Vibe Coding 安全么？ 终于有研究深入探讨这个问题。 研究发现： AI 编码代理可以编写功能性代码。但功能性并不意味着安全。 “Vibe coding”的兴起，开发者将任务交给 AI 代理，几乎没有监督，这一趋势正在加速。更多的自主性，更快的速度，更高的生产力。假设：如果它能工作，那就足够好了。 但工作代码和安全代码并不是同一回事。 这项新研究引入了 SUSVIBES，这是一个基准，包含来自开源项目的 200 个真实功能请求，特别是那些在分配给人类程序员时曾导致脆弱实现的任务。 结果令人震惊！ 当 SWE-Agent 使用 Claude Sonnet 4 处理这些任务时，61% 的解决方案在功能上是正确的。只有 10.5% 是安全的。 这差距巨大。六成的代理解决方案有效。大约十分之一是安全的。 研究人员测试了多个前沿代理，发现了一种一致的模式：所有代理在软件安全性方面表现不佳。这不是特定模型的问题，而是系统性的问题。 更令人担忧的是：在功能请求中添加漏洞提示，警告代理潜在的安全问题，无法缓解这些安全问题。看似显而易见的对策在这些代理系统中不起作用。 随着开发者或组织争相采用 AI 编码代理以提高速度和效率，他们可能正在以安全换取速度。 🔖（收藏它） 论文：