氛围编程（Vibe Coding）

什么是 “氛围编程”？简单来说，它是一种以大型语言模型（LLMs）为核心驱动力的自动化编码与调试模式。在这种模式下，开发者无需逐行编写代码，而是通过自然语言描述需求（即 “提示词”），让 AI 模型主导完成代码生成、错误调试、功能测试等核心工作。这种方式就像为开发过程注入了一种 “无形的协作氛围”——AI 主动承接重复性认知劳动，人类则聚焦于需求定义、结果优化和创意决策，因此被业内形象地称为 “氛围编程”（Vibe Coding）。

从行业实践来看，这种模式已成为研发领域的主流趋势：Georgian 与 NewtonX 2025 年 6 月的报告显示，77% 的研发领导者已部署或测试相关场景，超半数团队明确观察到开发速度、代码质量与部署频率的显著提升。它正彻底改变软件开发的 “生产关系”—— 不仅让专业工程师从机械劳动中解放，更让缺乏编程经验的技术相关人员（如产品经理、项目负责人）能直接参与代码创作，推动行业向 “全民可开发” 的方向迈进。

AI 驱动开发的新时代已然来临

乔治亚州和牛顿 X 公司 2025 年 6 月发布的《AI，应用，第二波》基准报告显示，自动化编码与调试（即 “氛围编程”）已成为受访研发团队的首要用例。77% 的受访研发领导者表示，他们的自动化编码与调试用例要么已投入生产（37%），要么处于试点 / 测试阶段（40%）。

这一趋势带来的影响显著：超过 50% 的受访研发领导者称，在开发速度、代码质量指标和部署频率等开发者指标上看到了提升。然而，在与产品可靠性相关的指标上，如周期时间、交付时间和平均恢复时间，却较少看到积极成果，这表明自动化编码的增加可能在开发周期的其他环节带来挑战。

氛围编程让开发者得以卸下沉重的认知负担，因为大型语言模型可以在编写、调试和测试代码方面发挥主导作用。通过氛围编程，用户只需用自然语言提示描述期望的结果，大型语言模型就会生成代码片段、协助调试并验证功能。这种方式让编程变得更直观、更易上手、更高效，即便对于没有传统编程专业知识的人来说也是如此。

如今，AI 编码工具正借助先进的多步骤智能体架构来管理整个开发周期。这些工具能够自主生成代码、在外壳中执行代码、验证其正确性，仅在必要时才请求人工验证。以前需要数周人工努力才能完成的任务，现在几小时内就能搞定，其速度仅受限于大型语言模型的令牌限制和 GPU 处理速度。

对软件工程师而言，这一转变意味着传统开发工作流程中的诸多环节，如阅读 API 文档、编写测试、代码实现和验证等，都能够并且正在实现自动化。开发者不再需要亲自编写每一行代码，而是可以与 AI 工具协作，对输出结果进行优化和完善。

AI 编码工具的全景图

尽管 AI 驱动的编码解决方案增长迅猛，但许多工具都围绕着代码补全和代码理解等核心功能展开。有些工具旨在实现自主的全应用生成，而另一些则坚持以集成开发环境为首要出发点。在撰写本文时，产品差异化部分源于为不同开发者群体（如前端、后端等）设计的工具，以及不同的界面和形式（如独立集成开发环境、扩展程序、命令行工具等）。

开源领域在全自动化方面的尝试尚未达到高可靠性（例如，没有任何主要 AI 模型在 SWEbench 的全面测试中达到 50% 以上的自动解决率）。尽管如此，基础模型和智能体架构的持续进步，让人们对其更广泛的采用和可靠性的提升充满乐观。

推动创新的两大力量

基础模型的改进

基础模型的进步直接影响 AI 编码工具的效能。随着模型在正确性、延迟和成本方面的提升，用户的迭代速度也显著加快。竞争对手们正竞相在 SWEbench 等公共基准测试中占据主导地位，在这些测试中，由于工程任务的高价值，正确性比推理速度更为重要。

