AI代码的“屎山危机”才刚刚开始

从“文科生72小时写代码”的跨界神话，到开源社区遭遇的“垃圾代码DDoS攻击”，数据揭示了一个残酷真相：当代码生成的边际成本趋近于零，人类审查的代价却未随之降低。本文深度复盘Vibe Coding引发的行业震荡，看这场关于“氛围”的豪赌，如何演变成一场席卷App Store与GitHub的“AI垃圾末日”。

———— / BEGIN / ————

苹果刚刚把一款名为Anything的应用从App Store彻底下架。这款应用在2025年9月以1亿美元估值融资1100万美元，上线以来帮助用户发布了数千款应用。下架理由是违反了App Store审核指南第2.5.2条——禁止应用下载或执行未经审核的代码。在此之前，苹果已经冻结了Replit和Vibecode等同类工具的更新，持续时间长达数月。

这些被封杀的工具有一个共同的名字：Vibe Coding（氛围编程）。

这个概念由OpenAI联合创始人Andrej Karpathy在2025年2月提出，核心理念是“完全跟着感觉走，拥抱指数增长，忘掉代码本身的存在”。它被柯林斯词典评为2025年度词汇。

如今，它正在重塑软件开发的门槛，同时也在制造前所未有的混乱。

图片由AI生成

跨界神话：文科生写代码，然后呢？

Vibe Coding最具传播力的叙事，是“不会写代码的人也能做出应用”。

2026年2月，媒体报道了一位名叫杨天润的中国创业者。天润本科和研究生学的是金融，毕业后做并购投资，从未写过一行代码。但他用AI工具在72小时内为GitHub上的明星开源项目OpenClaw贡献了代码，跻身贡献者前30名，排在他前后的，是一群拥有十年以上开发经验的硅谷工程师。“文科生72小时杀入GitHub全球榜”的标题迅速刷屏，成为Vibe Coding跨界叙事的标杆案例。

但这篇报道中最值得注意的细节，却被过滤掉了。天润本人在采访中坦承：“Vibe Coding只适合做Demo，不适合做产品。当你只是想做一个简单的网页，它很完美；但当你要做一个复杂的商业软件时，它就可能会乱成一锅粥。”他后来转向了一种被他称为“Agentic Engineering”的方法，让AI自主执行完整的工作流，而不是随意接受每一段AI输出。

换言之，主角自己也强调人类把关的重要性，纯粹的Vibe Coding走不通。

类似的“跨界成功”叙事在社交媒体上被大量复制，宣称“文科生的优势比想象中大得多”；各类课程承诺零基础也能5分钟做出AI应用。但是，当项目复杂度超越简单网页“涉及用户认证、数据库连接、支付接口、异常处理等等”，没有编程基础的人就会撞上一堵看不见的墙。

这堵墙有多高？Vibe Coding平台Lovable提供了最触目惊心的数据。

2025年5月，Replit员工Matt Palmer扫描了1645个在Lovable上创建的网站应用，发现其中170个（约10.3%）存在严重安全漏洞，任何人无需登录即可访问用户数据库，获取姓名、电子邮件、财务信息和API密钥。

Palantir工程师Daniel Asaria用47分钟就从多个Lovable展示的应用中提取了个人债务金额、家庭住址和敏感提示词。安全研究公司Escape后来对5600多个Vibe Coding应用进行了更大范围的扫描，发现超过2000个安全漏洞、400多个暴露的密钥以及175例个人隐私数据泄露，包括医疗记录和银行账号。这些应用的创建者大多不具备任何安全知识。

问题的根源不在于“文科生不该碰代码”，在于一个在媒体传播中被忽略的事实：软件开发的难度从来不只在“写出能运行的代码”。架构设计、安全审计、边界条件处理、数据库权限配置、长期可维护性，这些才是专业工程师花费多年积累的核心能力。

QA已死，乱拳打死老师傅

VibeCoding让人人能够用自然语言编程，也造成了各种应用量的暴增。

据Sensor Tower数据，2025年12月美国iOS应用发布量同比增长56%，2026年1月同比增长54.8%，均创下四年来最快增速。据Appfigures统计，2025年App Store新提交应用达55.7万款，较2024年增长24%，是2016年以来最大一波新增浪潮。

与此同时，传统软件上线的流程正在被跳过。

在传统的软件开发模式中，一款应用从构想到上架需要经历需求分析、系统设计、编码实现、代码评审、QA测试（产品正式给用户用之前，先反复检查有没有 bug、卡顿、报错或体验问题）、安全审计、性能优化、合规检查等多个环节，通常耗时数周到数月，涉及产品经理、开发工程师、测试工程师和安全团队的协作。每一个环节都是质量的安全阀。

Vibe Coding把这个流程压缩到了极限。一位大厂AI工程师直言：“现在Vibe Coding造垃圾软件碰运气，实在是消耗用户的时间。很多人想的是我造一堆，万一哪个成了呢，反正又没什么成本。”

制作一款最低可行应用变得极其简单，这些人批量生产数十款应用定期提交，赌的是只要有少量应用内购买就能赚一笔。如果一款应用没有起色，24小时内可以再上线另一款。即便被平台标记为垃圾应用甚至遭到拒绝，惩罚也几乎可以忽略，一个苹果开发者账户年费仅99美元，被封禁后换一个账户重新注册的成本远低于一轮审核给苹果团队带来的时间消耗。

