报告发现：AI 生成的代码将引发新一轮技术债务浪潮

Ox Security 新发布的报告指出，AI 生成的代码“功能强大，但在架构判断方面存在系统性不足”。在 10 月下旬发布的一份名为“初级军团：AI代码安全危机”的报告中，AI 应用安全（AppSec）公司 Ox Security 列出了在 AI 生成的代码中常见的 10 种架构和安全反模式。

Ox 团队检查了 300 个开源项目（其中 50 个项目全部或部分由 AI 生成），并评估了代码的架构和安全质量。在大多数 AI 生成的代码中，他们识别出的反模式出现频率都比较高。以下是出现最频繁的问题：

Ox 团队主张设立一个新的开发角色来管理这种风险。他们建议将 AI 定位为实现支持，使人类可以专注于产品管理、架构决策和战略监督。报告指出，尽管 AI 在功能实现方面表现出色，但在突破性创新方面，人类的创造力仍然不可替代。在安全方面，该团队认为，将手动代码审查作为主要的防御手段，这种做法已经过时。相反，组织必须将安全要求直接构建到他们的 AI 提示中，并投资能够跟上 AI 编码速度的新型自主安全工具。

关于 AI 生成的代码中存在的固有问题，Ana Bildea 也得出了类似的结论，不过她的观点更系统。在 Medium 上发表的一篇名为“生成式AI技术栈中隐藏的技术债务”的文章中，Bildea 写道，“传统的技术债务是线性累积的。你跳过一些测试，走一些捷径，推迟一些重构。痛苦逐渐积累，直到有人分配一个冲刺来清理它。AI 技术债务不同，它会快速加重。”

Bildea 声称，有三个主要的“介体（vector）”会产生 AI 技术债务：模型版本混乱（由代码助手产品演变速度快所引起）、代码生成膨胀（Ox Security 识别出了同样的问题）和组织碎片（相互独立的团队使用了不同的模型和方法）。这些介体，加上 AI 生成代码的速度，相互作用之下会导致技术债务呈指数级增长。

模型版本混乱使得代码生成膨胀更加隐蔽，难以发现。[……]一家公司，从“AI 正在加速我们的开发”到“我们不能发布功能，因为我们不了解自己的系统”，只需要不到 18 个月的时间，我自己睹了这个过程。

她建议的解决方案是采取企业治理方法：提高可见性、一致性和生命周期策略。可见性和生命周期管理使公司能够知道安装了哪些模型，怎么使用的，以及它们的表现如何。团队一致性为使用 AI 创建了一套统一的实践，共享一个心理模型，使协作调试成为可能。Bildea 说，“有一个令人不安的现实是，大多数公司都在针对错误的指标做优化。他们评价 AI 的采用率和功能速度，却忽视了技术债务的积累。”

声明：本文为 InfoQ 翻译，未经许可禁止转载。

原文链接：https://www.infoq.com/news/2025/11/ai-code-technical-debt/