文章核心观点 Vibe Coding（氛围编程）作为一种由AI驱动的自然语言编程范式，虽然显著降低了应用开发门槛并引发了应用数量的激增，但其在实践过程中暴露了严重的安全隐患、质量失控以及对开源生态的冲击等问题，表明纯粹的“跟着感觉走”的模式难以支撑复杂、可靠的商业软件开发，并可能引发“AI垃圾末日”，最终强调了在AI时代专业判断和人类把关的重要性[6][7][26][27][28] Vibe Coding的概念与影响 - Vibe Coding由OpenAI联合创始人Andrej Karpathy在2025年2月提出，核心理念是“完全跟着感觉走，拥抱指数增长，忘掉代码本身的存在”，并被柯林斯词典评为2025年度词汇[6] - 该概念正在重塑软件开发的门槛，同时也制造了前所未有的混乱[7] 跨界神话与现实局限 - Vibe Coding最具传播力的叙事是“不会写代码的人也能做出应用”，典型案例是中国金融背景的创业者杨天润，用AI工具在72小时内为GitHub明星项目OpenClaw贡献代码，跻身贡献者前30名[11] - 但该案例主角本人坦承，Vibe Coding只适合做Demo，不适合做复杂产品，并转向了需要人类把关的“Agentic Engineering”方法[11] - 当项目复杂度超越简单网页，涉及用户认证、数据库连接、支付接口等时，没有编程基础的人会遇到巨大障碍[12] 严重的安全漏洞与数据泄露 - 2025年5月，对Vibe Coding平台Lovable上1645个网站应用的扫描发现，其中170个（约10.3%）存在严重安全漏洞，任何人无需登录即可访问用户数据库，获取敏感信息[14] - 安全研究人员在47分钟内从多个Lovable展示的应用中提取了个人债务金额、家庭住址等敏感数据[14] - 更大范围的扫描发现5600多个Vibe Coding应用中存在超过2000个安全漏洞、400多个暴露的密钥以及175例个人隐私数据泄露[14] - 问题的根源在于软件开发的核心能力（如架构设计、安全审计等）被忽略，而这些是专业工程师多年积累所得[14] 应用数量暴增与审核压力 - Vibe Coding导致应用发布量暴增，2025年12月美国iOS应用发布量同比增长56%，2026年1月同比增长54.8%，创下四年来最快增速[17] - 2025年App Store新提交应用达55.7万款，较2024年增长24%，是2016年以来最大新增浪潮[17] - 传统软件上线的多环节质量安全阀流程被Vibe Coding压缩到极限，开发者倾向于批量生产“垃圾软件”碰运气，成本极低（一个苹果开发者账户年费仅99美元）[18] - 苹果官方称90%的提交在48小时内完成审核，过去12周每周处理超过20万份提交，平均审核时间1.5天，但开发者社区反馈审核时间明显延长，有应用已等待审核长达六周[19][20] 对开源社区的冲击 - Vibe Coding对开源社区造成系统性风险，cURL创始人因AI生成的虚假漏洞报告淹没维护团队而关闭了运行六年的漏洞赏金计划，关闭前三周收到的20份提交无一确认为真漏洞[22] - cURL收到的有效安全报告比例从2025年前的约六分之一，降至2025年底的二十分之一甚至三十分之一，这种现象被称为“对开源的DDoS攻击”[22] - 多个开源项目（如Ghostty, tldraw）开始禁止或面临大量由AI工具生成、质量低下且缺乏后续跟进的代码贡献（Pull Request）[22] - 有量化判断指出，AI生成的PR中只有十分之一是合理的，其余浪费维护者时间，GitHub因此推出了允许禁用PR的新功能[23] 效率幻觉与真实成本 - 尽管AI编程工具常宣称提升效率26%至56%，但一项2025年的随机对照实验显示，使用AI工具的资深开发者实际完成任务的时间延长了19%，但开发者本人仍“感觉”效率提升了20%[25] - 2025年Stack Overflow调查显示，开发者对AI准确性的信任度从前一年的40%降至29%，46%的开发者明确表示不信任[25] - AI降低了使用和构建开源代码的成本，但削弱了维护者获得回报的用户互动，例如Tailwind CSS文档流量较2023年初下降约40%，收入下滑近80%[26] - 生成有漏洞代码的成本趋近于零，但审查、修复和清理的成本仍完全由人类承担，导致体系失衡，即“AI垃圾末日”[26] - 即使是YC中那些95%代码由AI生成的创业公司，创始团队也具有深厚技术背景，有能力从零手写代码，凸显了专业判断的必要性[27]