你身边一定有人说过这句话：AI写的代码不安全。我每次听到都想笑。这话，和"自动驾驶不如人开车安全"，是同一种妄念。先说一件刚发生的事。 Anthropic最近搞出一个新模型，叫Claude Mythos Preview。不对公众开放，只给少数机构用。不是因为不够好，是因为太猛了。它跑了一遍人类过去几十年写的代码，翻出了数千个零日漏洞。 OpenBSD，安全界的标杆，被它挖出一个藏了27年的漏洞。 FreeBSD里一个17年的远程代码执行漏洞，也被它完全自主地找到——然后用8小时写出了利用代码。人类藏了17年的雷，它8小时就拆明白了。你品一下这意味着什么。人类写了五十年代码，埋了无数雷，自己排不完。AI来了，扫一遍，全翻出来了。这不是孤例。 Anthropic和Mozilla官方合作，用Claude审计Firefox浏览器。两周，找到22个漏洞，14个高危。其中一个危险评分9.8，满分10。一个AI，两周，把一个全球主流浏览器翻了个底朝天。然但是，网上讨论最热的话题是什么？却是AI写代码不安全。这种心理我太熟悉了。保险公司比谁都精。但是，Lemonade给开启自动驾驶的车主保费直接打五折。保险公司是拿真金白银赌概率的，他们算得比你清楚：机器开车，比人安全。但人就是觉得自己开更安全。为什么？因为人要的根本不是安全感，是操控感。方向盘在手里，就觉得命在手里。可数据告诉你，你手里那个方向盘，才是最大的风险源。写代码也是一样的道理。我见过一个真实案例。一个企业的技术团队，把数据库管理员密码直接写死在客户端代码里。任何一个稍微懂点代码的人，都能拿到整个数据库的最高权限。这不是段子。这种低级到离谱的错误，在人类写的代码里遍地都是。说AI写代码不安全的人，犯了一个经典错误：拿理想中的人类水平，去对比真实的AI水平。他们脑子里的人类程序员，是顶尖工程师最佳状态的产出。现实中呢？是加班到凌晨三点，复制粘贴，忘了关数据库连接，把密码推到GitHub公开仓库上。 AI不会累，不会侥幸，不会想"先这样吧回头再改"。而人类代码里最致命的bug，恰恰来自这些时刻。说得极端一点：在发明AI之前，让人类写代码这件事本身，可能就是最大的bug。不是人不行。是人太累了，太赶了，太侥幸了。整个世界运行在代码上，却一直用最不可靠的方式在写。 AI来了，第一件事不是写新的，是发现—— 原来旧的，已经千疮百孔。