AI审代码，谁来审AI？

中华油荣鑫汽修

【AI审代码，谁来审AI？】

Anthropic推出了Claude Code Security，一个专门扫描代码库漏洞的工具。它会检查你的代码，找出安全问题，然后生成补丁方案让人工审核。

听起来很美好。AI写代码，AI查漏洞，人类只需要点头批准。

有人在Reddit评论区说了句大实话：“先用AI生成bug，再用AI修复bug，就像真实的程序员——谁来给这个过程发证书？”

这就是问题的核心。我们现在陷入了一个奇怪的循环：用大语言模型写代码，然后用另一个大语言模型检查第一个模型写的代码有没有问题。

有20年编程经验的开发者出来反驳：“如果你每3个PR就产生10个缺陷，说明你本来就不擅长管理项目。”但另一个人直接怼回去：“当然看不出bug，因为你根本就是vibe coder。”

Vibe coding——这个词很准确。凭感觉编程，让AI帮你干活，自己也不太清楚代码具体怎么运行的。

最有意思的是，有人指出这个工具只是静态分析，根本不监控文件系统访问或网络行为。那些以为有了“安全卫士”就能放心让Claude Code在本地随便跑的人，可能想多了。

说到底，这更像是一个信号——Anthropic在告诉市场：我们知道你们在担心什么。

OpenAI最近才明白过来，真正的壁垒在工具层，而不是模型性能提升2-3个百分点。有人评论说Anthropic连续放大招，“低调地说有点可怕，他们在持续把工作抽象化。”

200家创业公司可能因此倒闭。但这个数字只是“目前为止”。

十年后的程序员不会写代码，只会指挥AI。这话听着像科幻，实际已经在发生。问题是，当AI既生产bug又修复bug，人类在这个闭环里扮演什么角色？

审批通过按钮吗？

简评：

人类正在发明一种新型无能。

不是不会，而是不需要会——直到出事那天。

这让我想起一个场景：古代皇帝不识字，但有翰林院帮他读奏章、拟圣旨。皇帝只需要点头盖章，看起来权力最大，其实最容易被架空。今天的程序员正在走向“代码皇帝”——AI写、AI查、AI改，你负责敲回车。

问题不在于AI能不能写好代码，而在于：当你把理解力外包出去，你连问题出在哪都不知道。就像那个被怼的20年老程序员，他可能真的看不出bug，不是因为眼神不好，而是因为他已经习惯了“看起来能跑就行”。

Anthropic卖的不是安全，是安全感。至于这两者之间的差距，大概要等第一次大规模AI代码事故之后，大家才会认真讨论。

所有把人变成橡皮图章的效率革命，最终都会追问同一个问题：图章错了，找谁负责？

www.reddit.com/r/ClaudeAI/comments/1ra2pla/claude_code_security_is_here