来自纽约的35岁氛围编程用户James Steinberg坦言，他认为App Store正被“像我这样提交大量应用的人”淹没，他的一款应用已等待审核长达六周。

苹果回应称，90%的提交仍在48小时内完成审核，过去12周每周处理超过20万份提交，平均审核时间为1.5天。但开发者社区的感受与官方数据存在落差。Reddit的iOS开发社区中，多个帖子反映审核时间明显延长，一些长期运营的应用甚至开始收到“垃圾应用”标记或“不再达到最低质量标准”的警告。

垃圾代码正在向上游蔓延

Vibe Coding对开源社区的冲击更具系统性风险。

cURL创始人Daniel Stenberg在2026年1月关闭了运行六年的漏洞赏金计划。原因不是预算，是AI生成的虚假漏洞报告淹没了维护团队。在关闭前的三周内，cURL收到了20份提交，没有一份确认为真正的安全漏洞。

Stenberg在FOSDEM 2026大会上透露，2025年前cURL收到的安全报告中大约六分之一是有效的；到2025年底，这一比例已降至二十分之一甚至三十分之一。他将这种现象称为“对开源的DDoS攻击”。

这不是孤例。Ghostty创建者Mitchell Hashimoto在2026年初禁止了所有未经审核的AI生成代码贡献，并推出了基于信任的Vouch系统。tldraw项目负责人Steve Ruiz说：“我们近期看到大量完全由AI工具生成的贡献。虽然部分在形式上是正确的，但大多数存在背景不完整、对代码库理解有误、提交者几乎没有后续跟进等问题。”

一位大厂AI工程师对腾讯科技总结了这个链条的完整图景：“开发者提交Vibe垃圾PR（Pull Request），坑的是开源维护者；安全人员提交Vibe垃圾漏洞，坑的是漏洞审核员。完全不尊重别人的时间。”

在通常的开发流程里，开发者写完一部分代码后，会把这次修改提交成一个 PR，交给同事审核。审核通过后，这些代码才会被合并进主分支。如果用一种比较“vibe coding”式、随手糊出来的方式写代码，然后提交了一个质量很差的代码合并请求。

持续下去，就好像堆砌了一座越来越高的“代码屎山”。最终坑的是所有认真维护开源代码的人。

Voiceflow基础设施负责人Xavier Portilla Edo给出了一个量化判断：“AI生成的PR中，只有十分之一是合理的，其他九个浪费了维护者的时间。”GitHub在2026年2月推出了两项新的仓库设置，允许完全禁用Pull Request，或限制为仅协作者可提交。当平台本身开始提供“关闭阀门”的功能，说明问题已经是结构性的。

Vibe Coding效率真的高了吗？

最后，回到一个根本性的问题。在VibeCoding让垃圾代码数量飙升的同时，真的提高了编程效率吗？

答案有些复杂。

AI编程工具的拥护者常引用的数据是开发效率提升26%至56%。但METR（Model Evaluation & Threat Research）在2025年发表的一项随机对照实验讲述了不同的故事。16名资深开源开发者在他们熟悉的大型代码仓库中完成246个真实任务，被随机分配是否允许使用AI工具。结果显示：使用AI工具的开发者实际完成任务的时间延长了19%，AI让他们变慢了。而开发者本人在实验前预计AI会让他们快24%，实验后仍然认为自己快了20%。

当人们“感觉”更高效时，他们可能正在生产更多未经充分审查的代码。2025年Stack Overflow开发者调查显示，对AI准确性的信任从前一年的40%降至29%，46%的开发者明确表示不信任AI工具的准确性。

这种效率幻觉的真正代价最终由谁承担？

一篇2026年1月发表的学术论文《Vibe Coding Kills Open Source》提供了更宏观的警告。来自中欧大学和基尔研究所的经济学家指出，AI降低了使用和构建开源代码的成本，但同时削弱了维护者赖以获得回报的用户互动。

Tailwind CSS的创建者Adam Wathan在2026年1月披露：尽管Tailwind的月下载量达到7500万次，但文档流量较2023年初下降了约40%，收入下滑近80%。“文档是人们发现我们商业产品的唯一渠道，没有客户我们就无法维持框架的开发。”

犯错的成本从未如此之低。生成一段有漏洞的代码只需几秒，但审查、修复和清理这些产出的成本，仍然完全由人类承担。

当代码生成的成本趋近于零而审查的成本保持不变，这个体系就已经失衡了。正如RedMonk分析师Kate Holterhoff所命名的，这是一场“AI Slopageddon”（AI垃圾末日）。

技术的进步不应以将责任外部化为代价，而Vibe Coding的现状，正是对这一原则最直接的挑战。

AI可以替代打字，但无法替代判断。正如Y Combinator CEO Garry Tan所承认的，即使是YC中那些95%代码由AI生成的创业公司，创始团队也具有深厚的技术背景，他们有能力从零开始手写代码。

AI时代比以往任何时候都更需要专业判断。

本文来自公众号：腾讯科技 作者：晓静 编辑：徐青阳