuardian发布的《2025年Secret蔓延状态报告》给出了一个触目惊心的数字GitHub公开仓库泄露的Secrets总量约2900万条同比增长34%是历史最大增幅。更离谱的是泄露后两年仍处于活跃状态的Secrets比例高达70%。没有人去撤销没有人去轮换。暗网上攻击者已经把这些泄露的密钥工业化分类出售AWS密钥一组、GCP密钥一组、金融API一组、SaaS Token一组。Fresh GitHub Keys成了一门生意。还有一个数据使用Claude Code等AI编程工具的公开提交中秘密泄露率约为3.2%是GitHub整体基线的两倍。原因很简单AI模型的目标函数是让代码跑起来不是让代码安全。它帮你生成了功能完整的代码顺手把API Key硬编码在源文件里。它能跑但它是个定时炸弹。启用Copilot的仓库密钥泄露率对比来源GitGuardian这张图很直观左边是未启用Copilot的仓库密钥泄露率右边是启用了的。差距不是一点半点。Copilot帮你写得又快又多但它不会提醒你嘿你刚才让我把Stripe密钥写进index.js了。真金白银的教训先说一个学生的故事。一名计算机专业学生把Google Gemini API密钥推到了GitHub。他以为仓库是私有的它不是。攻击者发现后长期调用该密钥直到账单飙升到55,444.78美元。再说一个更离谱的。安全公司Vicarius发现超过5000个公开GitHub仓库和3000个生产网站暴露了硬编码的ChatGPT API密钥。不是几个是8000多个。而DeepSeek API Key被泄露的数量更是达到了11万个。还有一个更典型的Vibe Coding受害者一位用户用氛围编程构建了一个图像生成应用Provider API Key直接暴露在前端代码中。一觉醒来余额清零。这些案例有一个共同点当事人完全不知道自己的行为意味着什么。他们不知道.env是干什么的不知道.gitignore该怎么写不知道API Key不应该出现在源代码里。AI帮他们生成了能跑的代码但也帮他们把钥匙放在了门口的垫子下面。91.5%都有漏洞安全公司Escape.tech扫描了5600个vibe coding构建的应用。结果发现2000高影响漏洞、400个暴露的秘密、175个个人身份信息泄露。2026年Q1评估的200多个应用中91.5%包含至少一个可追溯到AI生成代码的漏洞。Escape.tech对5600个Vibe Coding应用的安全审计来源Escape.tech这不是小概率事件这是系统性问题。学术界早就下了判决纽约大学Tandon网络安全中心的里程碑论文通过89个场景生成1689个程序发现约40%存在安全漏洞。后续研究补充29.5%的Python和24.2%的JavaScript Copilot生成代码片段含安全缺陷。卡内基梅隆大学发现AI生成的代码中61%功能正确但只有10.5%安全。能跑起来不等于跑得安全。Georgia Tech的研究者在AI生成代码中找到了74个已确认漏洞其中14个严重级。包括命令注入等高危漏洞。Forbes报道AI生成代码的安全漏洞比人类编写代码高出2.74倍逻辑和正确性问题多出75%。来自斯坦福大学的发现使用AI助手的开发者写出了更多安全漏洞而且他们对自己的代码安全性过度自信。代码克隆/重复块比例逐年上升趋势来源GitClear 2025)说一个我自己的感受现在的开发会用ai来辅助比如Claude Code、codex这些。这些工具确实能提升我的效率但我很清楚一点**人要能在AI生成代码中发现问题是需要有足够的工程经验来判断哪里可能出错。**一个完全不懂代码的人用同样的工具得到的结果截然不同。AI不具有全局视野在一个工程里ai 的视野是局部的你可以用 Harness 去约束 ai用记忆机制去让 ai 记得项目架构和项目约定但是”注意力机制”天生有缺陷它只能关注当前上下文窗口里的内容。AI在生成一段代码的时候它的注意力基本放在”这段逻辑对不对、功能能不能跑通”上如果不加约束大概率安全意识比较薄弱。AI也不知道你的项目整体长什么样它看不到隔壁那个暴露在公网的接口看不到你的仓库是public还是private看不到你的部署环境有没有基本的安全防护。它在局部做了正确的事但在全局挖坑、埋雷、拉屎。会用量角器和会盖楼36氪2025年报道了一个新职位Vibe Code Cleanup Specialist氛围编程代码清理专家。自由开发者被雇来修复AI生成的烂代码但客户往往不知道问题出在哪里也不愿意付足够的时间和预算来修复。这就是Vibe Coding的现实用AI 10分钟写出来的东西可能需要专业人员10小时来修复。Dave Farley知名软件工程师直接说Vibe Coding是2025年最糟糕的想法。编程的核心在于问题理解与精确表达这不是靠氛围能解决的。Dave Farley在YouTube发布视频批评Vibe Coding来源YouTubeStack Overflow官方博客写得更直白不具备代码知识就进行Vibe Coding的人构成了新型最糟糕的程序员。甚至连Karpathy本人都在2026年初表示正在超越这个概念。OpenAI的欧盟开发者负责人也公开反对Vibe Coding。说白了会用ChatGPT生成一段代码和会编程之间的距离大概就是会用量角器和会盖楼之间的距离。工具降低了门槛但没有消除门槛。你不知道自己在做什么的时候AI只会让你更快地做错事情。写在最后这篇文章不是在说AI编程工具不好我自己每天都在用。那些完全不懂代码、拿着AI工具就觉得自己是全栈工程师的人你们制造的每一个漏洞、每一次密钥泄露、每一个安全灾难最终都要由真正懂行的人来收拾。出了事谁背锅所以工具是工具能力是能力。AI让编程的门槛降低了但安全地使用AI编程的门槛一点都没降。你依然需要理解代码在做什么依然需要知道API Key不能硬编码依然需要了解基本的网络安全常识。如果你觉得这篇文章有帮助点赞关注点点赞~
