开源AI编程正在改变ROI的计算方式

开发人员抱怨 AI 编程问题是可以理解的，因为该技术经常产出被称为“AI 垃圾”（AI slop）的代码。但他们的担忧揭示了一个更具战略性的问题：企业如何计算编程的投资回报率。

据 IT 分析师和顾问称，这些问题远不止于代码生产速度的大幅提升，更在于 AI 代理生成的各类错误——这些代理并不真正理解其代码对人类的影响。

即使生成的代码能够正常运行（而事实上往往不能），它也会引入广泛的企业风险，包括法律风险（版权、商标或专利侵权）、网络安全风险（后门和无意中引入的恶意软件）以及准确性风险（幻觉，以及基于不准确数据训练/微调的模型）。其中一些问题源于提示词表述不当，另一些则是因为模型错误地解读了正确的提示词。

“AI 垃圾”对企业的影响

最近在社交网站 Bluesky 上展开的一场讨论探讨了这一问题。该讨论由用户 Rémi Verschelde 发起，他是一位居住在哥本哈根的法国开发者，担任 @godotengine.org 的项目经理和主要维护者，同时也是一家游戏公司的联合创始人。

Verschelde 表示：“‘AI 垃圾’拉取请求（PR）正让 Godot 的维护者们感到越来越疲惫和沮丧。我们发现自己不得不每天多次反复质疑每一位新贡献者提交的 PR。”人们开始怀疑：这段代码是否至少部分由人类编写？“作者”是否理解他们提交的代码？

他问道：“他们测试过吗？测试结果是编造的吗？这段代码出错是因为它是 AI 写的，还是因为一位经验不足的人类贡献者犯了诚实的错误？当你因怀疑而询问 PR 作者是否使用了 AI 时，如果他们都回答‘是的，我用它来写 PR 描述，因为我英语不好’，你该怎么办？”

这些 AI 编程问题正在影响整个 IT、法律、合规和网络安全领域的高管。主要原因在于，AI 带来的加速效应不仅仅是让代码生成速度快了数千倍；与 AI 和开源相关的问题正以更快的速度增长。

甚至有报道称，AI 代理正在反击开源维护者。

这对企业高管来说尤为棘手，因为许多大公司正试图将更多 AI 项目转向开源，以避免与大型超大规模云服务商（hyperscalers）相关的数据泄露和未经授权的使用等问题。

问题不在于代码质量差

个性化网络供应商 Hiswai 的首席技术官 Vaclav Vincalek 表示，许多“氛围编程”（vibe coding）的问题不在于代码看起来糟糕。具有讽刺意味的是，问题恰恰在于它看起来相当不错。

Vincalek 说：“AI 生成代码的最大风险不在于它是垃圾，而在于它具有说服力。它能编译通过，能通过表面审查，看起来也很专业，但它可能嵌入细微的逻辑错误、安全漏洞或难以维护的复杂性。‘AI 垃圾’不仅仅是一个质量问题，更是一个长期的所有权问题。维护者不仅仅是在审查一个补丁，更是在承担一项可能需要支持多年的责任。”

Vincalek 指出的另一个讽刺是，一些企业转向开源本是为了避免某些问题，而如今 AI 在开源中却带来了同样的问题。

他说：“一些企业认为开源是规避超大规模云服务商 AI 风险的避风港，但 AI 生成的代码现在正涌入开源本身。如果你没有强有力的治理机制，你只是将风险向上游转移。AI 已将代码生产成本降至接近零，但审查和维护它的成本并未改变。这种不平衡正在压垮维护者。”

Vincalek 认为，解决这一问题的办法是对提交 AI 生成代码的人施加更大阻力。

他说：“最简单的反‘垃圾’机制之一就是强制贡献者解释代码背后的意图。AI 可以生成语法，但无法为设计决策提供理由。项目需要像许可政策一样制定 AI 贡献政策。如果某人无法解释或维护其所提交的内容，那它就不应进入代码库。”

