← 返回
99 min 2026-04

An AI state of the union: We've passed the inflection point & dark factories are coming

Lenny's Podcast · Simon Willison
查看原始内容 →

概要

Simon Willison 谈 AI 编码拐点、暗工厂模式、prompt injection 致命三元组、Open Claw 现象,以及为什么代码变便宜后 taste 比速度更重要

核心洞察

元信息

  • 被访者:Simon Willison,Django 联合创建者、Datasette 创建者、prompt injection 概念命名者
  • 访谈者:Lenny Rachitsky(Lenny's Podcast)
  • 来源:Lenny's Podcast
  • 日期:2026 年(近期)
  • 时长:约 99 分钟

Executive Summary(核心要点)

  • 2025 年 11 月是编码 agent 的真正拐点。 GPT-5.1 与 Claude Opus 4.5 的发布让编码 agent 从"大多数时候大致能用"跨越到"几乎总是能按指令完成任务"——这个增量变化跨越了可用性阈值,引发软件工程师在圣诞假期集体觉醒,大量工程师在一二月意识到"这东西真的能用了"。Simon 本人目前 95% 的代码不再由自己手动编写,大量编程工作在手机上完成。
  • "暗工厂"模式正在被严肃的安全公司验证。 StrongDM 在 2025 年 8 月启动"不看代码"实验——不仅禁止工程师写代码,还禁止工程师读代码,转而用 agent 集群 24 小时模拟终端用户做 QA 测试,日均 token 消耗达 1 万美元。他们甚至为 Slack、Jira、Okta 构建了自己的 API 模拟层,用一个小型 Go 二进制文件替代真实服务以规避速率限制。
  • 编码 agent 带来的不是轻松而是新型认知耗竭。 Simon 描述自己同时运行四个 agent 处理四个问题,到上午 11 点就精疲力竭。他和许多同行正面临一种新的职业张力——AI 让产出激增但大脑更快耗尽,有人凌晨 4 点起来给 agent 派任务,这种模式"带有赌博和成瘾的成分"。
  • Prompt injection 是一个基本不可解的安全难题,Simon 预言将出现"挑战者号灾难"。 他提出的"致命三元组"框架(私有数据 + 恶意指令入口 + 数据外泄通道)定义了 agent 应用的安全红线。即便检测率达到 97%,仍意味着每百次攻击有三次成功——而行业正在经历"偏差正常化",每次侥幸过关都让机构更自信地冒险。
  • Open Claw 现象揭示了个人数字助手的巨大潜在需求。 从首行代码(2025 年 11 月 25 日)到超级碗广告仅 3.5 个月,超千人贡献代码,数十万用户完成了并不简单的安装流程——这证明用户对个人 AI 助手的渴望远超安全顾虑。Anthropic 和 OpenAI 因安全考量不敢做的产品,一个开源项目用"不计后果"的方式先做出来了。

贯穿主线: Simon 全场反复回到同一个核心洞察——代码变便宜了,但让代码"好"变得更重要了。从 StrongDM 花一万美元一天模拟 QA,到红绿 TDD 让 agent 写出更可靠的代码,到致命三元组定义安全边界,到 Open Claw 暴露安全缺失的代价,每一个话题都在回应同一个问题:当生产速度不再是瓶颈,质量控制成为新战场。

2025 年 11 月拐点——GPT-5.1/Claude Opus 4.5 让编码 agent 跨越可用阈值

核心要点:两大实验室将全年训练资源押注在代码能力上,11 月发布的模型实现了从"大致能用"到"几乎总是正确"的质变,引发了一波软件工程师的集体觉醒。

  • 2025 年全年,Anthropic 和 OpenAI 意识到"代码就是应用"——Claude Code 2 月上线后爆发增长,大量用户注册 200 美元/月账户,两家公司随即全力投入代码训练,结合 2024 年末的推理技术(始于 O1 模型)和强化学习。
  • 11 月的 GPT-5.1 和 Claude Opus 4.5 跨过关键阈值:之前 agent 需要"仔细盯着",现在"几乎每次都能按指令完成"——告诉它"做一个 Mac 应用",返回的东西虽需调整,但不再是"一堆不能用的 bug 代码"。
  • 圣诞假期成了集体觉醒时刻:大批工程师利用假期尝试后意识到"我一天能产出一万行代码"。紧随其后的问题是——"大部分能用"到"全部能用"之间的距离该怎么弥合?
  • 代码领域是知识工作的风向标:代码"显然对或错",运行即知结果;AI 写法律文书或论文则难以判断。"代码先被冲击,我们在替所有知识工作者趟路。"
"A lot of people woke up in January and February and started realizing, 'Oh, wow, this technology which I'd been kind of paying attention to, suddenly it's got really, really good.'" —— Simon Willison