智能体架构

除了编码领域，大型语言模型正被整合到智能体系统中。这些架构将问题分解为可管理的任务，使大型语言模型能够通过 “工具调用”、内存管理和检索增强生成（RAG）来执行复杂的工作流程。通过将多个智能体打包成连贯的系统，开发者现在能够获得更高层次的抽象，从而拥有比以往更强大、更灵活的工具。许多集成开发环境甚至已经采用了模型 - 上下文 - 协议服务器（你可以将其视为小型智能体服务器），这些服务器使智能体能够调用其他智能体，以完成更复杂的工作流程和任务。

对软件企业与网络安全的影响

AI 编码工具的快速普及为软件企业带来机遇的同时，也存在一些应用障碍。软件企业面临的一些机遇和相应挑战如下：

代码产量的提升

在几小时内生成正确代码的能力，大幅降低了生产成本。但这也意味着生成的代码量呈指数级增长，增加了网络威胁的攻击面。传统的安全方案和方法仍然适用，但可能需要更多的自动化、应用发现以及联邦化的安全软件供应链才能有效发挥作用。理想的 “左移” 状态是让代码生成工具具备安全意识和环境意识，从而避免生成有问题的不安全代码和应用 —— 而我们目前仍处于这一进程的早期阶段。

非工程师的准入门槛降低

像项目经理和产品开发人员等与技术相关的专业人士，现在无需接受正规的工程培训就能编写代码。这种代码创建的民主化使更广泛的人群能够参与软件开发，促进了创新并加快了项目进度。然而，这也带来了重大的安全风险，例如可能在没有熟练审核人员监督的情况下生成不安全的代码和漏洞。许多组织采取将应用与核心系统严格隔离的方法，并部署 “原型” 或 “营销” 系统。但要同时实现速度和安全性，这种方法可能会耗费大量人力和成本，因为它需要建立基础设施，以全自动方式快速构建安全的临时环境。

网络安全的经济性

毫不夸张地说，从人力角度来看，生产软件的成本大幅降低，特别是如果一名工程师能在几天内完成过去需要数周或数月才能完成的工作。不幸的是，同样的道理也适用于不良分子，他们可以利用现代代码生成工具来生成攻击代码，以利用漏洞。生成代码的成本和精力的降低，可能导致防御系统的成本增加。通常优先考虑速度而非安全性的初创企业，在扩张过程中可能面临更大的风险。如今在网络安全支出中占主导地位的大型企业，可能需要投资于能够应对大量新生成代码的解决方案。

前行之路

在我看来，随着 AI 生成代码的普及，企业必须优先扩大网络安全防御规模，以匹配开发速度。开源工具仍然是初创企业的重要平衡力量，但需要更广泛的转变，以提高中小企业安全解决方案的可及性和可负担性。否则，无论是已发现还是未发现的漏洞，其发生频率和影响都可能会升级。

在氛围编程和智能体 AI 时代，组织可以采取其他关键方法来加强其网络安全实践，包括：

• 保持严格的访问控制，确保只有经过授权的人和非人类实体能够与 AI 模型交互；
• 通过实施关于工具和 AI 智能体可以使用和访问哪些数据的严格规则，确保强大的数据治理实践；
• 使用监控和评估工具来监控 AI 系统的异常情况，如恶意提示或意外的模型输出。

此外，组织可以利用大型语言模型有效地执行其愿景、政策和标准。利用大型语言模型扫描是否符合架构模式、标准和安全政策，是对传统供应商工具代码审查中采用的自动代码扫描过程的合理演进。此外，大型语言模型有可能扩展到在各种组织职能中执行更广泛的政策合规性，从而加强整体治理和风险管理。

随着我们进入这个 AI 驱动开发的新时代，一个关键挑战将是平衡自主智能体等工具带来的生产力提升与对强大、可扩展防御的日益增长的需求。虽然氛围编程可能会重新定义我们构建软件的方式，但它也要求我们从根本上重新思考如何保护软件。