微软裁掉3成代码审查岗后，技术总监发现自己成了"交警"

去年Q3，某头部云厂商的技术VP在内部会上甩出一组数字：AI辅助生成的代码占比突破62%，而人工代码审查的工时同比暴跌47%。他没说完的后半句是——剩下的审查时间，80%花在争论"这行日志算不算PII（个人身份信息）"。

当AI开始批量生产代码，人类工程师的战场正在从键盘转向规则手册。

01 那个不写代码的下午

张磊（化名）在某独角兽公司带40人后端团队，上周他经历了职业生涯最荒诞的半天。下午两点，组里应届生小李用Cursor（AI编程工具）两小时肝完一个支付网关模块，直接提交到预发环境，全程没@任何人。

张磊发现时，代码已经跑在测试集群里。他点开提交记录：AI生成的注释比人写的还工整，单元测试覆盖率91%，但日志里大喇喇印着用户手机号。"小李，PII（个人身份信息）规范看过吗？"张磊在群里问。回复来得很快："我问过Cursor，它说加了mask（脱敏）处理。"

实际检查：AI确实写了mask函数，但只在主流程调用，异常分支里手机号裸奔。

这不是个例。GitHub 2024年报告显示，AI辅助提交中涉及敏感数据泄露的比例同比上升了340%。问题不在于AI不懂安全，而在于它不懂"上下文"——同一个手机号字段，在日志里是PII，在风控模型里是特征，在客服系统里是查询键，AI无法自动判断该用哪套规则。

02 技术领导层的"失重感"

传统工程管理的控制点正在一个个失效。代码审查？AI工具如CodeRabbit、PR-Agent能在秒级给出风格建议和漏洞扫描，人类审查员沦为"盖章机器"。架构评审？微服务拆分越来越细碎，单个服务的改动影响半径被AI的自动化测试掩盖，全局耦合性只有在生产环境爆炸时才暴露。

更隐蔽的断裂发生在知识传递层。资深工程师过去通过结对编程、设计评审把架构意图"腌"进团队文化，现在 junior（初级工程师）直接和AI对话，跳过了中间层。某金融科技公司CTO跟我吐槽："我们花三年建立的领域模型规范，AI三个月就给我稀释成'能跑就行'。"

领导力的物理基础消失了——你不再能通过"看代码"来感知系统健康。

这种失重感催生了奇怪的补偿行为。张磊的团队现在每周开"规则对齐会"，不聊实现细节，只聊"什么情况下允许AI自动生成API接口"。会议纪要比代码规范还厚。另一家中厂的技术总监更极端：他要求所有AI生成代码必须附带"决策日志"——AI为什么选这个方案、排除了哪些替代选项、置信度多少。

听起来像审计，不像工程。

03 从"写代码的人"到"定规则的人"

原文作者抛出的判断很锋利：当AI成为劳动力，人类角色转向治理（governance）。但"治理"这个词太抽象，拆解成三个具体动作会更清楚——

第一，把模糊标准变成可执行约束。前面提到的PII问题，真正的解法不是让AI"更聪明"，而是把"什么是PII"写成机器可读的规则集。Netflix开源的PolicyEngine、Google的Binary Authorization都是这个思路：人类定义边界，AI在边界内自治。代价是规则维护本身成为新工种，某电商公司专门招了5个"合规工程师"，不写业务代码，只维护数据分类规则库。

第二，建立系统级的观测能力。既然无法逐行审查，就必须能实时感知"形状漂移"。Datadog、Honeycomb这类可观测性平台正在从"监控工具"变成"治理基础设施"——不是告诉你CPU多少，而是告诉你"过去30天，支付服务的领域模型引用模式是否偏离主分支"。这要求技术领导层重新理解系统：从"代码的集合"变成"规则的涌现"。

第三，设计人机协作的故障兜底。AI生成代码的最危险时刻不是出错，而是"看起来没错"。某自动驾驶公司的做法是：所有AI生成的关键路径代码，必须人工编写对应的"反事实测试"——假设AI漏掉了什么，怎么在运行时捕获。这相当于给AI上保险，保险条款由人类制定。

04 那个没被回答的问题

今年3月，Gartner修正了对AI编程的预测：到2027年，80%的企业将要求AI生成代码通过"可解释性审查"，而2024年这个比例不到15%。数字背后是一个未被充分讨论的张力——

如果技术领导层的核心价值从"技术判断力"转向"规则设计力"，那些靠写代码升上来的总监、VP们，准备好转型了吗？

张磊给我看了他最近的书单：《立法技术原理》《组织规则演化》《复杂系统治理》。没有一本是技术书。他说现在最焦虑的时刻，不是看到烂代码，而是发现团队里没人能写清楚"为什么这个字段在这里算敏感数据"。

AI把编码变成了廉价资源，但"定义什么是正确的"突然变得稀缺且昂贵。某次酒后他跟我算了一笔账：公司每年在AI编程工具上花200万，但请合规顾问梳理数据分类体系花了600万，后者还在涨。

这笔账，多少技术团队还没开始算？