新智元報道

【新智元導讀】AI寫代碼的風險隱藏在看似正確的代碼中，可能引發數據泄露或資產損失。Narwhal AI Code Risks開源項目整理了真實案例、早期信號和典型風險路徑，幫助開發者提前識別隱患，避免重蹈覆轍。

2026年，代碼正以越來越快的速度生成，卻以越來越少的審視被部署。

越來越多時候，用戶的需求被放進對話框，AI讀完上下文，補全函數，拉起依賴，改好配置，再順手生成測試。

等回過神來，一段代碼已經躺在倉庫里，等待合并。

用戶都已經形成了新的習慣，先讓AI寫出來跑起來，有問題再看哪里需要改。

但軟件世界里，最危險的東西往往是看起來平平無奇的代碼：語法正確，接口合法，測試通過，注釋完美。

可它仍然可能引入不存在的包名，打開過寬的權限，暴露數據庫......甚至讓一個能直接調用系統工具的 Agent 在提示詞注入下，把敏感數據帶出內部系統。

真正危險的，不是報錯紅燈亮起。而是所有風險儀表都顯示正常。

AI 寫代碼的風險，過去散落在各處：一篇安全博客藏著一個案例，一個 Issue 記著一段線索。等下一個團隊遇到同類問題時，又需要從頭拼湊風險來源、又要耗費大量時間精力對代碼進行大規模實證測量。

而北京大學Narwhal-Lab剛剛開源的Narwhal AI Code Risks已經把信息碎片整理好，按照真實事件、早期信號和典型風險路徑這三種類型歸類，供研究者查看。

論文鏈接： https://github.com/Narwhal-Lab/Narwhal-aicode-risks

當28項檢查全部通過

系統仍然偏航

第一條線索是一個已經合并的Pull Request，PR署名欄里赫然寫著Claude Opus 4.6和Copilot，以及四位人類開發者。28項檢查全部通過：沒有人發現問題。

然后，清算機器人花了幾分鐘，拿走了價值1,778,044.83美元的抵押品。

配置文件里cbETH的價格被設成了和ETH的換算比例，約等于1.12美元，而不是實際接近2,200美元的價格。

一個價格語義錯誤就這樣穿過了開發、檢查和合并流程，最后在金融系統里變成了真實損失。這就是Moonwell cbETH預言機配置事故最刺眼的地方。

問題就出在代碼中沒有語法報錯，人類開發者也沒有立刻阻斷異常的流程。相反，它看起來很完整，很順利，這就是一次正常的工程交付。

但正是這種暗流涌動的正常，才讓它成為安全事件的典型例子。

AI Coding的風險在于它并不總是以報錯的方式出現。

很多時候，它披著正確答案的外衣，安靜地進入工程流程。代碼能跑，檢查能過，PR能合并，但業務語義已經偏離了真實世界。

在低風險項目里，這種語義偏離可能只是一次返工；但在金融、企業數據系統等敏感場景中，它將直接泄露數據、暴露權限和損失資產。

當AI參與寫代碼、改配置、做review、甚至共同署名進入PR時，我們有沒有足夠把握知道每一次偏航是怎么發生的？

綠色通行信號

照不到所有角落

早期的AI幫你寫代碼，大多停留在局部補全。如果語法寫錯了，編譯器會報錯，單元測試會失敗，CI流程會將其拒之門外。

今天的AI Coding走得更遠而監管卻遲遲卻未跟上。

它能讀文件，能改配置，能安裝依賴，能生成基礎設施腳本，也能通過Agent在多個任務之間自行規劃。

AI不再只是坐在旁邊遞工具，它開始進入軟件工程的更長鏈路。

軟件工程里原本清晰的邊界，被AI Agent重新連成了一條更長、更難溯源的路徑。

分散的記錄

需要一份公共航行日志

安全事件很少一開始就有完整結論。有些事件證據充分，可以作為真實案例進入目錄；有些還停留在社區截圖、研究員討論或初步披露階段，只適合繼續觀察；還有一些不綁定單一真實事件，卻已經形成清晰模式，適合拿來做提前推演。

Narwhal AI Code Risks把材料分成三層：`cases/`、`inferred/` 和 `scenarios/`。

cases/記錄已經有公開來源和證據鏈支撐的真實事件;inferred/保存還沒有完全坐實、但值得持續追蹤的早期信號;scenarios/整理暫不綁定單一事件、但風險路徑足夠清晰的典型場景。

如果沒有這樣的公共記錄，AI Coding 的風險很容易變成互聯網里的短期記憶。

今天大家記得某個包名，明天討論某次數據暴露，過幾個月又被新的工具熱潮覆蓋。等相似問題再次出現，團隊仍像無頭蒼蠅撞進風險未知的航區。

Narwhal AI Code Risks做的，就是把這些零散風險片段固定下來，讓后來的人可以翻到同一頁。

沿著七類索引

看見風險的來路

AI寫代碼帶來的問題，不只在代碼里。它在依賴里，在權限里，在Agent的工具調用里，更在人類對AI輸出的信任方式里。

Narwhal AI Code Risks目前把風險分成7類：供應鏈、代碼級漏洞、云與基礎設施配置、Agent風險、垂直領域風險、知識產權與合規風險，以及人為因素。

在供應鏈風險里 ，AI可能推薦不存在的依賴。代碼級漏洞里，AI可能把路徑遍歷、輸入校驗缺失、鑒權問題重新寫進業務代碼。云與基礎設施配置里，AI可能為了先把代碼跑起來給出過寬的權限、公開的存儲桶或暴露的端口。Agent風險則更復雜，不只是生成文本，而是開始執行動作。AI生成物正在給真實系統埋下隱患。

AI引擎在點火

而航行日志才剛剛翻開

當AI一步步走進真實世界，相關的風險防治不應該只停留在事后復盤或零散討論中。

Narwhal AI Code Risks真正重要的地方，是把風險案例變成可以復用的知識。

開發者可以用它識別相似問題；安全研究人員可以把它作為樣本庫；工具廠商可以從中提取檢測規則和評測基準；開源社區也可以繼續補充新的案例、新的證據和新的風險類型。

AI 的引擎正在轟鳴，每一次偏航也都應該留下坐標。風險從來不會因為被忽視而消失，但經驗可以被記錄與傳遞。真正有價值的并非發現一次漏洞，而是讓后來者不必再踏入同一個陷阱。

Narwhal AI Code Risks正在做的，就是為AI應用元年的軟件世界，留下一份開源的航行日志。

參考資料：

https://github.com/Narwhal-Lab/Narwhal-aicode-risks

編輯：LRST