核心观点
氛围编程(Vibe coding) 是指通过自然语言提示词(Prompts)利用AI开发代码的过程。
由业余爱好者生成的AI代码可能会给智能家居系统引入安全漏洞并引发性能问题。
使用AI生成代码的专业程序员也可能为智能家居带来长期的系统性风险。
关于AI在智能家居领域的潜在影响已有诸多讨论,虽然其部分益处已开始显现,但一种风险也随之而来。“氛围编程”,即利用AI编写程序代码的过程,已经渗透到几乎所有涉及软件或编码的领域。它在开源平台开发智能家居集成方面的应用日益增加,这凸显了使用此类代码可能会给家庭自动化系统引入额外的安全风险,同时大幅降低系统性能。
氛围编程(vibe coding)是一种由人工智能辅助的编程方式,由计算机科学家、OpenAI联合创始人兼特斯拉前人工智能主管Andrej Karpathy明确提出。该方式以开发者向AI提出自然语言需求为核心流程,通过大型语言模型生成代码,在代码能运行时直接应用,出现问题时再通过自然语言反馈要求AI修改 。
氛围编程给智能家居带来的风险
据报道,工程师亚当·戴维森(Adam Davidson)在为《How-To Geek》撰文时指出,虽然AI允许用户通过自然语言提示词轻松为特定目的创建代码,但这种让不熟悉编码的人也能产生大量输出的能力,导致了涉及安全漏洞以及开放API智能家居平台集成的一系列问题。
究其原因,虽然文中未明确说明,但正如人类程序员会写出带有Bug的代码一样,AI也会。主要问题在于,当资深程序员生成有缺陷的代码时,他们更有可能在发布前发现并修复漏洞;而对于那些几乎没有编程知识、利用AI生产自己本不具备技能水平代码的业余爱好者来说,情况并非如此。
尽管AI可以用来检测某些问题并进行修正,但这并非完美方案,并非所有错误都能被发现和修复。
氛围编程软件可能充斥安全漏洞
戴维森在他的文章中提到了一起已经发生的氛围编程软件安全泄露事件,涉及一款名为Huntarr的自托管应用管理工具。在安全审查中,测试人员发现某些API端点可以在未经身份验证的情况下访问,且响应信息会以明文形式返回存储的API密钥和凭据,使不法分子极易获取应用存储的敏感详情。
氛围编程生成的集成可能极度缺乏优化
戴维森还提供了一些关于劣质代码如何影响智能家居性能的假设性案例。其中一个场景是:氛围编程应用每隔几秒就调用一次API,导致客户端IP地址因垃圾请求被封锁。此外,它们可能会更频繁地从电池供电设备中提取数据,导致电池电量过快耗尽。
且这些风险已在更广泛的科技行业中为人所知
虽然戴维森主要针对智能家居发表见解,但《Fast Company》和《Forbes》等网站已经发布文章,详细阐述了AI生成代码中可能潜伏的安全漏洞。风险再次指向了“谁在利用氛围编程生产程序和集成”,以及那些只看到无需雇佣程序员即可开发代码的成本优势的管理层的态度。
正如汤姆·巴内特(Tom Barnett)在《Fast Company》中所写:
“当你通过大语言模型生成代码时,就像人类开发的代码一样,它会有Bug。但与人类生成的代码不同,公司里没有人能完全理解它是如何组合在一起的。这包括它是否结构合理、是否连贯,或者漏洞可能在哪里。在当前这种‘不顾一切、全速前进’的AI痴迷狂热中,解决这个问题目前似乎并不是首要任务。”
为了进一步说明AI生成代码固有的安全漏洞,正努力利用AI热潮获利的巨头公司之一——苹果(Apple),已经由于氛围编程应用给终端用户带来的安全风险,在App Store上对其进行了严格限制。
你的智能家居设置面临多大风险
当在开源平台上使用非官方的第三方集成时,氛围编程带来的风险最高。当然,许多集成商(Integrators)无需担心这个问题,只要他们使用的是专业级平台,这些平台会限制其API访问权限,仅允许经过审核的合作伙伴开发集成。
即便如此,虽然这些措施阻止了组织外部的业余第三方开发自定义集成,但氛围编程给智能家居生态系统带来的风险并不仅限于这一特定群体。根据硅谷内部人士日益增多的传闻,即使是由专业人士操作,氛围编程也可能给系统引入系统性风险。
氛围编程的狂热是否遮蔽了判断力?