对 AI 编程的一个批评是，这些代理并不真正理解人类是如何运作的。例如，在一个 LinkedIn 讨论论坛中，一位 AWS 高管发帖提到，一个 AI 系统正在创建一系列注册页面，并根据其他示例推断这些页面应如何外观和运作，但却得出了错误结论。它从用户名、电子邮件地址和电话号码字段中学习到：如果系统中已存在相同字符序列，则需要不同的输入。随后，它将同样的逻辑应用于年龄字段，并拒绝了一个答案，理由是“具有该年龄的用户已存在”。

需要改变工作流程

Moor Insights & Strategy 的首席分析师 Jason Andersen 表示，AI 编程问题不仅在于代码创建，更在于企业如何处理整个流程。

他说：“如今 AI 真正需要的是一种工作流程的变革，以应对越来越多需要检查的‘垃圾’。目前 AI 的状况是：漫长过程中的某一步骤变得非常快，但这并不意味着其他步骤已经跟上。编码生产力提高 30% 就会给整个流程带来压力；如果翻倍，系统将崩溃。虽然其中一些部分正开始整合，但所需时间将比人们想象的要长得多。”

Andersen 将这些编码代理形容为“机器人幼儿”，并指出 IT 部门一直在要求加速编码，然后选择拥抱 AI 加速的开源。“但现在潘多拉魔盒已被打开”，他们却对结果感到不满。

Andersen 将此比作一个大型营销部门恳求合作伙伴提供尽可能多的销售线索，随后又抱怨“所有这些线索都很糟糕”。

需要重新计算投资回报率（ROI）

安全公司 RockCyber 的首席执行官 Rock Lambros 补充道，必须彻底重新考虑 ROI 的计算方式。

他指出：“AI 生成的代码现在几乎可以免费生产，但这丝毫没有降低审查它的成本。贡献者可以在 90 秒内生成一个 500 行的拉取请求，但维护者仍需要 2 小时来判断其是否可靠。这种不对称性正是目前压垮开源团队的原因。”

他强调，这不仅仅是代码质量问题，更是供应链安全风险。“没有人关注‘上下文退化’（context rot）——即在长时间 AI 生成会话中逐渐发生的连贯性丧失。”他指出，一个代理可能在一个文件中正确实施验证，却在另一个文件中悄然停止这样做。事实上，他说，德克萨斯大学圣安东尼奥分校的研究发现，AI 生成代码中约 20% 的软件包名称根本不存在，“攻击者已经在抢注这些名称”。

信任的退化

顾问、Garnett Digital Strategies 创始人 Ken Garnett 表示，他认为这个问题是开源历来所提供的信任的退化。

他说：“我称之为‘验证崩溃’。Rémi Verschelde 并不是简单地说‘代码很糟糕’。他描述的是一种系统，在其中维护者再也无法依赖他们过去一直信赖的信号。这是一个比单纯低质量代码更深层、后果更严重的问题，因为它腐蚀了开源贡献一直以来所依赖的信任基础设施。”

风险的累积

他指出，企业在扩展 AI 生成的同时，并未重新设计审查流程以对其进行验证。“工作流的提交端基本上获得了十倍的速度倍增器，而人工审查端却没有任何提升。”Garnett 说，“结果正是 Godot 所经历的：一小群专注的人被淹没在工作量中，而这个系统从未被设计成能让他们处理如此庞大的工作量。这是加速工作流的一半而不触碰另一半的可预见的必然结果。”

他补充道：“对于企业 IT 领导者而言，更令人不安的问题是：他们是否围绕 AI 辅助代码建立了任何问责结构？还是仅仅给了开发人员一个更快的工具，并假设质量会随之而来？因此，他们现在面临的往往不是一个 AI 问题，而是一个被 AI 暴露得无法忽视的治理缺口。”

网络安全顾问、FormerGov 执行董事 Brian Levine 简洁地总结了这一问题：“‘AI 垃圾’制造了一种虚假的速度感。你以为自己交付得更快，但实际上你积累风险的速度超过了你的团队能够偿还的速度。”