Rust作者把AI塞进代码审查：6年前烂尾项目突然复活

2018年启动的开源项目，2020年作者宣布放弃，2025年因为Claude Code重新开工。这不是什么创业故事，是一个关于"开发者时间不够"的残酷现实。

一个理想主义者的6年轮回

Dawid Ciężarkiewicz在2018年创建了Crev项目。核心假设很朴素：如果每个开发者都花点时间审查自己用的依赖库，再通过信任网络共享这些审查结果，开源生态的安全问题就能缓解。

cargo-crev是Rust生态的具体实现。技术层面，Ciężarkiewicz对用户体验和流程设计相当满意。但2020年，他停更了。

原因写在项目文档里，没有拐弯抹角："无论cargo-crev技术实现得多好，最大的障碍始终是开发者缺乏时间。"

代码审查哪怕是走马观花，也要耗掉大量精力。更致命的是，这件事的成就感远低于写新功能。开源社区已经被维护工作压得喘不过气，再要求他们无偿承担供应链安全责任，Ciężarkiewicz自己都觉得过分。

LLM填上了那个"不可能三角"

转机出现在几周前。Ciężarkiewicz读到几篇文章：新的大语言模型（LLM，Large Language Model）发现了非平凡的安全漏洞；Linux内核和curl的开发者承认，以前他们抱怨AI生成的安全报告大多是垃圾，现在情况变了——AI辅助的漏洞报告开始具备实际价值。

这让他重新想起cargo-crev。"AI可以填补那个让我怀疑项目的缺口。"

他没有过度美化LLM的能力。但一个事实摆在那里：开发者没时间做的"90/10安全扫描"，LLM可以大规模自动化完成。

具体能做什么？验证crates.io发布的代码与Git仓库是否一致；扫描build.rs和其余代码，标记异常行为；识别那些"本该格式化单位却想偷密钥"的恶意代码。Rust的语言特性让异常代码很难隐藏——做坏事会产生大量噪音，LLM哪怕不够聪明，也能嗅出不对劲。

这不是银弹，但比什么都不做强。

Claude Code先行，其他模型排队

cargo-crev 0.27版本内置了审查循环功能。运行cargo crev ai review-loop即可启动。

目前仅支持Claude Code代理。Ciężarkiewicz表示，添加其他编程代理的支持"相对容易"，大部分脚手架已经搭好，欢迎提交PR。

从项目重启到功能上线，节奏快得不像一个搁置5年的老项目。但核心逻辑没变——仍然是信任网络、仍然是分布式审查，只是执行者从"没时间的人类"换成了"不知疲倦的模型"。

一个值得玩味的细节：Ciężarkiewicz特意提到，Linux和curl开发者对AI安全报告的态度转变，是从"mostly worthless slop"到"actually worthwhile"。这种措辞的精准度，大概只有被垃圾报告轰炸过的人才能写出来。

当你的依赖库被AI审查过一遍，你会更信任它，还是觉得"机器看的终究不如人看的靠谱"？