\n\nQuickbase推出Pave平台,旨在解决“氛围编程”中难以从原型跨越到生产环境的“80%难题”。该工具集成治理、安全和部署功能,虽获专家认可,但仍需警惕智能体特有的逻辑与安全风险。
译自:Quickbase's Pave targets vibe coding's notorious 80% problem
作者:Adrian Bridgwater
氛围编程曾一度风靡,随后却变得笨拙。利用自然语言描述软件应用的预期形式与功能,并使用各种代理式 AI服务来制定和构建代码库,这契合了智能体时代的叙事,节奏似乎非常完美。
但正如所有复杂的切分音结构一样,如果你不了解所有步骤,很容易漏掉一个节拍。
为什么“氛围”可能会跌跌撞撞
或许是因为其抽象层的透明度,可能是因为它可能产生的依赖项杂乱交织,又或者是由于缺乏对将此类应用程序在线化、使其处于可调试且稳定的状态并准备好扩展的复杂性的远见,氛围编程项目一直受到批评,因为它们具备几乎瞬间从零加速到 80% 的能力,但之后便难以为继。
“如果 QA 智能体在这些 [氛围] 工具中并行运行会怎样?专用智能体在后台检查工作流,验证在每次迭代后既定规则是否仍然成立。” —— Neha Vyas。
软件程序员、斯坦福大学商学院毕业生 Neha Vyas 告诉 The New Stack,氛围编程中的 80% 难题是真实存在的。她见过一些环境几乎能立即生成可工作的原型,但接下来的 20% 所花费的时间和精力比前 80% 的总和还要多。根据她的经验,每一次修复都会产生三个新的边缘案例,每一次提示词补丁都会破坏上游的内容——所以这并非工具的失败,而是架构的失败。
“氛围编程目前仍然缺少一种融入循环本身的质量思维,”Vyas 说道。“当我使用 AI 智能体进行构建时,我一直在想:如果 QA 不是你在最后才接触的一个阶段,而是一个贯穿始终的并行过程呢?专用智能体在后台工作,验证在每次迭代后既定规则是否仍然成立——在开发人员注意到回归之前就将其捕获。不是在每次提示后进行手动重新检查,而是将持续的契约执行交织在代理式工作流中。”
辉煌的蜜月期,过早的离婚
考虑到去年最初辉煌的蜜月期后,人们便与氛围编程“过早离婚”,要在 2026 年尝试推出一套全面的氛围编程平台产品,需要极大的勇气。
这一严酷的现实并未让 Quickbase 望而却步。该公司在周二推出了 Pave,这是一套被描述为全栈 AI 应用程序构建器的技术工具集。该公司表示,它可以带领软件工程团队从原型走向满足企业要求的生产就绪型应用。
Pave 承诺为开发人员提供一套内置的治理控制以及 IT 监督控制(此处指供 DevOps 专业人员评估应用总状态的统一界面),此外还内置了数据服务、治理、权限、托管和部署工具。
Quickbase 首席产品官 Marcus Torres 表示,大多数氛围编程工具都专注于让团队从 A 点到达 B 点,即从提示词到原型。但他承诺,Pave 旨在带领团队从 A 点走到 Z 点。
“其他应用构建器通常带有隐藏的运行时和基础设施成本,随着使用规模的扩大,很难预测价格,”Torres 说道。“有了 Pave,团队不需要应付一堆第三方工具、独立的数据库、云托管设置、自定义域名,或者将所有这些缝合在一起所带来的运营开销。”
Torres 及其团队解释说,Pave 提供了一个界面,允许用户输入对需要解决的问题的平实语言描述。然后,用户使用该工具的无代码界面进行迭代,创建可部署的应用,包括应用的结构、逻辑、权限和治理。其声称,生成的应用是生产就绪的,并且可以立即在现实世界的业务环境中使用。
Pave 已经包含了将应用投入生产所需的数据管理、云托管和部署基础设施。无需管理单独的数据库,无需集成各种第三方供应商,也没有随着使用规模扩大而变得难以预测的基于信用的定价。
开发人员,稳扎稳打
Contrast Security 的创始人兼首席技术官、同时也是 OWASP 创始人之一的 Jeff Williams 告诉 The New Stack,Pave 看起来是 AI 应用生成的一个“更好的模型”,因为它将氛围编程置于一个受治理的企业环境中。
“身份、权限、数据、审计、部署和回滚都保留在一个受控平台内,”Williams 说道。“这比让每个业务用户在代码未知、数据未知且风险未知的情况下启动自己的小型云应用要安全得多。”
但是,他警告说,安全的环境并不自动等同于安全的应用程序——即,最困难的部分仍然是应用程序逻辑。Williams 敦促正在使用此类工具的开发人员保持冷静,退一步评估 AI 是否创建了正确的权限、正确的工作流、正确的数据边界等等。
“编码人员需要确保即使是这种新一代的氛围编程助手也避开了困扰软件数十年的同类漏洞。Pave 应用仍然需要架构、审查、测试和运行时安全——明智的做法是,在这些东西被识别、量化和验证之前,永远不要假设它们是理所当然的,”Williams 补充道。
统一界面的监督
凭借内置的警告检查机制,Pave 提供了细粒度的用户权限、SSO 身份验证、审计跟踪和版本回滚功能。关系、逻辑、通知和视图可以根据现有的业务流程和品牌进行定制,而不是强迫团队使用模板。
一位不愿具名的 Pave 测试版用户(他在一家四大会计师事务所担任首席网络安全与风险合伙人)公开表示,他们的团队对于将敏感数据保留在 Quickbase 内部感到“非常放心”。他们指出,该工具提供了流畅的创作体验,以及 Quickbase 已经为数据和访问控制设置的安全护栏。
“PocketOS 的停机是由智能体目标劫持……工具误用……以及身份/特权误用造成的……这些都包含在代理式 AI 的 OWASP Top 10 中。” —— Neil Carpenter,Minimus。
云容器化专家 Minimus 的首席解决方案架构师 Neil Carpenter 告诉 The New Stack,包含企业级 IT 安全控制和治理将成为安全领导者的重要助力,因为他们希望批准符合氛围编程节奏的代理式 AI 开发工具。
然而,他表示,Pave 提供的护栏似乎专注于“传统安全问题”,如访问管理和审计;他认为这些护栏未能解决导致源自氛围编程的安全事件的那些问题。
“例如,PocketOS 停机事故是由智能体目标劫持(智能体自行决定删除一个卷以解决问题)、工具误用(使用 cURL 调用 API 来删除卷)以及身份/特权误用(使用了为不同目的创建且权限超出预期的 API 令牌)引起的。这些都包含在 2026 年代理式应用 OWASP Top 10 中,”Carpenter 说道。
安全之舞?
现在进行氛围编程是否更安全,感觉像是一个充满不协调变量的计算,这些变量可能并不完全一致,这取决于组织的安全性态,甚至可能取决于风向。虽然 Quickbase 的 Pave 确实让我们离氛围编程的舞池更近了一步,但(即便不是肯定的,也可以说是)踏错一步的风险依然存在。
只要你将谨慎、安全和治理留在你的舞伴名单上,至少目前,氛围的节拍仍将继续。全 工智能
