初创公司
您对 MVP 进行了振动编码。 现在你被困住了。
Lovable 和 Bolt 等 Vibe 编码工具可让您快速完成应用程序 80% 的工作,但最后 20% 需要花费 80% 的精力。 10.3% 的 Lovable 应用程序存在严重的安全缺陷,用户报告说,修复人工智能破坏的问题的提示中,有 30-40% 被销毁。 当调试比构建更重要时,就该聘请工程师了。
你建造了一些真实的东西。 您打开 Lovable 或 Bolt.new,用简单的英语描述您的想法,并在几分钟内看到一个可用的应用程序出现。 你点击了屏幕。 你把它给朋友看了。 您将其发布在 X 上并收到了第一个“这太恶心了”的回复。 这令人印象深刻,你应该对此感觉良好。
但现在已经三周了,这种势头已经停止了。 你花在修复损坏的功能上的时间比构建新的功能还要多。 您的 Supabase 仪表板包含您不完全理解的表格。 您的身份验证在桌面上有效,但在移动设备上中断。 您需要 Stripe 集成,并且您尝试的每个提示都会生成与现有代码冲突的代码。
你已经碰壁了。 而且你并不孤单。
80/20 墙:氛围编码失效的地方
Lovable、Bolt.new、Replit Agent 和 v0 等 Vibe 编码工具在产品的前 80% 方面表现出色。 他们生成 UI 组件、连接数据库、创建身份验证流程,并生成看起来和感觉都像真实应用程序的东西。 对于原型设计和验证,它们是有史以来从想法到演示的最快路径。
问题出在最后20%。 这就是边缘案例存在的地方。 这就是支付处理需要处理失败费用、部分退款和 Webhook 重试的地方。 这就是您的多步骤表单需要保存进度、跨步骤验证以及从浏览器崩溃中恢复的地方。 这就是当两个用户同时编辑同一条记录时您的应用程序需要工作的地方。
人工智能出色地处理了幸福之路。 它与不愉快的路径作斗争,而生产软件 80% 都是不愉快的路径。 当网络在交易中途掉线时会发生什么? 当用户提交表单两次时? 当您的数据库查询返回 50,000 行而不是 50 行时? 这些是将演示与产品分开的问题,并且这些问题是氛围编码工具无法通过单个提示回答的。
开发人员将此称为 80/20 墙。 前80%需要20%的努力。 最后20%需要80%的努力。 Vibe 编码工具将前 80% 的时间从几周压缩到几小时。 但他们根本不压缩最后 20%。 它们使事情变得更加困难,因为它们生成的代码并不是为了处理它而设计的。
无人谈论的安全问题
这是让你彻夜难眠的部分。 对 Lovable 生成的应用程序的安全分析发现10.3% 存在严重的行级安全性 (RLS) 缺陷在他们的 Supabase 数据库中。 这意味着十分之一的应用程序拥有数据库表,任何经过身份验证的用户都可以在其中读取、修改或删除其他用户的数据。 不是理论上的风险。 一个有效的利用。
这不仅限于可爱。 CodeRabbit 对 470 个拉取请求的分析发现,AI 生成的代码已经安全漏洞率提高 2.74 倍与人类编写的代码相比。 同样的分析发现主要问题增加 1.7 倍全面的。 人工智能编写有效的代码。 它不会编写安全的代码。
现实世界的后果已经显现。 Moltbook 是一个人工智能构建的社交网络,其 Supabase 数据库可公开访问。 结果:150 万个 API 密钥和 35,000 个用户电子邮件被泄露。 一项独立审计发现11% 的独立启动 URL 在其前端代码中公开 Supabase 凭据。 这些不是边缘情况。 它们是模式。
Vibe 编码工具不会向您解释安全性,因为您没有询问安全性。 您索取了一份用户注册表,您得到了一份。 您没有询问“确保用户无法通过直接 API 调用访问彼此的数据”,因此该工具没有进行设置。 RLS 策略、API 密钥范围、输入清理、速率限制; 这些是经验丰富的工程师默认添加的内容,因为他们已经看到了当您不添加时会发生什么。
信用燃烧陷阱
Vibe 编码工具按积分、代币或计算时间收费。 要点很简单:描述你想要什么,获取工作代码,迭代。 现实是不同的。
可爱的用户报告一小时内消耗 400 个积分调试复杂功能时。 Bolt.new 用户描述自己陷入困境无限的错误循环人工智能在修复另一件事的同时破坏了一件事。 跨平台用户报告支出30-40% 的提示是修复 AI 损坏的问题在之前的提示中。
想想这个比例。 每三个推动产品前进的提示,就有一两个提示可以消除损害。 你付出代价是为了取得进步,然后再次付出代价来清理混乱。 原本应该为您省钱的工具现在却成了经常性成本,而且收益递减。
