报告发现：AI生成的代码将引发新一轮技术债务浪潮

Ox Security新发布的报告指出，AI生成的代码“功能强大，但在架构判断方面存在系统性不足”。在10月下旬发布的一份名为“初级军团：AI代码安全危机”的报告中，AI应用安全（AppSec）公司Ox Security列出了在AI生成的代码中常见的10种架构和安全反模式。

Ox团队检查了300个开源项目（其中50个项目全部或部分由AI生成），并评估了代码的架构和安全质量。在大多数AI生成的代码中，他们识别出的反模式出现频率都比较高。以下是出现最频繁的问题：

Ox团队主张设立一个新的开发角色来管理这种风险。他们建议将AI定位为实现支持，使人类可以专注于产品管理、架构决策和战略监督。报告指出，尽管AI在功能实现方面表现出色，但在突破性创新方面，人类的创造力仍然不可替代。在安全方面，该团队认为，将手动代码审查作为主要的防御手段，这种做法已经过时。相反，组织必须将安全要求直接构建到他们的AI提示中，并投资能够跟上AI编码速度的新型自主安全工具。

关于AI生成的代码中存在的固有问题，Ana Bildea也得出了类似的结论，不过她的观点更系统。在Medium上发表的一篇名为“生成式AI技术栈中隐藏的技术债务”的文章中，Bildea写道，“传统的技术债务是线性累积的。你跳过一些测试，走一些捷径，推迟一些重构。痛苦逐渐积累，直到有人分配一个冲刺来清理它。AI技术债务不同，它会快速加重。”

Bildea声称，有三个主要的“介体（vector）”会产生AI技术债务：模型版本混乱（由代码助手产品演变速度快所引起）、代码生成膨胀（Ox Security识别出了同样的问题）和组织碎片（相互独立的团队使用了不同的模型和方法）。这些介体，加上AI生成代码的速度，相互作用之下会导致技术债务呈指数级增长。

模型版本混乱使得代码生成膨胀更加隐蔽，难以发现。[……]一家公司，从“AI正在加速我们的开发”到“我们不能发布功能，因为我们不了解自己的系统”，只需要不到18个月的时间，我自己睹了这个过程。

她建议的解决方案是采取企业治理方法：提高可见性、一致性和生命周期策略。可见性和生命周期管理使公司能够知道安装了哪些模型，怎么使用的，以及它们的表现如何。团队一致性为使用AI创建了一套统一的实践，共享一个心理模型，使协作调试成为可能。Bildea说，“有一个令人不安的现实是，大多数公司都在针对错误的指标做优化。他们评价AI的采用率和功能速度，却忽视了技术债务的积累。”

声明：本文为InfoQ翻译，未经许可禁止转载。

原文链接：https://www.infoq.com/news/2025/11/ai-code-technical-debt/