这不是我一个人的遭遇。

代码工厂的失控

一家金融服务公司引入Cursor后，月产代码量从2.5万行跳升至25万行。增长10倍。随之而来的，是100万行积压待审代码。

安全初创公司StackHawk联合创始人JoniKlippert说得直白："他们根本跟不上代码交付量的增长，以及随之而来的漏洞激增。"

Meta首席技术官AndrewBosworth在内部备忘录中写道："过去需要数百名工程师的项目，现在几十人就能完成。过去需要数月的工作，现在几天就能搞定。"

Cursor工程负责人TidoCarriero的总结更为直接："软件开发工厂某种程度上已经崩了，我们正在试图重新拼装这些零件。"

被忽视的漏洞成本

2025年5月，Replit员工MattPalmer扫描了1645个在VibeCoding平台Lovable上创建的网站应用。发现其中170个——约10.3%——存在严重安全漏洞。任何人无需登录即可访问用户数据库，获取姓名、电子邮件、财务信息和API密钥。

Palantir工程师DanielAsaria仅用47分钟，就从多个Lovable展示的应用中提取了个人债务金额、家庭住址和敏感提示词。

安全研究公司Escape对5600多个VibeCoding应用进行扫描，发现超过2000个安全漏洞、400多个暴露的密钥以及175例个人隐私数据泄露，涉及医疗记录和银行账号。这些应用的创建者大多不具备任何安全知识。

开源社区的DDoS攻击

cURL创始人DanielStenberg在2026年1月关闭了运行六年的漏洞赏金计划。原因不是预算，而是AI生成的虚假漏洞报告淹没了维护团队。关闭前三周，cURL收到20份提交，无一被确认为真实漏洞。

2025年前cURL安全报告中约六分之一有效。到2025年底，这一比例已降至二十分之一甚至三十分之一。Stenberg将这种现象称为"对开源的DDoS攻击"。

Ghostty创建者MitchellHashimoto在2026年初禁止了所有未经审核的AI生成代码贡献。Voiceflow基础设施负责人XavierPortillaEdo给出量化判断："AI生成的PR中，只有十分之一是合理的，其他九个浪费了维护者的时间。"

效率幻觉的数据真相

METR2025年发表的一项随机对照实验：16名资深开源开发者在熟悉的大型代码仓库中完成246个真实任务，被随机分配是否可使用AI工具。

结果：使用AI工具的开发者实际完成任务的时间延长了19%。

更值得关注的是认知偏差：这些开发者在实验前预计AI会让他们快24%，实验结束后仍然认为自己快了20%。

与此同时，2025年StackOverflow开发者调查显示，开发者对AI准确性的信任度从前一年的40%降至29%，46%的开发者明确表示不信任AI工具的准确性。

用AI解决AI制造的问题

面对代码过载，科技公司给出的答案仍然是更多AI。Anthropic和OpenAI均推出了AI驱动的代码审查工具。Cursor收购了代码审查机器人初创公司Graphite。

但这条路能否走通，目前仍无定论。TailwindCSS创建者AdamWathan在2026年1月披露：尽管Tailwind月下载量达7500万次，但文档流量较2023年初下降约40%，收入下滑近80%。