两个 AI review agent,因为一个下游 PR 里升级开源依赖,开始争论包是不是恶意的。
争了 340 条评论,烧掉 41,255 美元推理费用。最后不是安全负责人按下停止键,而是财务撤销了 API key。更荒诞的是,某厂商营销团队把这次成本异常包装成“对抗性多智能体安全推理同比增长 430%”,股价开盘涨 6%。
性质必须说清楚:这是 Andrew Nesbitt 写的 hypothetical / satire,Simon Willison 转发推荐。CVE-2026-LGTM 不是一个真实漏洞编号,也不是可核验的真实事故。
好笑归好笑。它刺中的不是段子,是工程现场迟早会遇到的硬问题:AI 审查代理进了 PR、CI、依赖扫描和安全审批之后,谁给它刹车?
这不是事故,是一张风险速读卡
这则讽刺把很多人正在兴奋推进的东西,压成了一个小剧场:AI、security、prompt injection、LLM、software supply chain,全挤在一个依赖升级 PR 里。
| 问题 | 这则讽刺里的答案 |
|---|---|
| 发生了什么 | 两个 AI 审查代理围绕依赖包是否恶意陷入争论循环 |
| 场景在哪里 | 开源依赖升级、下游 PR、自动化安全审查 |
| 代价是什么 | 340 条评论、41,255 美元推理开销、API key 被财务撤销 |
| 最讽刺的点 | 工具失控被营销包装成 430% 增长,甚至带来股价上涨叙事 |
| 真问题是什么 | 自动化安全审查到底是在降风险,还是在制造新风险 |
它不是在说“AI 会犯错”。这个已经不新鲜。
它说的是另一件事:多个 AI 代理互相引用、互相反驳、互相升级判断时,系统会从“辅助审查”变成“自动化争议机器”。
一个 agent 误报,工程师还能关掉。两个 agent 互相抬杠,问题就变了。你要处理的不只是判断错误,还有评论噪音、CI 阻塞、账单膨胀和责任空转。
供应链安全本来就不是一道选择题。一个包是不是恶意,常常要看维护者信誉、发布历史、构建链路、依赖树、权限范围和运行环境。LLM 可以帮忙读材料、找异常、写摘要。但它不能凭几段上下文就拿走结论权。
最受影响的是开发者和工程治理者
这事对普通用户有点远。对开发者、安全团队和技术管理者很近。
如果你是关注 AI 编程工具的开发者,最现实的动作不是立刻关掉 AI review,而是调整它的位置:让它给证据,不让它直接裁决。依赖升级、权限变更、安装脚本、CI 配置、prompt injection 风险,都适合让模型辅助看。但合并、阻断、回滚,必须有人类确认。
如果你负责开源供应链、安全采购或工程治理,动作更具体:采购可以慢一点,试点要小一点,预算线要先画出来。不要只问厂商“能发现多少风险”,还要问四个问题:单个 PR 最多花多少钱?agent 争议多久自动停止?阻断发布由谁签字?厂商报告里的置信度和证据链怎么呈现?
这里有一个很现实的对比。
| 角色 | 容易被话术带偏的指标 | 更该看的控制点 |
|---|---|---|
| 开发者 | 评论更多、建议更多、覆盖更多文件 | 误报率、可解释证据、是否拖慢合并 |
| 安全团队 | 拦截次数、风险标签数量 | 漏报后责任、误报处理成本、人工复核路径 |
| 技术管理者 | 自动化率、节省人力、厂商 benchmark | 预算上限、权限边界、审计日志、退出机制 |
| 采购团队 | “多智能体推理”“高级安全分析” | 计费方式、调用上限、SLA、数据留存 |
AI 审查当然有价值。尤其在依赖升级、可疑脚本、权限变化和供应链审查里,它能提高发现概率,也能减少人工翻代码的时间。
限制也同样清楚。模型不能稳定承担最终责任。厂商也很难替你的发布事故背锅。企业内部如果没有预算上限和人工复核,所谓“多一层保险”很快会变成“多一层自动扣费”。
问题不在产品有没有用。问题在它被放进流程后,谁为它的每一次判断、每一次阻断、每一次调用付账。
真正该盯住的是刹车
我不太买账那种轻松说法:AI 安全审查只是给工程团队加一层保险。
保险的前提是责任清楚、成本可控、边界明确。否则它不是保险,是会写长评的风险放大器。
更麻烦的是激励不对称。
企业采购 AI 安全工具,希望少背锅。安全团队希望少漏报。厂商希望证明产品参与了更多高风险推理。模型平台按 token 或调用收费。每一方单独看都合理,合在一起,就可能没人真正为结果负责。
“天下熙熙,皆为利来。”这句话放在这里不玄。安全工具如果按调用量、覆盖率、拦截次数讲增长,它天然会偏爱更多警报、更多推理、更多存在感。一次失控循环,在工程现场是事故;在销售材料里,可能变成“复杂威胁场景验证”。
这才是讽刺最狠的地方:失败没有消失,只是被重新命名了。
接下来最该看三个开关。
| 开关 | 没有它会怎样 |
|---|---|
| 预算上限 | 单个 PR 可以烧掉不成比例的推理成本 |
| 争议终止条件 | 多个 agent 可能互相喂上下文,越吵越贵 |
| 人类签字权 | 自动化工具会把“建议”滑向“裁决” |
这篇虚构事故很像早年自动化交易给市场上的一课。不完全一样,但结构相似:系统跑得越快,越需要断路器。没有断路器,聪明只会让事故更贵。
回到那个荒诞数字:340 条评论不是重点,41,255 美元也不是重点。重点是到了那一刻,真正有效的控制动作来自财务撤 key,而不是安全系统自我刹车。
这就很难看。
AI 审查可以上车。但方向盘、油门和账单,不能一起交出去。