2018年启动的开源项目,2020年作者宣布放弃,2025年因为Claude Code重新开工。这不是什么创业故事,是一个关于"开发者时间不够"的残酷现实。
一个理想主义者的6年轮回
Dawid Ciężarkiewicz在2018年创建了Crev项目。核心假设很朴素:如果每个开发者都花点时间审查自己用的依赖库,再通过信任网络共享这些审查结果,开源生态的安全问题就能缓解。
cargo-crev是Rust生态的具体实现。技术层面,Ciężarkiewicz对用户体验和流程设计相当满意。但2020年,他停更了。
原因写在项目文档里,没有拐弯抹角:"无论cargo-crev技术实现得多好,最大的障碍始终是开发者缺乏时间。"
代码审查哪怕是走马观花,也要耗掉大量精力。更致命的是,这件事的成就感远低于写新功能。开源社区已经被维护工作压得喘不过气,再要求他们无偿承担供应链安全责任,Ciężarkiewicz自己都觉得过分。
LLM填上了那个"不可能三角"
转机出现在几周前。Ciężarkiewicz读到几篇文章:新的大语言模型(LLM,Large Language Model)发现了非平凡的安全漏洞;Linux内核和curl的开发者承认,以前他们抱怨AI生成的安全报告大多是垃圾,现在情况变了——AI辅助的漏洞报告开始具备实际价值。
这让他重新想起cargo-crev。"AI可以填补那个让我怀疑项目的缺口。"
他没有过度美化LLM的能力。但一个事实摆在那里:开发者没时间做的"90/10安全扫描",LLM可以大规模自动化完成。
具体能做什么?验证crates.io发布的代码与Git仓库是否一致;扫描build.rs和其余代码,标记异常行为;识别那些"本该格式化单位却想偷密钥"的恶意代码。Rust的语言特性让异常代码很难隐藏——做坏事会产生大量噪音,LLM哪怕不够聪明,也能嗅出不对劲。
这不是银弹,但比什么都不做强。
Claude Code先行,其他模型排队
cargo-crev 0.27版本内置了审查循环功能。运行cargo crev ai review-loop即可启动。
目前仅支持Claude Code代理。Ciężarkiewicz表示,添加其他编程代理的支持"相对容易",大部分脚手架已经搭好,欢迎提交PR。
从项目重启到功能上线,节奏快得不像一个搁置5年的老项目。但核心逻辑没变——仍然是信任网络、仍然是分布式审查,只是执行者从"没时间的人类"换成了"不知疲倦的模型"。
一个值得玩味的细节:Ciężarkiewicz特意提到,Linux和curl开发者对AI安全报告的态度转变,是从"mostly worthless slop"到"actually worthwhile"。这种措辞的精准度,大概只有被垃圾报告轰炸过的人才能写出来。
当你的依赖库被AI审查过一遍,你会更信任它,还是觉得"机器看的终究不如人看的靠谱"?
热门跟贴