AI代碼的“屎山危機”才剛剛開始

從“文科生72小時寫代碼”的跨界神話，到開源社區遭遇的“垃圾代碼DDoS攻擊”，數據揭示了一個殘酷真相：當代碼生成的邊際成本趨近于零，人類審查的代價卻未隨之降低。本文深度復盤Vibe Coding引發的行業震蕩，看這場關于“氛圍”的豪賭，如何演變成一場席卷App Store與GitHub的“AI垃圾末日”。

———— / BEGIN / ————

蘋果剛剛把一款名為Anything的應用從App Store徹底下架。這款應用在2025年9月以1億美元估值融資1100萬美元，上線以來幫助用戶發布了數千款應用。下架理由是違反了App Store審核指南第2.5.2條——禁止應用下載或執行未經審核的代碼。在此之前，蘋果已經凍結了Replit和Vibecode等同類工具的更新，持續時間長達數月。

這些被封殺的工具有一個共同的名字：Vibe Coding（氛圍編程）。

這個概念由OpenAI聯合創始人Andrej Karpathy在2025年2月提出，核心理念是“完全跟著感覺走，擁抱指數增長，忘掉代碼本身的存在”。它被柯林斯詞典評為2025年度詞匯。

如今，它正在重塑軟件開發的門檻，同時也在制造前所未有的混亂。

圖片由AI生成

跨界神話：文科生寫代碼，然后呢？

Vibe Coding最具傳播力的敘事，是“不會寫代碼的人也能做出應用”。

2026年2月，媒體報道了一位名叫楊天潤的中國創業者。天潤本科和研究生學的是金融，畢業后做并購投資，從未寫過一行代碼。但他用AI工具在72小時內為GitHub上的明星開源項目OpenClaw貢獻了代碼，躋身貢獻者前30名，排在他前后的，是一群擁有十年以上開發經驗的硅谷工程師。“文科生72小時殺入GitHub全球榜”的標題迅速刷屏，成為Vibe Coding跨界敘事的標桿案例。

但這篇報道中最值得注意的細節，卻被過濾掉了。天潤本人在采訪中坦承：“Vibe Coding只適合做Demo，不適合做產品。當你只是想做一個簡單的網頁，它很完美；但當你要做一個復雜的商業軟件時，它就可能會亂成一鍋粥。”他后來轉向了一種被他稱為“Agentic Engineering”的方法，讓AI自主執行完整的工作流，而不是隨意接受每一段AI輸出。

換言之，主角自己也強調人類把關的重要性，純粹的Vibe Coding走不通。

類似的“跨界成功”敘事在社交媒體上被大量復制，宣稱“文科生的優勢比想象中大得多”；各類課程承諾零基礎也能5分鐘做出AI應用。但是，當項目復雜度超越簡單網頁“涉及用戶認證、數據庫連接、支付接口、異常處理等等”，沒有編程基礎的人就會撞上一堵看不見的墻。

這堵墻有多高？Vibe Coding平臺Lovable提供了最觸目驚心的數據。

2025年5月，Replit員工Matt Palmer掃描了1645個在Lovable上創建的網站應用，發現其中170個（約10.3%）存在嚴重安全漏洞，任何人無需登錄即可訪問用戶數據庫，獲取姓名、電子郵件、財務信息和API密鑰。

Palantir工程師Daniel Asaria用47分鐘就從多個Lovable展示的應用中提取了個人債務金額、家庭住址和敏感提示詞。安全研究公司Escape后來對5600多個Vibe Coding應用進行了更大范圍的掃描，發現超過2000個安全漏洞、400多個暴露的密鑰以及175例個人隱私數據泄露，包括醫療記錄和銀行賬號。這些應用的創建者大多不具備任何安全知識。

問題的根源不在于“文科生不該碰代碼”，在于一個在媒體傳播中被忽略的事實：軟件開發的難度從來不只在“寫出能運行的代碼”。架構設計、安全審計、邊界條件處理、數據庫權限配置、長期可維護性，這些才是專業工程師花費多年積累的核心能力。

QA已死，亂拳打死老師傅

VibeCoding讓人人能夠用自然語言編程，也造成了各種應用量的暴增。

據Sensor Tower數據，2025年12月美國iOS應用發布量同比增長56%，2026年1月同比增長54.8%，均創下四年來最快增速。據Appfigures統計，2025年App Store新提交應用達55.7萬款，較2024年增長24%，是2016年以來最大一波新增浪潮。

與此同時，傳統軟件上線的流程正在被跳過。

在傳統的軟件開發模式中，一款應用從構想到上架需要經歷需求分析、系統設計、編碼實現、代碼評審、QA測試（產品正式給用戶用之前，先反復檢查有沒有 bug、卡頓、報錯或體驗問題）、安全審計、性能優化、合規檢查等多個環節，通常耗時數周到數月，涉及產品經理、開發工程師、測試工程師和安全團隊的協作。每一個環節都是質量的安全閥。

Vibe Coding把這個流程壓縮到了極限。一位大廠AI工程師直言：“現在Vibe Coding造垃圾軟件碰運氣，實在是消耗用戶的時間。很多人想的是我造一堆，萬一哪個成了呢，反正又沒什么成本。”

制作一款最低可行應用變得極其簡單，這些人批量生產數十款應用定期提交，賭的是只要有少量應用內購買就能賺一筆。如果一款應用沒有起色，24小時內可以再上線另一款。即便被平臺標記為垃圾應用甚至遭到拒絕，懲罰也幾乎可以忽略，一個蘋果開發者賬戶年費僅99美元，被封禁后換一個賬戶重新注冊的成本遠低于一輪審核給蘋果團隊帶來的時間消耗。

