AI 写代码越来越快，但真正值钱的是“敢上线”

目前用 AI 写代码，已经不稀奇了。

你想做一个页面、一个后台、一个小工具，打开 Cursor、Claude Code、Copilot，描述几句话，它真的能给你搭出来。

页面能跑。

接口能通。

demo 能录。

这当然很爽。

但问题也在这里：

能跑，不等于能交付。

最近 Georgia Tech 的研究团队做了一个 Vibe Security Radar，用来追踪由 AI coding tools 直接引入、后来进入公开安全公告的漏洞。

他们扫描了 43,000 多条安全公告，已经确认 74 个案例，其中 14 个是 critical，25 个是 high。

漏洞包括命令注入、认证绕过、服务端请求伪造。

翻译成人话就是：这不是页面不好看，也不是按钮没对齐，而是真的可能让别人绕过权限、执行命令、摸到不该摸的数据。

这件事最值得看的，不是“AI 写代码不行”。

人写代码也会出漏洞。

真正的问题是：AI 不必定会制造新问题，但它会把你原本就没补上的坑，成倍放大。

以前一个不懂安全的人写代码，产能有限。

目前他带着 AI，一天能写出过去一周的量。

如果审查、测试、权限设计、安全扫描都没跟上，风险也跟着开倍速。

更麻烦的是，AI 生成的代码往往看起来很体面。

变量名合理。

结构清楚。

注释完整。

不像烂代码。

但安全问题许多时候就藏在这种“看起来没问题”里面。

这也是为什么 Georgia Tech 的研究者提议：如果你要把 AI 输出送进生产环境，就要像审查初级开发的 PR 一样审查它，尤其是输入处理和认证相关的代码。

程序员不会由于 AI 会写代码就消失。

但岗位价值会变。

只会把需求翻译成代码的人，会越来越便宜。

能判断代码能不能上线的人，会越来越贵。

由于生成正在变便宜，验收正在变重大。

对创业者也是一样。

AI 降低的是“开始做”的门槛。

它没有自动降低“负责任”的门槛。

一个本地 demo 出问题，最多重来。

一个线上产品出问题，可能就是用户数据泄露、账号被盗、账单异常、服务被刷爆。

所以后来真正稀缺的，不是会不会让 AI 写代码。

而是有没有能力回答几个问题：

这段代码的权限边界在哪里？

用户输入有没有被当成可信数据？

认证逻辑能不能绕过？

依赖包有没有风险？

日志会不会泄露敏感信息？

上线后出了问题，能不能回滚？

这些问题不酷，也不适合做短视频演示。

但这才是交付。

AI 编程时代，最值钱的能力不是“让它帮我写出来”。

而是：

我知道这段代码为什么能上线，也知道它出事时我该怎么负责。