Vibe Coding 与 Agentic Engineering——两个截然不同的专业术语

核心要点:Simon 明确区分了"不看代码、玩 vibes"的 vibe coding 和"用 agent 写生产级代码"的 agentic engineering,认为后者是一门深度专业学科,永远不会简单。

  • Vibe coding(Andrej Karpathy 定义):不看代码、不在乎代码、可能不懂代码。Simon 认为自用原型完全合理——"出 bug 只有你自己受伤,放手去做";但涉及他人使用就不负责任。
  • 问题在于很多人把专业工程师用 agent 写生产级代码也叫 vibe coding,术语失去区分度。Simon 提出 agentic engineering 作为替代,正在以博客连载形式写一本相关的书。
  • 关键志向差异:不只是更快产出同等质量代码,而是产出更好的代码——"如果 agent 只是让我们更快但质量没变,那没什么意思。"
"The art of having them help you build software you could deploy to a million people, that's never going to be easy. That's always going to require a great deal of depth of experience." —— Simon Willison

暗工厂模式(Dark Factory)——StrongDM 的"不看代码"实验

核心要点:StrongDM 作为一家严肃的安全公司,实践了"工程师不写代码也不读代码"的模式,用 agent 集群模拟 QA 部门进行 24 小时不间断测试,颠覆了传统软件质量保障方式。

  • "暗工厂"源自制造业——工厂自动化到不需人在场就可以关灯运行。软件版的"暗工厂"意味着:不审查代码,但也不是 vibe coding——依然施加专业质量标准,只是不直接看代码。
  • StrongDM 从 2025 年 8 月开始实验,先是"没人写代码",接着"没人读代码"。他们做的是企业访问管理的安全软件(管理 Jira、Slack 权限),恰恰是"最不应该 vibe coding"的领域。
  • 核心创新是用 agent 集群模拟 QA 部门:模拟 Slack 频道中,大量虚拟员工 24 小时发出"嘿,给我开通 Jira 权限"之类请求,日均 token 开销约 1 万美元。
  • 由于真实 Slack/Jira 有速率限制,他们让 agent 根据公开 API 文档构建了完整模拟层——一个小型 Go 二进制文件,甚至 vibe coded 了可视化界面观察模拟动态。Simon 去看了 10 月演示后深受震撼。
"If your factory is so automated that you don't need any people there, you can turn the lights off. The machines can operate in complete darkness." —— Simon Willison

编码 agent 的心理代价——"11 点就精疲力竭"

核心要点:AI 工具让产出激增但带来了新型认知耗竭,工程师面临一种矛盾——更多自由时间,但大脑更快被耗尽,行业正处于适应新工作节奏的探索期。

  • 典型工作日:同时启动四个 agent 处理四个问题,到上午 11 点彻底耗尽——"人类认知有极限,光是在脑中跟踪这么多任务,就很容易把'栈'弹爆。"
  • 25 年积累的"估时经验"完全失效:看到问题本能判断需要两周,但也许 20 分钟就搞定。他的应对是"不断把自认为 agent 做不到的任务扔给它,因为偶尔它真的做到了"。
  • 许多同行出现不健康模式:深夜派任务、凌晨 4 点起来检查结果。Simon 承认"有赌博和成瘾的成分",寄望于这只是暂时新鲜感。
  • Lenny 点出核心矛盾:AI 本应让人更轻松,但最深度使用 AI 的人反而更拼。Simon 说有了更多自由时间,但大脑疲惫程度前所未有——"好公司好管理层不想为短期产出把最好的员工榨干。"
  • 硬币另一面——很有趣。很多朋友花几个月清空了十几年的 side project backlog,反而产生失落感:"我的待办清单空了,现在做什么?"
"I can fire up four agents in parallel and have them work on four different problems. By 11:00 a.m., I am wiped out." —— Simon Willison

中层工程师的困境——ThoughtWorks 发现:10x 工程师和新人受益,中层最危险

核心要点:ThoughtWorks 组织的工程 VP 圆桌得出一个关键发现——AI 工具对资深工程师(放大既有经验)和新人(加速入职)都有巨大价值,但对中层工程师的帮助最小、威胁最大。