随着代码库的增长,信用消耗也会加速。 500 行的应用程序很容易被人工智能推理。 具有多个页面、共享状态、API 路由和数据库迁移的 5,000 行应用程序则不然。 人工智能开始失去上下文。 它会重写您已经修复的组件。 它引入了与三个提示之前使用的模式相冲突的模式。 你花费更多的学分,却取得更少的进展,而且每一次训练的差距都会扩大。
代码质量螺旋上升
人工智能生成的代码库存在一系列随着时间的推移而复杂化的特定问题。
代码重复。对振动编码项目的分析表明代码重复增加 8 倍与人类工程项目相比。 AI不记得它已经在三个文件前编写了日期格式化函数。 它写了一个新的。 然后是另一个。 然后是稍微不同的一个。 现在您有四个日期格式化程序,每个都有不同的行为,并且更改应用程序中的日期显示意味着查找并更新所有四个日期格式化程序。
模式不一致。逐提示开发生成的代码没有架构一致性。 一页在 useEffect 挂钩中获取数据。 另一种使用服务器端渲染。 第三个方法直接从 onClick 处理程序调用 API。 这些方法单独来看都不是错误的,但是将所有这三种方法混合在一个应用程序中会创建一个无人能理解的代码库; 不是人工智能,也不是你以后雇用的人类开发人员。
缺少错误处理。人工智能生成的代码处理成功案例。 它在 API 返回 200 时呈现数据。它不处理 API 返回 500、超时或返回格式错误的 JSON 时发生的情况。 生产用户每天都会触发这些故障模式。 如果没有错误处理,您的应用程序会显示空白屏幕、无限旋转或神秘的错误消息,这些消息会将用户直接发送给您的竞争对手。
没有测试。Vibe 编码工具很少生成测试,除非您特别要求。 当您确实询问时,测试往往会测试代码是否执行代码的操作(同义反复测试),而不是测试业务逻辑和边缘情况。 当您以后需要更改某个功能时,您就没有安全网了。 每一次改变都是一场赌博。
这些问题变得更加复杂。 重复的代码使错误更难发现。 不一致的模式会使变革充满风险。 缺少错误处理会导致用户面临的失败。 没有测试意味着你无法安全地重构。 每个问题都会放大其他问题,直到代码库达到机构发现需要解决的程度修复现有的氛围代码比从头开始有更多的时间。
何时停止振动编码并雇用工程师
并非每个振动编码项目都需要拯救。 有些原型验证了一个想法,然后就被扔掉了。 没关系。 但如果您对其中三个或更多问题的回答是“是”,那么是时候聘请工程师了:
- 您花在调试上的时间多于构建新功能的时间
- 您正在处理真实的用户数据(电子邮件、付款、个人信息)
- 您需要付款处理、订阅计费或财务交易
- 您的应用程序需要能够可靠地支持超过 100 个并发用户
- 您正在与需要 Webhooks 或 OAuth 的第三方 API 集成
- 您的信用预算已被耗尽两次,而您的功能列表却没有改变
- 您无法自信地回答“谁可以访问这些数据?” 对于数据库中的每个表
- 你正计划筹集资金,投资者会询问你的技术架构
- 您遇到了 20 多次提示后仍无法修复的错误
转变点与失败无关。 这是关于认识到人工智能工具在哪里不再是正确的工具,而经验丰富的工程师开始成为正确的工具。 对 MVP 进行振动编码并验证需求的创始人做了大多数初创公司建议告诉你要做的事情:快速交付,快速学习。 下一步是将经过验证的原型转变为生产软件。
代理机构的做法有何不同
对 80/20 墙的常见反应是“我将学习编码并自己修复它”。 尊重这种能量,但要考虑数学。 学习足够的 React、数据库设计、身份验证和部署来完成生产应用程序需要 6-12 个月的集中学习。 聘请高级工程师完成需要3-6周。 如果您的初创公司有一个市场窗口,那么 6 个月的学习路径会关闭该窗口。
在 Savi,我们的高级工程师也使用人工智能工具。 我们每天都使用 Cursor、Claude 和 Copilot。 不同之处在于,我们将它们用作 5-10 年工程经验的加速器,而不是替代它。 我们知道要提示什么,更重要的是,知道要在输出中检查什么。 我们会在 RLS 错误配置、缺失错误边界、SQL 注入向量和竞争条件到达您的用户之前捕获它们。
当创始人为我们带来振动编码原型时,流程如下:
审核(1-2 天)。我们会审查您现有的代码库、数据库架构和基础设施。 我们识别安全漏洞、架构问题和需要替换的代码。 我们给您一个诚实的评估:这个问题可以解决吗,还是我们应该重新开始? 有时,vibe 编码的应用程序具有可靠的 UI 组件和合理的数据库架构,我们可以在其基础上进行构建。 其他时候,地基有太多结构问题,开始清理会更快、更便宜。
