AI写代码，是蜜糖还是砒霜？Coinbase强制员工用AI写代码，结果安全漏洞暴增1000%

摘要：你还在为AI写代码能让开发效率狂飙4倍而沾沾自喜吗？先别急着开香槟。应用安全公司Apiiro刚刚甩出一份重磅研究，直接给全行业泼了一盆冷水：开发速度提升3-4倍的同时，安全漏洞数量直接原地起飞，暴涨了整整10倍！这简直是给所有All in AI的公司，来了一记

你还在为AI写代码能让开发效率狂飙4倍而沾沾自喜吗？先别急着开香槟。应用安全公司Apiiro刚刚甩出一份重磅研究，直接给全行业泼了一盆冷水：开发速度提升3-4倍的同时，安全漏洞数量直接原地起飞，暴涨了整整10倍！这简直是给所有All in AI的公司，来了一记当头棒喝。

这股AI编码的热潮，早就不是什么新鲜事了。它简直是从CEO办公室一路吹到了每个工程师的工位上。Lemonade公司的CEO Daniel Schreiber直接给员工下死命令：“AI is mandatory.”（AI是强制性的。）这话说的，就差写进公司章程了。更狠的是Coinbase的CEO Brian Armstrong，他不仅要求每个工程师必须拥抱AI编码助手，甚至还炒掉了那些不听话的“顽固分子”。就连花旗银行这样的金融巨头，也大手一挥，给旗下四万名开发者配齐了代理AI工具。

这阵仗，可以说是科技圈的“大炼钢铁”了。Gartner在2024年的报告里也说了，AI辅助软件工程这事儿，正处在炒作周期的巅峰。各大厂的领导们也纷纷站台，说自家三分之一甚至更多的新代码，都是AI干的。

但热闹归热闹，冷静的声音也不是没有。Stripe的联合创始人John Collison就在播客里嘀咕：“让AI帮你写代码显然很牛。但怎么去维护一个由AI写的代码库，这事儿吧，咱心里还没谱。”Coinbase那位激进的CEO Brian Armstrong也难得地附和了一句：“我同意。我们都还在摸索阶段。”

正是这种“心里没谱”的感觉，催生了Apiiro这次史诗级的调查研究。他们决定下场，把这事儿彻底扒个底朝天。

速度与“炸弹”的魔鬼交易

Apiiro这次可不是小打小闹，他们利用自家的专利技术——Deep Code Analysis（深度代码分析），直接对财富50强企业里数万个代码库和几千名开发者的真实工作流进行了地毯式扫描。研究对象涵盖了市面上最火的AI编码工具，什么Anthropic的Claude Code、OpenAI的GPT-5还有Google的Gemini 2.5 Pro，一个都没落下。

结果怎么样？数据一出来，所有人都沉默了。

用了AI助手的开发者，代码提交量直接是普通开发者的3到4倍。这效率，简直是坐上了火箭。而且，AI在消灭低级错误上确实有一手，语法错误暴跌76%，逻辑错误也少了60%多。你看，AI确实能帮你把那些烦人的“拼写错误”给摆平了。

但别急，反转来了。效率的B面，是风险的爆炸。研究发现，AI辅助团队在疯狂产出的同时，也制造了10倍的安全问题。更吓人的是，到2025年6月，AI生成的代码每个月都会引入超过1万个新的安全问题。这个数字和2024年12月相比，短短半年，翻了10倍，而且增长曲线陡峭得像要去纳斯达克敲钟。

Apiiro的产品经理Itay Nussbaum打了个绝妙的比方：“AI正在修复拼写错误，但却在制造定时炸弹。”这些“定时炸弹”可不是闹着玩的，它覆盖了应用风险的方方面面：开源依赖项滥用、不安全的代码模式、密钥和凭证满天飞、云配置错误，还有各种能被直接利用的安全漏洞。

从改BUG到造BUG，AI的画风变了

为什么会这样？研究发现，AI从根本上改变了程序员的“干活姿势”。

AI辅助的开发者虽然代码提交量暴增，但这些提交被打包进了更少的拉取请求里。也就是说，PR的数量其实下降了近三分之一，但每个PR都成了一个“巨无霸”，里面牵扯到的文件和服务多得吓人。

这带来的直接后果就是：代码审查成了灾难。一个巨大且复杂的PR，能把审查者的耐心和注意力稀释得一干二净，很多细微的、致命的错误就这么溜过去了。报告里就提了一个典型案例：一个AI生成的PR，一次性改了好几个服务的授权头。结果呢，下游有个服务没跟上节奏，导致了一个悄无声息的授权失败，内部的敏感端口就这么暴露了。

更要命的是，漏洞的类型发生了质变。AI帮你消灭了浅层的、容易发现的错误，却在深层给你埋下了更多更可怕的雷。

表：AI编码助手对不同类型漏洞的影响对比

你没看错，权限提升路径的漏洞激增了322%，架构设计缺陷飙升153%！这都是些什么概念？是那种普通扫描器扫不出来、审查者瞪大眼睛都未必能看出来的问题。比如损坏的认证流程、不安全的设计、系统性的弱点。这就像你请了个保洁，他把地板擦得锃亮，却顺手把承重墙给你砸了。这种级别的错误，一旦上线，修复成本就是天文数字。

还有一个特别扎心的发现：AI辅助的开发者，暴露敏感云凭证和密钥的频率，几乎是不使用AI的开发者的两倍。密钥泄露可不是代码bug，那可是通往你家生产环境的VIP门票，黑客拿到手就能直接登堂入室。AI生成的大型PR，很容易让一个密钥在不经意间扩散到多个服务和配置里，一个点的小失误，瞬间演变成系统性的大窟窿。

全球研究“神同步”，这波不冤

有人可能会说，会不会是Apiiro一家之言？巧了，全世界的科学家们也发来了“贺电”，大家的研究结论出奇地一致。

学术论文预印本网站arXiv上有一篇已被顶级会议ISSRE 2025收录的论文，标题很长，叫《Human-Written vs. AI-Generated Code: A Large-Scale Study of Defects, Vulnerabilities, and Complexity》（人类编写与AI生成代码：缺陷、漏洞和复杂性的大规模研究）。他们的团队分析了超过50万个代码样本，结论是：AI生成的代码虽然更简单，但也更容易出现硬编码调试这种低级但危险的操作，并且包含更多高风险的安全漏洞。

还有另一项研究更有意思。科学家们发现，你让AI模型在一段代码上反复迭代优化，结果代码的安全性反而会下降。这也就解释了为啥AI老是写出有问题的代码——因为它在训练的时候，就把互联网上已有的海量不安全代码给“吃”进去了，然后依葫芦画瓢，自然就把这些缺陷给复制粘贴出来了。

当然，也有研究提出不同看法。比如METR就说AI工具其实让开发者变慢了。但The Register新闻网一针见血地指出，这可能是因为Apiiro只算了生成代码的时间，没算上后续修复那些“定时炸弹”所花费的无尽的加班时间。这么一想，好像一切都说得通了。