  • ThoughtWorks 约一个月前召集多家公司工程 VP 闭门研讨。资深工程师把 AI 当"技能放大器"——经验通过 agent 以更快速度变现。新人受益于入职时间大幅缩短——Cloudflare 和 Shopify 在 2025 年各招上千实习生,入职成本从一个月缩至一周。
  • 最脆弱的是中间层:"他们没有可被放大的深层专业技能,而新人获得的入门加速,他们早就有了。"
  • Lenny 指出规律——AI 正从多个维度"吃掉中间层":流程的中间环节、职级的中间层、角色的中间地带。
  • Simon 给中层的建议:投资 agency(主动性)和 ambition(野心)。"Agent 永远不能自主决定下一步该解决什么问题,这是人类独有的能力。"他把 2026 年新年决心从"少做、专注"反转为"做更多、更有野心"。
  • Jensen Huang 前一天的采访提供互补视角:很多裁员不是因为 AI 取代工作,而是管理层缺乏创造力和野心来利用新增的生产力。
"The problem is the people in the middle. If you're mid-career, if you haven't made it to super senior engineer yet, but you're not new either, that's the group which ThoughtWorks resolved were probably in the most trouble right now." —— Simon Willison

囤积技能(Hoarding)——GitHub 工具库/研究库,知识复利

核心要点:Simon 把职业生涯中最有价值的策略总结为"囤积你做过的事"——积累一个可被 AI 检索和组合的个人知识库,让过去的每一次实验都能在未来被重新激活。

  • 核心理念:构建"已验证经验"backlog——2015 年用 Redis 做过 activity inbox,2017 年用 Node.js 做过 rate limiting,当新问题出现时,你可能是世界上唯一能看到这些技术组合可以解决它的人。
  • 两个公开 GitHub 仓库:simonw/tools(193 个 HTML/JS 小工具)和 simonw/research(75+ 公开 + 50 私有 AI 研究项目)。关键区别:"这些研究都是 coding agent 实际写了代码、跑了代码的结果,不是未经验证的 deep research 报告。"
  • 使用方式:直接当 agent 上下文。早期案例——他分别写过 Mozilla PDF 库和 Tesseract OCR 库的代码,告诉 Claude Opus 3"读这两份代码,做一个 OCR PDF 工具",一次成功。现在常告诉 Claude Code"去拉 research 库里关于 WebAssembly 和 Rust 的项目来解决新任务"。
  • 还有 10,000 条 Apple Notes,但默认公开——"公开对我更有利,更容易找到,也是我作为程序员信誉的一部分"。
"Every single one of them captures an idea or a thing that I now know is possible to do. I don't know how to do it off the top of my head, but I can go and look at the code or I can have Claude look at the code and combine that with other things to solve new problems." —— Simon Willison

红/绿 TDD 与起步模板——让 agent 写出更好代码的核心技巧

核心要点:测试驱动开发(TDD)是编码 agent 最关键的质量保证手段——agent 不怕无聊,可以替人类承担"先写测试再写代码"这种纪律性工作;而一个精心设计的项目起步模板比长篇 CLAUDE.md 更有效地引导 agent 的代码风格。

  • Agent 必须测试代码——"没运行代码就退回到从 ChatGPT 复制粘贴然后祈祷的模式"。测试双重价值:确认代码至少跑过,且测试随时间积累保证不破坏旧功能。
  • Simon 坦言自己不喜欢红/绿 TDD,曾试两年后放弃。但对 agent 来说,"我不在乎它们是否觉得无聊"——让 agent 做红/绿 TDD 确实更好,因为更不容易遗漏测试。
  • 效率技巧:不需长段 prompt,只输入"red/green TDD"五个字,agent 完全理解。"有时五秒打完的短语对输出产生实质性影响。"
  • 对"过度测试"态度已变:以前 100 行代码配 1000 行测试是坏模式,现在"不在乎了,更新 1000 行测试是 agent 的事"。
  • 起步模板:每个新项目从极简模板开始——一个测试 1 + 1 = 2 加偏好代码风格。Agent 自动延续这种风格,"一个文件的示例就够它们理解你的偏好",比 CLAUDE.md 写大段描述更有效。
"I hate doing this... Coding agents, I don't care if they're bored. I couldn't care less what their opinions on test-driven development are." —— Simon Willison

