氛围编程如何重塑软件开发的经济学

本文探讨了AI驱动的氛围编程和自主代理如何改变软件开发流程,分析AI编码工具的发展趋势、创新驱动力及其对软件企业和网络安全的影响,包括代码生产效率提升和安全挑战。

氛围编程如何重塑软件开发的经济学

引言

近年来,软件开发发生了巨大变化。开发者从在Stack Overflow上复制代码,转向使用ChatGPT获取代码建议,使用具备AI自动补全功能的集成开发环境(IDE),再到如今提示大语言模型(LLM)生成完整应用程序。这一转变正在改变工程团队的工作方式,并重塑软件创建和网络安全的经济学。

在本文中,我将探讨AI如何塑造代码编辑器、生成器和开发者工作流。我将分析AI编码工具的现状、推动其发展的力量,以及这些变化的影响——从开发民主化到应对网络安全风险。通过理解这些趋势,组织可以更好地为新时代的机遇和挑战做好准备。

AI驱动开发的新时代

根据Georgian和NewtonX于2024年11月发布的AI采用基准报告,超过50%的研发(产品/工程/IT)领导者报告称,由于团队的培训和技能发展,成本有所增加。此外,约40%的研发领导者表示,技术人才的缺乏是扩展AI的障碍。

毫不奇怪,随着我们进入2025年,两种趋势正在塑造围绕代码生成的开发者工作流:“氛围编程”和自主代理。

氛围编程使开发者能够通过让LLM主导编写、调试和测试代码来卸载大量认知负担。通过氛围编程,用户提供自然语言提示来描述期望的结果,LLM通过生成代码片段、协助调试和验证功能来响应。这种方法使编码更加直观、易于访问和高效——即使对于没有传统编程专业知识的个人也是如此。

AI编码工具现在利用先进的多步代理架构来管理整个开发周期。这些工具可以自主生成代码、在shell中执行、验证其正确性,并仅在必要时请求人工验证。以前需要数周手动完成的任务现在在几小时内完成,仅受LLM令牌限制和GPU处理速度的约束。

对于软件工程师来说,这种转变意味着许多传统的开发工作流——阅读API文档、编写测试、代码实现和验证——可以并且正在被自动化。开发者现在可以与AI工具协作来优化输出,而不是自己编写每一行代码。

AI编码工具的现状

尽管AI驱动的编码解决方案呈爆炸式增长,但许多工具都围绕一组核心功能(如代码补全和代码理解)进行融合。虽然一些工具旨在实现自主的全应用程序生成,但其他工具仍以IDE为先的方法。在撰写本文时,产品差异化部分是由为不同开发者受众(前端、后端等)以及不同界面和形式因素(独立IDE、扩展、CLI工具等)设计的工具驱动的。

全自动化的开源尝试尚未达到高可靠性(例如,没有主要AI模型在SWEbench的完整测试上超过50%的自动解决率)。然而,基础模型和代理架构的持续进步正在推动对更高采用率和改进可靠性的乐观情绪。

推动创新的两种力量

基础模型的改进:

基础模型的进展直接影响AI编码工具的有效性。随着模型改进正确性、延迟和成本,用户的迭代速度显著提高。竞争对手正在竞相主导SWEbench等公共基准测试,其中正确性胜过推理速度,因为工程任务的价值很高。

代理架构:

除了编码,LLM正被集成到代理系统中。这些架构将问题分解为可管理的任务,允许LLM通过“工具调用”、内存管理和检索增强生成(RAG)执行复杂的工作流。通过将多个代理打包成连贯的系统,开发者现在可以访问更高层次的抽象,从而实现比以往更强大和灵活的工具。许多IDE甚至采用了模型上下文协议服务器(您可以将其视为迷你代理服务器),使代理能够调用其他代理——以实现更复杂的工作流和任务。

对软件企业和网络安全的影响

虽然AI编码工具的快速采用为软件业务带来了机遇,但也存在一些采用障碍。60%的研发领导者担心数据隐私和安全。软件企业的一些机遇和相应挑战包括:

  • 代码生产增加:在几小时内而非几周内生成正确代码的能力显著降低了生产成本。然而,这也意味着生成的代码量呈指数级增长,增加了网络威胁的攻击面。传统的安全程序和方法仍然适用,但可能需要增加自动化、应用程序发现和联邦安全软件供应链才能有效。理想的“左移”状态涉及代码生成工具变得安全感知和环境感知,以便不产生违规的不安全代码和应用程序——而我们仍处于早期阶段。

  • 非工程师的可访问性:技术相关的专业人员,如项目经理和产品开发者,现在可以在没有正式工程培训的情况下生成代码。这种代码创建的民主化使更广泛的个人能够为软件开发做出贡献,促进创新并加快项目时间表。然而,它也引入了重大的安全风险,例如在没有熟练评审员监督的情况下可能生成不安全代码和漏洞。许多组织采取硬隔离应用程序与核心系统的方法,并部署“原型”或“营销”系统。但为了实现速度和安全性,这种方法可能劳动和成本密集,因为它需要建立管道以完全自动化的方式启动安全和临时环境。

  • 网络安全经济学:从劳动力角度推断软件生产成本显著降低并不夸张,特别是如果工程师可以在几天内完成过去需要数周或数月的工作。不幸的是,同样的计算适用于不良行为者使用现代代码生成工具生成攻击代码以利用漏洞。生成代码的成本和努力减少可能导致防御系统的成本增加。通常优先考虑速度而非安全的初创公司在扩展时可能面临增加的风险。今天主导网络安全支出的大型企业可能需要投资于考虑新代码量的解决方案。

前进之路

在我看来,随着AI生成代码的激增,公司必须优先扩展网络安全防御以匹配开发速度。开源工具仍然是初创公司的重要平衡器,但需要更广泛的转变来改善中小型企业安全解决方案的可访问性和可负担性。没有这一点,违规——无论是否检测到——很可能在频率和影响上升级。

组织在氛围编程和代理AI时代可以采取的其他关键方法来加强其网络安全实践包括:

  • 通过确保只有授权的人和非人实体能够与AI模型交互来维持严格的访问控制,
  • 通过实施关于工具和AI代理可以使用和访问哪些数据的严格规则来确保强大的数据治理实践,以及
  • 使用监控和评估工具来监控AI系统的异常,如恶意提示或意外模型输出。

此外,组织可以利用LLM有效执行其愿景、政策和标准。利用LLM扫描对架构模式、标准和安全政策的遵守是从与遗留供应商工具的代码审查相关的自动代码扫描过程的逻辑演变。此外,LLM可能扩展到跨各种组织功能执行更广泛的政策合规,从而增强整体治理和风险管理。

随着我们进入这个AI驱动开发的新时代,一个关键挑战将是平衡自主代理等工具的生产力收益与对强大、可扩展防御的日益增长的需求。虽然氛围编程可能重新定义我们构建软件的方式,但它也要求从根本上重新思考我们如何保护它。

关于作者

Nahim Nasser是风险投资公司Georgian的AI实验室工程主管,他领导工程团队并与投资组合公司紧密合作以加速增长。此前,他曾在Credit Sesame担任工程副总裁,在STACK担任CTO,在CoreLogic担任工程副总裁。Nahim在渥太华的卡尔顿大学学习软件工程。在业余时间,他喜欢使用裸机服务器并与他的幼儿和吉娃娃共度时光。可以通过linkedin.com/in/nahimnasser和Georgian的网站https://georgian.io/联系Nahim。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次