來自紐約的35歲氛圍編程用戶James Steinberg坦言，他認為App Store正被“像我這樣提交大量應用的人”淹沒，他的一款應用已等待審核長達六周。

蘋果回應稱，90%的提交仍在48小時內完成審核，過去12周每周處理超過20萬份提交，平均審核時間為1.5天。但開發者社區的感受與官方數據存在落差。Reddit的iOS開發社區中，多個帖子反映審核時間明顯延長，一些長期運營的應用甚至開始收到“垃圾應用”標記或“不再達到最低質量標準”的警告。

垃圾代碼正在向上游蔓延

Vibe Coding對開源社區的沖擊更具系統性風險。

cURL創始人Daniel Stenberg在2026年1月關閉了運行六年的漏洞賞金計劃。原因不是預算，是AI生成的虛假漏洞報告淹沒了維護團隊。在關閉前的三周內，cURL收到了20份提交，沒有一份確認為真正的安全漏洞。

Stenberg在FOSDEM 2026大會上透露，2025年前cURL收到的安全報告中大約六分之一是有效的；到2025年底，這一比例已降至二十分之一甚至三十分之一。他將這種現象稱為“對開源的DDoS攻擊”。

這不是孤例。Ghostty創建者Mitchell Hashimoto在2026年初禁止了所有未經審核的AI生成代碼貢獻，并推出了基于信任的Vouch系統。tldraw項目負責人Steve Ruiz說：“我們近期看到大量完全由AI工具生成的貢獻。雖然部分在形式上是正確的，但大多數存在背景不完整、對代碼庫理解有誤、提交者幾乎沒有后續跟進等問題。”

一位大廠AI工程師對騰訊科技總結了這個鏈條的完整圖景：“開發者提交Vibe垃圾PR（Pull Request），坑的是開源維護者；安全人員提交Vibe垃圾漏洞，坑的是漏洞審核員。完全不尊重別人的時間。”

在通常的開發流程里，開發者寫完一部分代碼后，會把這次修改提交成一個 PR，交給同事審核。審核通過后，這些代碼才會被合并進主分支。如果用一種比較“vibe coding”式、隨手糊出來的方式寫代碼，然后提交了一個質量很差的代碼合并請求。

持續下去，就好像堆砌了一座越來越高的“代碼屎山”。最終坑的是所有認真維護開源代碼的人。

Voiceflow基礎設施負責人Xavier Portilla Edo給出了一個量化判斷：“AI生成的PR中，只有十分之一是合理的，其他九個浪費了維護者的時間。”GitHub在2026年2月推出了兩項新的倉庫設置，允許完全禁用Pull Request，或限制為僅協作者可提交。當平臺本身開始提供“關閉閥門”的功能，說明問題已經是結構性的。

Vibe Coding效率真的高了嗎？

最后，回到一個根本性的問題。在VibeCoding讓垃圾代碼數量飆升的同時，真的提高了編程效率嗎？

答案有些復雜。

AI編程工具的擁護者常引用的數據是開發效率提升26%至56%。但METR（Model Evaluation & Threat Research）在2025年發表的一項隨機對照實驗講述了不同的故事。16名資深開源開發者在他們熟悉的大型代碼倉庫中完成246個真實任務，被隨機分配是否允許使用AI工具。結果顯示：使用AI工具的開發者實際完成任務的時間延長了19%，AI讓他們變慢了。而開發者本人在實驗前預計AI會讓他們快24%，實驗后仍然認為自己快了20%。

當人們“感覺”更高效時，他們可能正在生產更多未經充分審查的代碼。2025年Stack Overflow開發者調查顯示，對AI準確性的信任從前一年的40%降至29%，46%的開發者明確表示不信任AI工具的準確性。

這種效率幻覺的真正代價最終由誰承擔？

一篇2026年1月發表的學術論文《Vibe Coding Kills Open Source》提供了更宏觀的警告。來自中歐大學和基爾研究所的經濟學家指出，AI降低了使用和構建開源代碼的成本，但同時削弱了維護者賴以獲得回報的用戶互動。

Tailwind CSS的創建者Adam Wathan在2026年1月披露：盡管Tailwind的月下載量達到7500萬次，但文檔流量較2023年初下降了約40%，收入下滑近80%。“文檔是人們發現我們商業產品的唯一渠道，沒有客戶我們就無法維持框架的開發。”

犯錯的成本從未如此之低。生成一段有漏洞的代碼只需幾秒，但審查、修復和清理這些產出的成本，仍然完全由人類承擔。

當代碼生成的成本趨近于零而審查的成本保持不變，這個體系就已經失衡了。正如RedMonk分析師Kate Holterhoff所命名的，這是一場“AI Slopageddon”（AI垃圾末日）。

技術的進步不應以將責任外部化為代價，而Vibe Coding的現狀，正是對這一原則最直接的挑戰。

AI可以替代打字，但無法替代判斷。正如Y Combinator CEO Garry Tan所承認的，即使是YC中那些95%代碼由AI生成的創業公司，創始團隊也具有深厚的技術背景，他們有能力從零開始手寫代碼。

AI時代比以往任何時候都更需要專業判斷。

本文來自公眾號：騰訊科技 作者：曉靜 編輯：徐青陽