文章总结： 文章分析VibeCoding（AI辅助编码）对开源生态的负面影响，指出其导致开源项目互动减少、维护者收入下降，加剧软件供应链风险。关键发现包括：AI生成代码占比超25%，开源组件维护债务积累（93%应用含休眠组件），案例显示漏洞潜伏风险上升。建议开源项目转向企业付费模式、优化AI可读文档，企业需主动监控依赖项并资助关键项目。 综合评分： 87 文章分类： 供应链安全,AI安全,安全建设,解决方案,漏洞预警

Vibe Coding正在杀死开源软件，让软件供应链风险悄然升级

安全牛

2026年4月3日 13:58 北京

点击蓝字 关注我们

最近，一个新词在开发者圈子里越来越火——“Vibe Coding”（氛围编码）。它听起来很酷，但背后却隐藏着对开源生态的致命威胁，甚至正在悄无声息地增加整个软件供应链的风险。

AI驱动的编码方式正在改变开发者与开源项目的互动模式，而这种改变，正在让开源软件（OSS）的维护体系逐渐崩塌。

什么是Vibe Coding？

“Vibe Coding”这个词由AI研究员Andrej Karpathy在2025年初提出，并被Collins英语词典评为当年的年度词汇。它描述了一种全新的开发流程：开发者不再亲自编写大量代码，而是通过自然语言“指导”AI助手，让AI来选择软件包、编写实现代码、集成依赖项。

开发者往往甚至不知道AI最终选择了哪些库，就完成了开发任务。这种“只管氛围，不管细节”的编码方式，正在迅速普及。

数据显示：

• 到2024年10月，谷歌新代码中超过四分之一是由AI生成并被工程师接受的；
• 2025年的一项研究显示，美国GitHub贡献者编写的Python函数中，约29%-30%由AI生成；
• Stack Overflow 2025开发者调查中，超过80%的专业开发者正在使用或计划使用AI工具，其中51%每天都在用。

听起来效率大幅提升，对吧？但问题也随之而来。

开源生态的“需求转移”危机

传统开源开发有一个重要的“参与循环”：开发者下载包 → 阅读文档 → 遇到问题 → 在论坛提问 → 可能提交修复。这个过程不仅帮助项目改进，还为维护者带来可见度和回报——包括声誉、咨询机会、企业付费服务等。

而Vibe Coding通过AI中介了整个过程，彻底打破了这个循环。

结果是：开源项目的下载量和使用量在上升，但人类互动层却在急剧萎缩。

Empromptu联合创始人兼CEO Shanea Leven指出：“开源的消费量其实在增加，但围绕项目的互动指标却在下降。开发者仍然 heavily 依赖这些项目，但路径被AI完全中介了。

”

Tailwind CSS就是一个典型案例。作为热门CSS框架，它的npm下载量在2025年持续上升，但Stack Overflow上标记“tailwind-css”的问题数量却在下降。框架作者Adam Wathan在2026年1月的GitHub评论中透露：文档流量比2023年初下降了约40%，而收入更是下降了近80%。

他无奈地写道：“让Tailwind更容易使用，和让这个框架的开发更可持续，目前似乎没有相关性。”

类似现象在整个生态中蔓延。2024年的一项PNAS Nexus研究显示，ChatGPT的出现导致Stack Overflow活动在六个月内因果性地下降了约25%。

开源维护债务正在积累，供应链风险同步升级

开源软件早已是现代商业软件的基础。Black Duck 2026年的《开源安全与风险分析报告》（OSSRA）显示，98%的商业代码库包含开源组件，平均每个应用依赖超过1100个开源包。没有开源，企业软件开发成本将增加3.5倍。

但现在，AI正在让这个基础变得更脆弱。

通过经济模型预测：在传统开源商业模式下，大规模Vibe Coding会导致开源供给减少、整体社会福利下降，尽管软件产出在增加。

模型预测，当Vibe Coding采用率达到70%时，典型开源项目的单用户货币化收入将下降70%，而AI带来的生产力提升只能抵消约12%的开发成本。

更糟糕的是：

• Black Duck报告显示，93%的被调查应用中包含过去两年没有新开发活动的“休眠”开源组件；
• Sonatype报告指出，2022年还在维护的Java和JavaScript开源项目中，近20%如今已无人维护。

这些“维护债务”直接转化为安全风险。经典案例包括：

• 2021年的Apache Log4j漏洞：即使披露两年后，仍有超过40%的下载版本存在漏洞；
• 2024年初的XZ Utils后门：攻击者花了两年时间与单一维护者建立信任，最终植入恶意代码。

Black Duck调查还显示，过去一年有65%的组织遭遇过软件供应链攻击。

Vibe Coding带来的风险更隐蔽：它不是直接注入恶意代码，而是让维护者失去收入和反馈，导致中层和新兴开源项目逐渐无人维护。安全漏洞更容易长期潜伏，且比“已被攻破的包”更难被检测。

开源生态和企业该如何应对？

专家们认为，单纯依赖传统模式已不可持续。开源项目需要探索新的可持续路径，例如：

• 更多转向企业级付费支持、SaaS服务或使用无关的收入来源；
• 维护者主动适应AI工具，提供更好的结构化文档和API，让AI能准确理解和推荐项目；
• 企业用户不能再“隐形依赖”，而应主动监控依赖项的维护状态、参与社区，或为关键开源项目提供资金支持。

Red Hat和SUSE的社区架构专家也指出，虽然AI能减少部分琐碎的bug报告负担，但发现新项目、理解依赖限制等关键环节，仍需要人类主动介入文档和社区。

结语

Vibe Coding带来了前所未有的开发效率，但它正在悄然蚕食开源生态的根基。当开源维护者越来越难以为继时，软件供应链的安全风险将从“偶发事件”变成“系统性威胁”。

作为软件开发者、企业架构师或安全从业者，我们不能只享受AI带来的生产力红利，而忽略其对开源生态的长期破坏。关注依赖、支持维护者、推动可持续模式，或许才是应对这场隐形危机的正确方式。

相关阅读

塑新质链脉，筑数字韧疆：《数字供应链安全技术应用指南（2025 版）》报告发布（附下载二维码）

深度研究 | 数字供应链安全市场的爆发式增长与技术变革

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《Vibe Coding正在杀死开源软件，让软件供应链风险悄然升级》