大家好，我是敢想老田。今天咱们聊点刺激的AI编程的神话，是不是该醒醒了？最近有个研究可真是炸了锅，576万个代码样本里，居然有20依赖的是压根不存在的软件包！这可不是什么小打小闹，苹果微软这些巨头都中过招。Meta和微软还在那儿高喊未来AI写95代码，我看这口号喊得越响，现实打得脸越疼。

先说说这个研究的背景。在美国计算机安全协会的安全研讨会上，研究人员准发表一篇论文，揭露了一个叫软件包幻觉的现象。简单来说，就是AI生成的代码里，经常引用一些根本不存在的第三方库。这可不是小事儿，攻击者完全可以利用这些幽灵包搞事情植入恶意代码窃取数据开后门，你想得到的想不到的，他们都能干。

研究用了16种主流的大型语言模型，生成了576万个Python和JavaScript代码样本。结果呢？44万个依赖项是幻觉产物，也就是说，它们只存在于AI的想象中。开源模型的虚构比例最高，达到了21。商业模型稍微好点，但也有5的虚构率。JavaScript的虚构比例比Python还高，研究人员推测可能是因为JavaScript的生态更复杂，包名更难记准。

最可怕的是，这些幽灵包不是随机出现的。43的幻觉软件包在10次查询中都被重复提及，这说明它们不是偶然错误，而是AI坚信不疑的产物。这种持久性对攻击者来说简直是天赐良机他们可以提前注册这些包名，坐等开发者上钩。

Meta的扎克伯格最近还说，未来12到18个月内，Meta的大部分AI开发代码都将由AI生成。微软的CTO Kevin Scott更是大胆预测，五年后95的代码都由AI生成，人类几乎不用动手。这话听着挺唬人，但现实是，AI连基本的依赖项都搞不定，还谈什么取代人类？

Scott有41年的编程经验，他说AI的崛起和当年汇编语言向高级语言的转变差不多。但问题是，当年的转变可没带来这么多安全隐患。现在的情况是，AI生成的代码不仅不能取代人类，还可能把整个软件供应链拖入灾难。

研究人员建议开发者一定要仔细检查AI推荐的代码，别盲目信任。但说真的，有多少人会真的去查？AI工具用起来太方便了，方便到让人忘了危险就在眼前。

所以啊，AI编程的神话该醒醒了。它不是银弹，更不是救世主。至少在可预见的未来，代码的核心创造力和设计还得靠人类。AI可以是个好帮手，但千万别让它当主角，否则后果不堪设想。