AI 会写代码了，谁来替它背锅？Qodo 融资 7000 万美元，盯上“验代码”这门硬生意

代码越来越多，信任越来越少

这两年，AI 写代码的速度快得像开了闸。Cursor、Claude Code、OpenAI 的各种编程助手，再加上一批企业内部自建工具，正在把软件开发从“人写机器跑”，推向“机器先写，人类再兜底”。问题是，代码产量冲上去了，质量却没有自动跟着起飞。

总部位于纽约的创业公司 Qodo 就盯上了这个尴尬又现实的缺口。它最新完成 7000 万美元 B 轮融资，由 Qumra Capital 领投，累计融资达到 1.2 亿美元。跟投方名单也颇有分量，包括 Maor Ventures、Square Peg、Susa Ventures、TLV Partners，以及来自 OpenAI 的 Peter Welender 和 Meta 的 Clara Shih。

如果说前两年资本市场最爱听的故事是“AI 如何生成更多代码”，那 Qodo 讲的是另一个不那么性感、但更接近企业痛点的故事：代码写出来不算完，真正麻烦的是，怎么证明它没有把系统 quietly 搞坏。这个方向不炫，却很值钱。因为在企业软件世界里，最贵的从来不是写代码，而是线上事故、合规风险和那些凌晨三点把工程师从床上薅起来的 bug。

Qodo 想做的，不是另一个“更会写”的 AI

Qodo 的定位是用 AI agent 做代码审查、测试和治理。它押注的核心判断很清楚：随着 AI 编程普及，软件行业的瓶颈会从“生成能力”转向“验证能力”。说白了，代码已经不缺了，缺的是能不能放心地把这些代码合进主干、部署上线、接进真实业务。

这家公司和不少 AI 编程助手的差别，在于它不只盯着“改了哪几行”。它更强调代码变更对整个系统的影响，把组织规范、历史决策和风险偏好一起纳入判断。这个思路其实很接近一个有经验的资深工程师：看代码不是只看语法和局部逻辑，而是会问，这段改动会不会影响别的服务？会不会打破团队以前约定俗成的规则？会不会让一个边缘场景突然炸掉？

Qodo 创始人 Itamar Friedman 的说法挺有意思。他认为，代码生成和代码验证，本质上是两套完全不同的问题。前者更像创作，后者更像审计。你可以让大模型很快写出一段“看起来像那么回事”的代码，但要让它真正理解一家公司多年累积下来的工程文化、架构包袱和隐性知识，就没那么容易了。

这也是 Qodo 试图说服企业掏钱的地方：单靠通用大模型，不足以完成企业级代码质量治理。因为“高质量代码”从来不是一个统一标准，它取决于团队习惯、历史上下文和业务容错率。把一个在甲公司表现出色的工程师扔到乙公司，他也未必立刻懂乙公司的所有潜规则。AI 同样如此。

为什么偏偏是现在？因为 AI 编程已经进入“后遗症期”

这个时间点很微妙。过去一年，AI 编程工具的普及速度远超很多人预期。开发者享受到了实实在在的红利：样板代码自动补、测试能生成、文档也能写，开发效率看上去节节攀升。但另一面也开始浮出水面：提交量暴增，review 压力更大，系统复杂度更高，技术债甚至可能被 AI 放大。

原文提到的一项调查很能说明问题：95% 的开发者并不完全信任 AI 生成的代码，但只有 48% 的人会在提交前持续审查这些代码。这个数字读起来有点黑色幽默——大家都知道不能全信，但忙起来时，还是会点那个绿色的 merge 按钮。软件工程史上很多事故，本质上都不是“不知道有风险”，而是“知道，但没空认真处理”。

所以 Qodo 这类公司的出现，本质上是在替行业补一块新基础设施。过去十多年，DevOps、CI/CD、自动化测试、代码扫描、安全左移，这些概念逐渐把软件交付变成流水线。AI 编程兴起后，流水线前端突然被塞进了一个高产但不稳定的新工人，后端自然需要更强的质检系统。没有验证层，AI 编程的规模化落地迟早会撞墙。

这也解释了为什么企业客户会比个人开发者更在意这件事。个人写个小项目，AI 代码有点小瑕疵，最多多调几个小时；可企业系统一旦出错，可能牵动支付、物流、医疗、金融、客服，甚至监管责任。AI 给企业带来的不是“能不能写”，而是“敢不敢用”。Qodo 押注的正是这个“敢”字。

赛道开始拥挤，但 Qodo 确实踩中了一个硬需求

从竞争格局看，Qodo 并不是唯一玩家。OpenAI、Anthropic 这些大模型公司，正在不断往编程工作流里塞更多功能；GitHub Copilot 也早已从代码补全一路扩到 review、agent 和企业管理；再往下，还有一堆主打静态分析、安全扫描、自动测试的创业公司，人人都想在 AI 软件开发链条里占一个位置。