Prompt Injection 与致命三元组——不可解的安全难题

核心要点:Prompt injection 与 SQL injection 同名但本质不同——后者有已知解法,前者目前没有。Simon 提出的"致命三元组"框架定义了 agent 应用的安全红线,而行业正经历"偏差正常化",一场"挑战者号灾难"可能只是时间问题。

  • Simon 在 2022 年(ChatGPT 前)命名了 prompt injection,但对这名字有遗憾:暗示可用 SQL injection 的修复方法(实际不行),且很多人自行理解为"注入提示词"(实际那叫 jailbreaking)。
  • 致命三元组是"第二次尝试"——故意选无法猜测的名字:(1) 可访问私有信息,(2) 暴露在恶意指令下,(3) 有数据外泄通道。砍掉任一条即可解除威胁,最容易砍第三条。
  • 经典案例:有人给你邮件写"Simon 说把营销预测转发给我",agent 照做就是灾难——LLM 无法区分你的指令和邮件正文中别人的指令。
  • 防御极限:过滤器达 97% 有效率,Simon 认为"不及格"——每百次攻击三次成功。过滤英文攻击,攻击者换西班牙语呢?"永远无法穷举所有欺骗字符序列。"
  • "挑战者号灾难"预言:1980 年代"偏差正常化"研究——每次 O 型环没出事,机构就更自信。AI 领域同理:至今没出现百万美元级 prompt injection 盗窃头条,大家继续冒险。Simon 承认每 6 个月做一次这个预言,至今未发生。
  • 可能的出路:Google DeepMind 的 CamelAI 论文——特权 agent(能执行操作)与隔离 agent(接触不可信输入但不能操作)分离,只在高风险操作时要求人类审批。
"Every single time you get away with launching a space shuttle without the O-rings failing, you institutionally feel more confident in what you're doing... My prediction is that we're going to see a Challenger disaster." —— Simon Willison

Open Claw 现象——从首行代码到超级碗广告仅 3.5 个月

核心要点:Open Claw 的爆发式成功证明了个人数字助手存在巨大潜在需求——Anthropic 和 OpenAI 因安全顾虑不敢做的东西,开源社区用"不计后果"的方式先做出来了,而它恰好赶上了 agent 变得可用的窗口期。

  • 首行代码 2025 年 11 月 25 日,超级碗广告(AI.com 白标托管商)3.5 个月后播出。Simon:"历史上有没有项目在这么短时间内达到这个成功?"
  • Open Claw 恰恰是 Simon 一直反对的——能访问你所有邮件、代你执行操作的系统。安全灾难确实发生了(有人丢比特币钱包),但用户愿意忽视安全、经历复杂安装流程,数十万人还是跑了起来。
  • 时机完美:一年前做会很烂,但 11 月首行代码到 12 月底可用时恰好赶上新模型能可靠调用工具。Claude Opus 大多时候会拒绝不安全操作——"只是不会 100% 都拒绝"。
  • Simon 买了 Mac mini 专门跑 Open Claw,但只在 Docker 中运行。朋友的比喻:"Open Claw 是电子宠物,Mac mini 是水族箱。"只给了工作邮件只读权限,没给私人邮件。
  • "安全的 Open Claw"是当前最大商业机会——"如果我知道怎么做,现在就在做了"。Anthropic、Manus、Perplexity 都在复制功能,"claw"正变成通用品类名。
"Open Claw demonstrates that people want a personal digital assistant so much that they are willing to not just overlook the security side of things, but also getting the thing running is not easy... and hundreds of thousands of people got it set up." —— Simon Willison

Simon 的 AI 工具栈与"taste"概念——Claude Code for Web + 手机编程

核心要点:Simon 主力使用 Claude Code for Web(而非本地版),因为它可以在手机上操作、在 Anthropic 服务器上运行(不怕破坏本地环境),且支持 YOLO 模式;他认为对代码的"品味"是选择工具的真正粘性来源。

  • 主力工具:Claude Code for Web(通过 iPhone Anthropic app 访问),日常同时运行两三个实例,大量项目通过手机 prompt 完成。安全相关任务才拉回笔记本 review。
  • Claude Code for Web 优势:在 Anthropic 服务器运行——"出问题坏的是他们的电脑",可放心用 YOLO 模式(Claude 叫 dangerously skip permissions)。安全模式下 agent 每步都要确认,"像跟不停追问的烦人小孩工作"。
  • GPT 5.4 约三周前发布,Simon 认为与 Claude Opus 4.6 不相上下甚至更好且更便宜。两家不断交替领先,下一个 Gemini 也可能成为最佳编码模型。
  • "品味"是留在 Claude 生态的核心——"我对代码有非常具体的品味,恰好跟 Claude Code 吻合"。GPT 5.4 "几乎匹配但差一点"。
  • 模型粘性:各家做记忆功能,Simon 刻意关闭——作为 AI 研究者需看到所有人看到的结果。有趣插曲:OpenAI 军方合作事件后 Anthropic 推一键迁移页面,实质就是一个 prompt 让 ChatGPT 导出记忆再粘贴到 Claude。
"Today, probably 95% of the code that I produce, I didn't type it myself... I write so much of my code on my phone, it's wild. I can get good work done walking the dog along the beach." —— Simon Willison

