Git能追踪每一行代码的改动,却回答不了一个新问题:AI生成的代码,人类到底该信多少?
一个核心矛盾
传统版本控制假设人类是唯一的代码生产者。每个提交(commit)背后是人的意图、评审和签名。
AI原生系统打破了这条假设。模型可以一次性生成数千行代码,人类从"作者"变成"审核者"。
Git的日志里,AI生成的代码和人工写的看起来一模一样——都是绿色新增行。但信任基础完全不同。
谁在推动这层"证明"
提出这个问题的是长期深耕开发者工具的人。他们注意到:企业接入AI编码助手后,代码量暴涨,但没人能证明这些代码经过了什么级别的审查。
现有的解决方案是补丁式的。有的团队在提交信息里手动标注"AI生成",有的依赖代码扫描工具事后检测。这些做法既不统一,也无法验证。
需要的不是另一个插件,而是一层新的基础设施:能记录代码的来源、生成参数、审核链条,且不可篡改。
为什么现在必须谈
代码审计正在变成合规硬要求。金融、医疗等行业需要证明:关键系统的每一行代码,人类确实看过。
AI生成代码的"黑箱"特性,让传统审计方法失效。没有溯源层,企业只能在"全面禁止AI"和"承担未知风险"之间二选一。
这不是技术洁癖。2024年已有多个案例显示,未经审核的AI代码进入生产环境后引发故障——而事后追溯时,团队甚至说不清这段代码是哪个模型、哪个提示词产生的。
可能的形态
这层"证明"会是什么样?文章提出几个方向:与现有版本控制并行的新协议、基于密码学的来源签名、或是嵌入CI/CD流程的自动化验证。
共同点是把"信任"从人转移到可验证的机制。就像Git用哈希链保证历史不可篡改,AI时代的代码管理需要新的密码学原语。
Git诞生于2005年,解决的是分布式协作问题。十九年后,代码的生产方式变了,基础设施还没跟上。
谁先定义这层标准,谁就可能成为AI原生开发的事实基础设施。
热门跟贴