Qodo 的挑战在于，这个市场看起来很大，但边界并不稳。大模型厂商完全可能把代码审查能力进一步内建进自己的产品，DevSecOps 平台也可以往 AI 验证方向延伸。创业公司如果只是“做一个 review 插件”，很容易被吞掉。Qodo 显然也意识到了这点，所以它反复强调的不只是功能，而是端到端能力和性能。

按照报道，Qodo 在 Martian 的 Code Review Bench 上排名第一，得分 64.3%，领先第二名 10 多个百分点，也比 Claude Code Review 高出 25 个点。基准测试当然不能代表全部现实世界表现，但在这个阶段，能拿出一个相对可量化的成绩，至少说明它不只是讲故事。过去一个月，Qodo 还推出了多 agent 的 Qodo 2.0，并上线了能够学习各组织“何谓好代码”的工具。这些动作都在传递同一个信号：它想从“AI 审查工具”升级成“企业代码信任层”。

不过我也想泼一点冷水。代码验证不是一个纯粹靠模型分数就能赢的市场。企业最终买单，看的是是否能减少误报、减少团队摩擦、顺利嵌入现有开发流程。如果一个工具很聪明，但每天给工程师抛出一堆没用的提醒，最后照样会被关掉。对这类产品来说，“少说废话”可能和“发现 bug”一样重要。

创始人的履历和这门生意的真实难度

Qodo 创始人 Itamar Friedman 不是第一次创业。他此前联合创办过 Visualead，这家公司后来被阿里巴巴收购；他还曾在阿里达摩院负责机器视觉业务，更早之前在 Mellanox 接触过用机器学习做硬件验证。这个背景挺关键，因为它解释了 Qodo 为什么不是从“写代码”切入，而是从“验证系统”切入。

验证这件事，本来就比生成更枯燥，也更难。生成像写作文，验证像批卷子，而且批的还是开放题。尤其在大型软件系统里，很多 bug 不是一眼能看出来的语法问题，而是跨文件、跨模块、跨服务的连锁反应。你今天改了一行缓存逻辑，明天订单服务超时，后天客服系统报错，最后大家开复盘会才发现，根因埋在三天前那个“看起来无害”的提交里。

Friedman 的判断其实很像一条被 AI 热潮掩盖的常识：软件工程从来不是把代码写出来就结束，而是围绕正确性、可维护性和组织协同展开。AI 能让“写”变便宜，却未必能让“负责”变便宜。甚至恰恰相反，代码生成越廉价，责任链条越需要被重新定义。谁对 AI 写出的 bug 负责？提交的人？审核的人？模型供应商？还是采购这个系统的企业？

这是 Qodo 这类公司真正踩中的深层问题。它卖的表面上是工具，实际上是在卖一种新的责任分配机制：让企业在拥抱 AI 之后，仍然能保留最基本的可控性和可追责性。这个需求，在金融、医疗、政府和大型互联网公司里，只会越来越强。

AI 编程的下一阶段，不是谁写得快，而是谁更可信

我越来越觉得，AI 编程赛道正在从“炫技期”进入“治理期”。最开始大家比的是模型能不能一口气写完一个 App，后来比的是 agent 能不能自动完成任务，接下来行业会慢慢回到一个更朴素的问题：这些东西到底靠不靠谱。

Qodo 的融资，不算这个领域最大的一笔钱，却代表了一种资本情绪的变化。投资人开始意识到，真正长期的商业价值，也许不在生成端继续卷几个百分点，而在验证、审计、合规、可解释性这些更不热闹的环节。每一次技术革命最后都会补上“监管”和“质检”这两课，AI 编程也不例外。

真正值得思考的争议点是：未来代码验证会不会也被大模型平台自己吃掉？我认为短期内不会完全发生。原因很简单，企业需要的不是一个通用的聪明模型，而是一个深度理解自己内部流程、标准和风险边界的系统。这个位置，给了 Qodo 一类公司生存空间。但长期看，它们必须足够快地建立工作流壁垒和组织知识壁垒，否则仍有被平台化能力吞并的风险。

换句话说，Qodo 现在站在一个很有前景、也很危险的位置上。它押中的是对的方向，但要证明自己不只是 AI 编程热潮里的“安全感插件”，而是真正不可替代的企业基础设施。这个难度，不比训练一个更会写代码的大模型小。甚至可能更难。因为让机器生成答案已经很惊艳了，而让人类真正信任这些答案，才是更漫长的工程。