为什么 AI 越强大规范能力越值钱备选标题供你挑AI 帮你写代码只需 10 秒但你可能要花 10 小时搞懂它写了什么38 万款「裸奔」应用背后Vibe Coding 繁荣的真正代价当写代码变得免费「把话说清楚」成了编程界最贵的技能AI 消除的不是写代码的门槛而是想清楚需求的纪律。2025 年安全公司 RedAccess 干了一件让整个开发者社区冒冷汗的事他们扫描了互联网上约 38 万个疑似由Vibe Coding生成的应用。结果触目惊心——至少 5000 款没有任何安全防护没有身份验证没有访问控制没有权限隔离像一扇扇敞开的门挂在公网上。更离谱的是其中约 40% 已经跑在生产环境里处理着医疗记录、金融数据、企业内部文档。你的第一反应大概是把锅甩给 AI这帮 AI 写的代码也太不靠谱了。但等一下。真正的问题不是 AI 写了不安全的代码而是从来没有人告诉 AI这个应用需要安全措施。需求只存在于某个深夜的对话框里随口一句帮我做一个能存用户数据的 Web 应用AI 保质保量地执行了——它确实做了一个能存数据的应用。只是没人在保质保量前面加上一句要加密、要鉴权、要防注入。这句话看似简单但它指向一个被整个 AI 编程狂欢刻意回避的真相。这篇文章要聊的就是这个真相以及它对每一个正在用或准备用AI 写代码的人意味着什么。一、连发明者都在踩坑Vibe Coding 的「裸奔」不是意外先把时间线拉回 2025 年 2 月。OpenAI 联合创始人、前特斯拉 AI 负责人 Andrej Karpathy 在 X 上发了一条推文提出了一个后来被《柯林斯词典》选为 2025 年度词汇的概念——Vibe Coding氛围编程。他描述了一种全新的编码方式开发者完全顺应感觉拥抱指数级增长忘记代码的存在。原话是——这不完全是编码我只是看到东西说出东西运行东西然后复制粘贴东西它基本上能用。多潇洒。多自由。多危险。Karpathy 自己在提出这个概念后很快发现了一个尴尬的事实AI 生成的代码缺乏可维护性调试时根本搞不清底层逻辑。连氛围编程之父本人都踩了坑。这不是个例这是 Vibe Coding 的结构性缺陷——当需求只活在聊天记录里没有沉淀成任何可追溯的规范文档代码就成了一座没有图纸的大楼。你觉得它能用但你不知道承重墙在哪改一根管线会不会整栋塌掉。回到 RedAccess 那组数据。38 万个应用5000 款裸奔40% 在生产环境。很多人把它解读为AI 代码不安全。但我认为这是误读。真正危险的从来不是 AI 写了烂代码而是人放弃了「定义什么是好代码」的责任。Vibe Coding 的问题不在 AI 的执行能力——执行能力恰恰是它最强的部分。问题在于输入端一个模糊的自然语言指令经过一个能力超群的执行引擎被高效地放大成了一个结构完整的、可运行的、但方向可能完全错误的产品。AI 越强这个高效地跑偏的破坏力就越大。这就是为什么我说5000 款裸奔应用不是 AI 的失误而是规范缺位的必然结果。当没有人定义这个系统必须有身份验证这条约束时AI 没有义务、也没有动机替你补上这个判断——它只负责把你说的东西做出来。二、一个等式戳破了「工具决定论」聊到这里你可能会想那是不是换个更强的工具就好了Claude Code 听说很强Cursor 也不错再不行上 Codex这是当下最流行的思维路径也是最大的注意力陷阱。来看一个来自企业实战中被反复验证的核心等式AI 输出质量 上下文质量 × 任务清晰度这个等式冷酷而精确。模型能力是乘数之外的常数——在你选定工具的那一刻它就固定了。真正决定产出质量的两个变量——上下文质量和任务清晰度——百分之百掌握在你手里。这意味着什么意味着Claude Code 还是 Codex 更好这个争论在大多数场景下是个伪命题。文档里有一组对比写得很好Claude Code 像坐你旁边的资深工程师每一步都跟你汇报适合复杂重构Codex 像云端雇佣的自动化小队任务丢进去自主跑完适合快速原型。两种范式各有战场。但请注意——这个对比描述的全部是执行层的差异。而上面那个等式告诉你执行层的能力在大多数日常场景中早就溢出了。打个比方。你纠结该请一个八级瓦工还是一个九级瓦工来砌墙但你连图纸都没画。八级和九级的差距在没有图纸面前约等于零。它们都会忠实地砌出一堵你没想要的墙。一个来自真实团队的实践更能说明问题。有个团队总结了三层约束法——任务层告诉 AI干什么优化订单排序支持多字段排序、升降序、分页约束层告诉 AI不干什么不能破坏现有缓存、查询不超过 200ms、测试覆盖率大于 80%规范层通过CLAUDE.md告诉 AI按什么风格干遵循阿里巴巴 Java 开发手册用 MyBatis-Plus 的 QueryWrapper。三层写下来AI 生成的代码基本就是想要的样子。模型没有变变的是你给它的约束。一个不到 100 行的CLAUDE.md文件能让同一个模型的输出产生天壤之别。这就是那个等式在现实中的投影。工具是杠杆但杠杆的支点是你喂给它的上下文。支点不稳杠杆越长翻车越惨。三、约束杠杆AI 时代的能力重估如果上面那个等式成立它会推导出一个对每个开发者都至关重要的判断。我把它叫做约束杠杆理论。传统编程时代能力栈大概是这样的想清楚需求30%→ 设计架构20%→ 写代码50%。写代码占了半壁江山所以编码能力是核心竞争力。