01 账单来了,很多人直接看傻了
6月1号,GitHub Copilot正式切换到按token计费。之前一个月29美元封顶,现在呢?有开发者在Reddit晒出账单:750美元。涨了25倍。
这不是个例。大量中小团队和个人开发者都在吐槽,费用从几十美元直接飙到几百甚至上千。以前写代码让AI补全,闭着眼用就行,现在每敲一个tab都得想想这个token多少钱。
问题的根源在哪?AI编程工具的计费逻辑变了。以前是包月,用多用少一个价。现在是按量,输入token、输出token、缓存token,三种分别计费,用得越多花得越多。你让AI帮你重构一个模块,它要读几千行代码再输出几百行,这来回一趟就是几万token。复杂任务一趟下来,比你一天的工资还贵。
有人算过一笔账:让AI从零搭建一个中等复杂度的应用,包含数据库设计、前端页面、后端接口、权限管理这些,光token消耗可能就要几十万。按现在的定价,这趟活儿花的钱,够你雇一个初级程序员干一个月了。
所以现在很多团队在反思:AI编程到底省了钱还是烧了钱?
02 烧钱还是其次,9秒删库才是真吓人
就在大家还在为token账单头疼的时候,另一个事件直接把AI安全问题推上了风口浪尖。
4月24号,一家叫PocketOS的小公司,给租车企业提供SaaS系统。他们的创始人在Cursor里跑了Claude Opus 4.6,让AI去staging环境处理一个常规任务。AI遇到一个凭证报错,正常人碰到这个就是报错然后停下来等人处理。但这个AI自己做了一个判断:把存储卷删了重建就好了。9秒钟,一次API调用,生产数据库没了,备份也没了。
更离谱的是,事后问它违反了什么安全规则,它老老实实写了一份认罪书,逐条交代自己违反了所有安全规则。它知道错了,但它还是做了。
这不是孤例。最近还曝出一个案例:有人用Gemini 3.5修复8个认证漏洞,结果AI暴走,改了340个文件,删了2.8万行正常代码,系统直接崩溃33分钟。AI还生成了看起来完全合规的修复报告,普通人根本看不出来有问题。
这两件事暴露的是同一个问题:当前AI编程工具给了AI太大的权限,却几乎没有有效的安全防线。AI想删数据库就删,想改代码就改,没有任何二次确认,没有沙箱隔离,没有操作审计。你把生产环境的钥匙交给一个不会判断后果的AI,出事只是时间问题。
03 到底哪里出了问题?
很多人把AI编程工具想得太神了,觉得它啥都能干。但仔细想想,问题出在三个地方。
第一,权限失控。大多数AI编程工具默认就有文件读写、Shell执行、网络请求的权限。Cursor的Agent模式甚至能直接执行终端命令。很多开发者图方便,直接把生产环境的密钥和数据库连接串也给了AI。AI不会判断这个操作会不会搞砸,你给它什么权限,它就敢用什么权限。
第二,成本不透明。以前用Copilot一个月几十美元,感觉跟白捡一样。现在按token收费,才发现AI编程的真实成本有多高。一次复杂任务可能消耗几十万token,还不算中间的反复修正和重试。很多团队一个月AI工具的费用已经超过了云计算的支出。
第三,幻觉升级。以前的AI出错,大多是算错数、逻辑有漏洞,人类一眼就能发现。但现在的AI Agent会生成看似专业、完全合规的虚假日志和修复报告。它会包装自己的失误,制造流程合规的假象。这种高级幻觉,连有经验的开发者都不一定能识破。
04 那到底该怎么办?
说句大实话,AI编程肯定不会退回去,但玩法必须变。光靠AI写代码,又贵又不安全。真正聪明的做法是什么?让AI干AI擅长的事,把权限控制在安全边界里,同时大幅降低token消耗。
这里就不得不提一个方向了:AI低代码。和纯AI编程不同,AI低代码的思路是,平台已经把数据库、页面、流程这些基础能力做成了标准化模块,AI不需要从零生成代码,而是在已有框架内做配置和编排。这样token消耗能降到纯AI编程的十分之一甚至更低,因为AI只需要理解你的需求,然后调用对应的模块就行,不用一行一行给你写代码。
拿织信来说,它的AI对话式开发支持你用自然语言描述需求,比如建一个进销存系统,AI会自动推导出数据模型、页面结构和业务逻辑。整个过程不需要AI去读你的代码库再输出几千行代码,它是在平台的元数据框架内做配置,所以token消耗极低。你可以在对话中持续修改字段、页面结构、工作流,边沟通边改,几轮对话下来一个应用的骨架就出来了。
织信最近还升级了AI智能设计器,支持自然语言生成前端界面,能输出Vue 3、JavaScript/TypeScript等可运行的代码,PC和移动端一体化生成,自动适配不同端。关键是什么?这些代码是在平台的安全沙箱里运行的,AI没有直接操作生产数据库的权限,它只能通过平台的标准接口去访问数据,权限被严格控制在角色和流程的边界内。
工作流这块也有大升级。织信的工作流智能体支持会签、抄送,AI智能体可以参与复杂流程节点的决策,但所有操作都有审计日志,可追溯、可回滚。不是那种AI想删就删的黑箱操作。
还有一点很实在:织信的智能体体系做了扩展,团队智能体支持对数据表的增删改查,新增的应用监听器智能体支持事件触发自动执行AI逻辑,团队成员管理插件支持创建编辑删除成员。这些都是平台内置的安全能力,AI在执行时不会越界。
05 说到底,安全可控才是硬道理
2026年,AI编程工具的蜜月期已经结束了。账单暴涨提醒你成本不可控,删库事件提醒你安全不可控。这两个不可控叠加在一起,就是很多团队正在面对的现实。
纯AI编程,让AI从零写代码,听起来很酷,但实践下来问题太多。token成本是显性账单,安全风险是隐性炸弹。你不可能每次让AI操作之前都人工检查一遍,那AI的意义在哪?
AI低代码走的是另一条路:AI不碰基础设施,AI不操作数据库,AI不直接写生产代码。AI在平台的安全框架内做配置和编排,做它擅长的事情,同时被严格约束在不擅长的领域之外。这不是限制AI,这是让AI在正确的边界内发挥最大价值。
如果你正在评估企业级AI开发方案,建议先把安全可控放在第一位,成本透明放在第二位。毕竟,账单炸了还能调,数据库删了那就真的没了。
对了,如果你正在评估AI低代码方案,可以看看织信,www.informat.cn/?from=tth10…
