Anthropic推出了Claude Code Security,一个专门扫描代码库漏洞的工具。它会检查你的代码,找出安全问题,然后生成补丁方案让人工审核。
听起来很美好。AI写代码,AI查漏洞,人类只需要点头批准。
有人在Reddit评论区说了句大实话:“先用AI生成bug,再用AI修复bug,就像真实的程序员——谁来给这个过程发证书?”
这就是问题的核心。我们现在陷入了一个奇怪的循环:用大语言模型写代码,然后用另一个大语言模型检查第一个模型写的代码有没有问题。
有20年编程经验的开发者出来反驳:“如果你每3个PR就产生10个缺陷,说明你本来就不擅长管理项目。”但另一个人直接怼回去:“当然看不出bug,因为你根本就是vibe coder。”
Vibe coding——这个词很准确。凭感觉编程,让AI帮你干活,自己也不太清楚代码具体怎么运行的。
最有意思的是,有人指出这个工具只是静态分析,根本不监控文件系统访问或网络行为。那些以为有了“安全卫士”就能放心让Claude Code在本地随便跑的人,可能想多了。
说到底,这更像是一个信号——Anthropic在告诉市场:我们知道你们在担心什么。
OpenAI最近才明白过来,真正的壁垒在工具层,而不是模型性能提升2-3个百分点。有人评论说Anthropic连续放大招,“低调地说有点可怕,他们在持续把工作抽象化。”
200家创业公司可能因此倒闭。但这个数字只是“目前为止”。
十年后的程序员不会写代码,只会指挥AI。这话听着像科幻,实际已经在发生。问题是,当AI既生产bug又修复bug,人类在这个闭环里扮演什么角色?
审批通过按钮吗?
简评:
人类正在发明一种新型无能。
不是不会,而是不需要会——直到出事那天。
这让我想起一个场景:古代皇帝不识字,但有翰林院帮他读奏章、拟圣旨。皇帝只需要点头盖章,看起来权力最大,其实最容易被架空。今天的程序员正在走向“代码皇帝”——AI写、AI查、AI改,你负责敲回车。
问题不在于AI能不能写好代码,而在于:当你把理解力外包出去,你连问题出在哪都不知道。就像那个被怼的20年老程序员,他可能真的看不出bug,不是因为眼神不好,而是因为他已经习惯了“看起来能跑就行”。
Anthropic卖的不是安全,是安全感。至于这两者之间的差距,大概要等第一次大规模AI代码事故之后,大家才会认真讨论。
所有把人变成橡皮图章的效率革命,最终都会追问同一个问题:图章错了,找谁负责?
www.reddit.com/r/ClaudeAI/comments/1ra2pla/claude_code_security_is_here