面试考算法、考手写代码逻辑就在这里。AI 编程时代这张表被重写了想清楚需求并表达为规范60%→ 设计架构25%→ 审查和验证 AI 产出的代码15%。写代码这个动作本身正在被压缩到近乎消失——AI 用 10 秒就能生成你过去要写一下午的东西。在 AI 时代写代码的能力在贬值写规范的能力在升值。这不是一个模糊的趋势判断而是一个正在被工程实践证实的事实。OpenSpec 这个开源框架的存在本身就是证据——它由 Fission-AI 开发专门解决一个问题让你和 AI 在写代码之前先在要做什么上达成一致。它支持 Claude Code、Cursor、Windsurf 等 25 工具不换工具就能接入。OpenSpec 最巧妙的设计叫 Delta Specs增量规范——只记录变化的内容用ADDED/MODIFIED/REMOVED标记变更类型不用每次重写整个规范文档。比如给系统加双因素认证只需要在增量规范里标注新增的认证需求归档时再自动合并进项目主规范。这个设计的本质是什么是把需求从易消散的对话变成了可版本控制的工程资产。一个完整的 OpenSpec 工作流长这样/opsx:propose提案AI 自动生成 proposal.md、design.md、tasks.md 和增量规范→/opsx:apply按任务清单逐项实现代码→/opsx:archive合并规范、归档留痕。整个过程没有跟 AI 反复扯皮需求没有手动整理文档——但这套流程真正在解决的问题不是怎么让 AI 写得更快而是怎么让人想得更清楚。OpenSpec 官网 GitHub 仓库到这里有人一定会反驳AI 越来越强未来它自己就能理解需求、自己做架构、自己写规范人还需要操心这些吗我的判断恰恰相反。AI 越强规范越重要。AI 越强一个模糊指令的破坏力就越大——就像给一个实习生和一台挖掘机同样的权力能力越强翻车越狠。原因很简单AI 的执行能力越强它执行一个错误或模糊指令的效率和完成度就越高。一个能力平庸的 AI 收到模糊指令顶多写一段跑不起来的烂代码一个能力超群的 AI 收到同样的模糊指令会用最优雅的架构、最规范的语法高效地构建出一个完全偏离你意图的系统——而且它看起来太好了以至于你懒得审查直到上线后出事。这不是假设。RedAccess 那 5000 款裸奔应用就是活生生的例子——它们大概率不是 AI 拒绝加安全措施而是从来没有人想过要提这个要求AI 又快又好地把一个不安全的需求变成了一个不安全的现实。所以规范层的价值不是随着 AI 变强而衰减而是随着 AI 变强而飙升。执行变得廉价决策和约束就变得昂贵。这条规律不只适用于编程。四、从 Vibe 到 Spec一张实战判断地图说完判断给你一张可以立刻用的地图。不是所有项目都该上规范驱动那套重武器但你需要知道什么时候该切换。用 Vibe Coding 的场景——快速原型、个人项目、探索性验证、一次性脚本。这些场景的核心诉求是快和试错成本极低。你赌的是灵感不是工程。一个周末 hackathon 的 demo用 Vibe Coding 完全没问题甚至是最优解。必须上规范层的场景——核心业务逻辑、涉及敏感数据的功能、需要长期维护的生产代码、多人协作的团队项目。这些场景的核心诉求是可控和可追溯。你赌的是工程不是灵感。怎么判断你站在哪一边问自己一个问题如果三个月后这段代码出了 bug有人可能是未来的你能看懂它当初为什么这么写吗如果答案是不能但这个项目又必须长期活着——你需要规范层。三个可以今天就做的动作第一给你的项目写一个最小信息集的CLAUDE.md或AGENTS.md——只回答三个问题这项目是做什么的、技术栈是什么、项目结构长什么样。就这三条已经能过滤掉一大半 AI 的胡乱发挥。Claude Code 甚至提供/init命令自动扫描项目结构生成草稿你删掉废话、补上项目特有约定就行。第二把约束写得像法律条文别写得像新年愿望。写好代码、注意安全是新年愿望类型标注必须、数据库操作用 ORM 不用裸 SQL、密码用 bcrypt 哈希是法律条文。AI 听不懂愿望但能执行条文。第三养成上下文卫生的习惯。开始实现前清除无关的上下文别让上一个任务的残留信息污染当前任务。这是 OpenSpec 官方反复强调的习惯——听起来微不足道但它是区分用 AI 写出好代码的人和被 AI 带着跑的人的分水岭。文章开头那 5000 款裸奔应用现在还在互联网上跑着。它们的创作者大概还在享受 Vibe Coding 带来的快感——说一句话应用就跑起来了多酷。但他们没意识到的是自己省下的不是写代码的时间而是想清楚的时间。而后者正在以一种他们看不见的方式变成技术债、安全漏洞和凌晨三点的线上事故连本带利地讨回来。写代码这件事正在变得免费。但「把一件事想清楚、说明白、变成别人包括 AI能精确执行的规范」——这项能力正变成这个时代最贵的技能之一。这不是某个工具的胜负也不是某个框架的兴衰。这是编程这件事本身的重心迁移从手移到了脑。所以与其花一整天研究哪个 AI 编程工具最强不如花一小时想清楚我要做的这个东西到底该满足哪些约束。 互动问题你最近一次用 AI 写代码是花更多时间在想清楚要什么上还是花更多时间在让 AI 重写上你觉得这个比例健康吗如果你觉得这篇文章有价值欢迎转发给需要的朋友。