建筑(2-3 天)。我们设计生产架构。 具有适当索引、RLS 策略和迁移策略的数据库架构。 API 层具有身份验证、速率限制和错误处理功能。 具有一致的数据获取模式、状态管理和组件组织的前端结构。 这是编码工具完全跳过的工作氛围。
构建(2-5 周)。我们编写生产代码。 每个功能都有错误处理、加载状态和边缘情况覆盖。 每个数据库表都有 RLS 策略。 每个 API 路由都会进行输入验证。 我们为业务逻辑编写测试。 我们设置了 CI/CD 管道,在部署之前捕获回归。 您直接与构建您的产品的工程师交谈; 没有项目经理转发消息,没有可能是 Slack 消息的每周状态电话。
启动和切换。我们部署到生产环境,监控第一周的问题,并为您提供一个包含文档的代码库,您可以将其交给世界上的任何工程师。 没有供应商锁定。 没有专有框架。 标准工具、干净的代码、您的存储库、您的基础设施。
我们提供固定报价。 在我们写一行代码之前你就知道成本了。 当调试时间比预期时间长时,不会出现按小时计费的情况。 当您在构建过程中澄清功能时,不会产生“更改请求”附加费。
原型是最困难的部分。 整理是聪明的部分。
你做了大多数人从未做过的事情:你提出了一个想法,打开了一个工具,并构建了一些可以向真实的人展示的东西。 这个原型证明了你的想法是可行的。 它证明了您有打造产品的品味和动力。
下一步并没有更多提示。 这是工程。 安全强化、边缘情况处理、性能优化和基础设施决策将原型转变为人们付费购买并信任其数据的软件。
你不需要成为一名工程师来建立一家软件公司。 你需要聘请一个知道何时使用人工智能以及何时手动编写代码的人。 这就是演示和产品之间的区别。
常见问题
您可以使用 Lovable 或 Bolt 构建生产应用程序吗?
您可以构建原型,而不是生产应用程序。 Lovable 生成的应用程序中有 10.3% 存在严重安全缺陷,而 AI 生成的代码所携带的安全漏洞比人类编写的代码多 2.74 倍。 对于处理用户数据或付款的任何内容,您需要工程师在启动之前审查和强化代码。
振动编码中的 80/20 墙是什么?
人工智能工具可在数小时内处理产品的前 80%:UI、基本身份验证、数据库连接。 最后 20%,包括边缘情况、错误处理、安全性和集成,占总工作量的 80%。 Vibe 编码压缩了简单的部分,但根本没有减少困难的部分。
修复一个 vivi 编码的应用程序需要多少钱?
机构通常发现重建比修补更快。 一个新的生产版本的成本为 8,000-20,000 美元,而重构同一应用程序的 vivi 编码版本的成本为 20,000-25,000 美元。 审核需要1-2天,架构需要2-3天,构建需要2-5周。
vivi 编码的代码对于真实用户来说足够安全吗?
在使用 AI 构建器的独立发布的应用程序中,有 11% 在前端代码中公开 Supabase 凭据。 一个人工智能构建的社交网络泄露了 150 万个 API 密钥和 35,000 封用户电子邮件。 如果没有涵盖 RLS 策略、输入清理和速率限制的手动安全审查,vibe 编码的应用程序默认情况下很容易受到攻击。
我什么时候应该停止使用 Lovable 并聘请开发人员?
当您处理真实用户数据、处理支付、集成第三方 API 或为 100 多个并发用户提供服务时,请雇用工程师。 如果你花费了 30-40% 的提示来修复 AI 损坏的问题,或者你已经两次耗尽信用预算而没有任何进展,那么是时候了。
相关阅读
氛围编码的真正成本:Lovable 和 Bolt 不会告诉您的事情
为了修复 AI 错误,您每小时要消耗 400 个积分。 30-40% 的提示用于调试。 当您将时间、重写和安全漏洞加起来时,以下是氛围编码的成本。
人工智能编码助手:他们能为您的产品做什么和不能做什么
84% 的开发人员使用 AI 编码工具。 他们运送样板的速度提高了 30-50%。 它们还产生 2.74 倍多的安全漏洞。 以下是如何在没有风险的情况下获得速度。
Lovable、Bolt 与雇用开发机构:诚实的比较
Lovable、Bolt 和 v0 可以在数小时内为您提供原型。 但 10.3% 的 Lovable 应用程序存在严重的安全缺陷。 以下是人工智能构建者何时工作、何时不工作以及何时召集工程师。