GitHub 正在变成一个巨型 AI 代码垃圾场

现在 GitHub 上有 6.3 亿个仓库。将近一半的新代码是 AI 写的。

听起来效率爆炸对吧？

但同一份报告里还有一个数字：开发者对 AI 代码的信任度，从 77% 直接跌到 60%。用的人越来越多，信的人越来越少。

更狠的在后头。

你刷到的几千 star 项目，一半是假的

卡内基梅隆大学扒出来的：GitHub 上有 600 万个假 star。安全公司 Socket 查到 370 万个 fix star，跟诈骗直接挂钩。你刷到那些几千 star 的 vibe coding 项目，搞不好一半都是刷出来的。

这还不是最吓人的。

CodeRabbit 扫描了 470 个 PR，AI 写的代码严重问题是人工写的 1.7 倍。45% 的 AI 代码，带着 OWASP 顶级漏洞就直接上线了。63% 的开发者说，修 AI 写的代码比自己从头写还慢。

但最魔幻的是这个。

你用 AI 变慢了，但你完全感觉不到

Meter 做了一个随机对照实验。结果：用 AI 的人实际上慢了 19%，但他们觉得自己快了 20%。

做完实验告诉他们数据了，他们还坚持说自己变快了。

这才是最可怕的。你变慢了，但你完全感觉不到。

开源社区正在被垃圾 PR 淹死

看看各大项目在做什么：

• curl——直接砍掉了跑了 7 年的 bug bounty 计划。AI 生成的 bug 报告只有 5% 是真的，剩下全是噪音。
• Ghost——全面封杀有 AI 提交的代码。
• Tailscale——更绝，把所有外部 PR 全关了。不管你是不是 AI 写的，一视同仁。
• GitHub 自己——在做 PR kill switch，让维护者一键关闭外部提交。

开源社区不是被黑客攻破的。是被 vibe coder 拿 AI 生成的垃圾 PR 活活淹死的。

垃圾进，垃圾出

这才是整个链条里最讽刺的地方：

你让 AI 帮你写代码 → AI 去 GitHub 上搜参考 → 搜回来的全是别的 AI 生成的垃圾 → 垃圾喂垃圾，你猜最后写出来的是什么？

以前 GitHub 是代码仓库。现在它正在变成一个巨型 AI 代码垃圾场。

问题出在哪？不是 AI，是治理

AI 写代码本身不是问题。问题是：没有人审计 AI 做了什么。

Vibe coding 的核心理念是"接受 AI 生成的一切，不审查，不修改"。这个理念在写一个 TODO 应用时没问题。在写生产代码时，就是在给自己埋定时炸弹。

但话说回来，让人类逐行审查 AI 代码也不现实——既然 63% 的人说修比写还慢，那审查只会更慢。

真正的解法不是"不用 AI"，也不是"全部人工审查"。而是 在 AI 代码进入仓库之前，有一层自动化的治理把关：

• 每次工具调用都被审计——AI 做了什么、改了哪个文件、调了什么 API，全部记录在案，密码学签名。
• 危险操作被自动拦截——删除数据库？修改生产环境？先过 4 级决策树。97% 自动判定，3% 升级人工。
• 安全策略持续演进——每次误报、每次绕过尝试，都反馈到治理引擎，让它变得更聪明。
• 形式化验证——不是"我们希望这样更安全"，是从数学上证明系统向安全收敛。

治理不是减速，是让你真正敢加速

没有治理的 AI 代码，跑得越快，翻得越惨。

那些封杀 AI 提交的项目（curl、Ghost、Tailscale）不是反 AI。他们在说同一个意思："我们欢迎 AI 辅助，但受不了没有质量控制的垃圾。"

MAREF 就是这个质量控制层。不是挡在你和 AI 之间，而是挡在垃圾代码和生产环境之间。

你仍然可以 vibe coding。你仍然可以让 AI 帮你写代码。只是在它把数据库删了之前，会有人拦住它。

你变慢了？不。是你终于能看清自己在写什么了。

📊 数据来源：GitHub Octoverse 报告、卡内基梅隆大学假 star 研究、Socket 安全报告、CodeRabbit 470 PR 分析、Meter RCT 实验、curl/BT/Ghost/Tailscale 官方公告。MAREF 是开源智能体治理操作系统。5 分钟快速上手。