最近在一个节目种,主持人讨论了几份匿名收集的硅谷内部人士关于大型机构氛围编程的陈述。对于外行来说,这个行业的这个领域已经深受“氛围编程虫”的侵蚀。
谷歌声称过去一个月内生成的代码约有70%是由AI生成的,其他公司如Meta和Oracle也声称有类似的比例。需要注意的是:这些AI代码并非原封不动地直接丢进现有代码库,它们在引入系统之前仍会经过资深程序员的审核。
然而,节目中提到的观点是:氛围编程带来的生产力诱惑仍对产出的代码产生了负面影响。内部人士指出一个潜在的现实:虽然AI允许专家更快地生产代码,但为了追求产量,在将代码加入软件之前所需的优化和安全检查工作正在被精简。
专业人士生成的AI代码真的安全吗?
即使专业编码人员使用AI进行氛围编程,仍存在几个问题。首先,与亲手编写代码相比,氛围编程者对代码底层结构的了解不够深入,这使得在出现问题时进行调试变得更加困难。此外,AI开发的代码通常难以扩展,因为代码大多只在给定的提示词参数内运行,难以兼顾未来的功能扩展。
最后,正如WBUR节目所指出的,除非人类开发者对AI引入的代码进行严密检查,否则技术债(Technical debt)会迅速积累,由于缺乏未来维护代码所需的知识和语境,最终会导致代码库变得无法维护。简而言之,当专业人士未能妥善使用AI时,AI生成的代码产生的是长期系统性风险,而非短期风险。
给集成商的启示
鉴于近期揭示的氛围编程可能给智能家居带来的风险,集成商最大的启示是与可靠合作伙伴合作的必要性。虽然专业智能家居行业在一定程度上抵御了由缺乏经验的第三方开发者带来的风险,但可以肯定的是,AI生成的代码正以某种程度渗入智能家居系统。
对于智能家居领域的公司而言,这些发现可能意味着在系统内使用AI生成代码时需要更严格的审查,因为核心问题往往在后期才会显现。对于集成商来说,这也是一个警示:无论是否拥有专业程序员,任何试图利用AI生成代码进行自定义编程的公司都应保持警惕。
当然,最重要的教训是:非官方第三方提供的氛围编程集成所带来的风险,恰恰凸显了坚持使用由原厂和受信任第三方提供的官方集成的重要性。忽视这一点可能会给客户的系统注入不必要的风险,甚至可能导致系统瘫痪。
千家视点
作为智能家居行业的观察者,我们认为“氛围编程”(Vibe Coding)的兴起对行业而言既是效率革命,也是安全潘多拉魔盒。
从“功能至上”向“安全至上”的回归:过去几年,智能家居行业极度追求设备间的“互联互通”,导致大量非官方插件充斥市场。本文提到的风险点醒了行业:一个不经优化的AI代码集成,可能成为黑客进入家庭网络的后门,或让用户的智能门锁因电池耗尽而失效。
“技术债”是集成商的隐形地雷:专业集成商(SI)如果为了缩短交付周期而过度依赖AI生成脚本,短期内看似提高了毛利,但由于代码底层逻辑的模糊性,未来的维护成本和系统崩溃风险将呈指数级增长。
厂商信誉将成为核心资产:在AI代码泛滥的背景下,拥有“封闭生态认证”或“严格代码审核机制”的品牌(如Control4, Crestron, Lutron等)将重新获得高端市场的青睐。
总结
智能家居的本质是“确定性”与“稳定性”。在AI辅助开发的浪潮下,能够坚持对代码深度审核、对集成接口严加管束的服务商,才是在未来技术动荡中生存的关键。
参与评论 (0)