附加话题:代码变便宜后的信任危机与"鹈鹕骑自行车"基准测试

核心要点:代码生产成本趋近于零导致了新的信任问题——Simon 发现自己构建的软件虽然有测试有文档,但因为没有实际使用过而"不相信它";而他的鹈鹕骑自行车 SVG 基准测试意外成为了衡量模型综合能力的可视化指标。

  • 违反直觉的现象:一小时做出有文档有测试的 Python 库,但"不相信它"——没有实际使用过。"以前有测试有文档意味着好软件,现在这个信号失效了。"解决方案是给未验证软件打 alpha 标签。Lenny 精炼为"需要的不是 proof of work,而是 proof of usage"。
  • 数据标注公司高价收购 2022 年前的 GitHub 旧代码库——纯人类手写代码成了稀缺训练数据。Simon 比喻为"核爆前沉船打捞的金属——不含辐射所以特别珍贵"。
  • 鹈鹕骑自行车基准测试:一年半前为嘲笑数字化基准而创建,让文本模型生成 SVG 画鹈鹕骑自行车。意外发现强相关——画得好的模型在所有任务上都更好,已成行业 meme。GPT 5.4 发布时做了 15 宫格对比(3 模型 x 5 思考等级),Gemini 3.1 宣传视频直接放了动画鹈鹕骑自行车。
"I always put alpha on it. If you see my software and it says it's an alpha, that probably means I haven't actually used it yet." —— Simon Willison

附录:关键人/机构/产品/数据

| 项目 | 详情 |

|------|------|

| Simon Willison | Django 联合创建者、Datasette 创建者、prompt injection 命名者,25 年软件工程经验 |

| Lenny Rachitsky | Lenny's Podcast 主持人 |

| StrongDM | 企业访问管理安全公司,"暗工厂"模式先驱,2025 年 8 月启动"不看代码"实验 |

| ThoughtWorks | IT 咨询公司,组织工程 VP 圆桌讨论 AI 对不同资历工程师的影响 |

| Open Claw | 开源个人 AI 助手项目,首行代码 2025.11.25,超级碗广告 3.5 个月后播出,超千人贡献代码 |

| Claude Code for Web | Anthropic 的托管版 Claude Code,支持手机访问和 YOLO 模式 |

| GPT-5.1 / Claude Opus 4.5 | 2025 年 11 月发布,编码 agent 可用性拐点 |

| GPT-5.4 | 访谈约 3 周前发布,Simon 认为与 Claude Opus 4.6 不相上下 |

| 致命三元组(Lethal Trifecta) | Simon 提出的安全框架:私有数据 + 恶意指令入口 + 数据外泄通道 |

| CamelAI 论文 | Google DeepMind 提出的 agent 安全架构:特权 agent + 隔离 agent |

| 偏差正常化(Normalization of Deviance) | 1980s 挑战者号灾难研究概念,Simon 用以类比 AI 安全现状 |

| $10,000/天 | StrongDM 模拟 QA 的日均 token 开销 |

| 95% | Simon 目前不由自己手动输入的代码比例 |

| simonw/tools | Simon 的 GitHub 工具库,193 个 HTML/JS 小工具 |

| simonw/research | Simon 的 GitHub 研究库,75+ 个公开 AI 驱动研究项目 |

| 鹈鹕骑自行车基准 | Simon 创建的可视化 LLM 能力基准测试,已成为行业 meme |

| Cloudflare / Shopify | 2025 年各招聘上千名实习生,因 AI 将实习入职时间从一个月缩短至一周 |

| Datasette | Simon 的开源数据分析工具,已成为调查新闻界的标准工具,目标是助力普利策奖 |

| kakapo 鹦鹉 | 新西兰不会飞的夜行鹦鹉,全球仅存 250 只,2026 年迎来四年来首个繁殖季 |