AI coding 像把一个实习生锁进你家厨房:刀在抽屉里,煤气在墙上,冰箱里有全家晚饭。分水岭不在他会不会切菜,而在你给他哪把钥匙。我觉得,AI coding 的真正门槛,不是模型更聪明,而是权限设计;不是它能写多少行代码,而是它能碰什么、改什么、发到哪里。

这话听上去像后台工程师的洁癖,其实不是。这恰恰是今天许多人最会看错的地方。大家盯着模型排行榜,像晚清士大夫围着枪炮口径争长短,却忘了决定战争输赢的,常常不是枪多准,而是谁能碰火药库,谁又被拦在门外。

人对“聪明”有一种近乎迷信的崇拜。仿佛 AI 只要再聪明一点,就能从“会补全代码”自然长成“会负责系统”。这是把脑子和手混为一谈。脑子负责想,手负责拿。可现实世界里,最贵的事故,往往不是想错,而是拿错。

一个刚入职三个月的前端,周五晚上十点修一个按钮颜色。AI 很勤快,顺手把样式文件、构建配置、打包脚本全扫了一遍,最后为了“统一风格”,改掉了一段和按钮八竿子打不着的公共变量。测试环境一片祥和,周一早上,支付页的对比度塌了,客服系统里冒出几十条“看不清付款按钮”。你说这是模型不够聪明?不,这是它拿到了不该拿的整串钥匙。一个颜色问题,被准许碰到了整栋楼的电闸。

第二个场景更像办公室政治。某创业团队让 AI 接手“整理仓库”。本意只是删废弃文件,结果它读到了部署脚本,又顺藤摸瓜碰到线上配置,再一脚跨进 GitHub 的自动发布流程。它没“恶意”,它只是太像一个勤奋的新员工:领导没说不能碰,它就以为都归自己负责。两小时后,测试分支上的实验代码,被它规规矩矩地推上了生产环境。事故复盘会上,人人都在追问:为什么它会这么做?真正该问的是:为什么它做得到?

第三个场景最滑稽,也最典型。一个独立开发者半夜改 bug,嫌确认弹窗烦,把终端权限一路开到最大。AI 修完 bug 还很体贴,发现几个“看起来无用”的数据库迁移文件,顺手清理。第二天他发现,自己不是多了一个聪明助手,而是养了一只会整理书房的山羊。山羊不懂版本史,只懂眼前这页纸挡路。你骂它没文化,它也委屈;真正荒唐的是,你竟然把家谱交给山羊啃。

这就是反常识的地方:AI coding 最危险的部分,不是“它会犯错”,而是“它会在被授权的正确路径上,极有效率地犯错”。人对人的防范,往往建立在情绪判断上。你会担心一个鲁莽同事,会提防一个爱越权的主管。但 AI 没有那种人味儿,它越不犹豫,你越容易误以为它可靠。它像一把抛光得太好的刀,亮得让人忘了它首先是刀。

所以,权限设计不是附属品,不是法务式的“合规边角料”,它就是 AI coding 的骨架。模型像发动机,权限像方向盘和刹车。只谈发动机马力,不谈刹车距离,那不是热爱技术,那是迷恋车祸。

许多人谈 AI 编程,还停留在“会不会替代工程师”的戏台上。这戏台很热闹,也很廉价。真正的分野更冷一点,也更硬一点:有些团队把 AI 当打字员,有些团队把 AI 当实习生,有些团队已经在把 AI 当有手有脚的操作员。角色一变,问题就变了。打字员只需要语言能力,实习生需要任务边界,操作员则必须先被关进笼头、护栏、闸门组成的制度里。你不给制度,只给能力,等于只教少年人开车,不教他认悬崖。

说得再刻薄一点,很多公司并不是在“使用 AI 编程”,而是在“用自然语言裸奔运维”。把一句“帮我处理一下”交给一个能读仓库、能改文件、能跑命令、能提交代码的系统,本质上不是聊天,是放权。放权这件事,历史上从来不浪漫。皇帝给宰相盖印,老板给财务 U 盾,主编给记者发证件,问题都不在于对方聪不聪明,而在于他能动哪几颗印、能开哪几道门、出了事谁能及时拦住。

技术圈有一种少年气,老觉得限制是对创造力的侮辱。其实恰好相反。好的权限设计,不是怀疑能力,而是尊重现实。桥梁工程师不会因为自己会算力学,就嫌护栏多余;外科医生不会因为自己手稳,就主张取消麻醉记录。只有软件行业,常把“先给满权限跑起来”说得像英雄主义。那不是英雄主义,那是开发者版的酒后驾车,只不过方向盘换成了 shell(命令行外壳),车灯换成了 Claude。

我甚至愿意把判断说得更绝一点:未来 AI coding 的竞争,表面上看是模型之争,实质上是组织学之争。谁先把权限切细,谁先把确认节点做对,谁先把可回滚、可审计、可隔离这些“看起来不性感”的东西做好,谁才配吃到真正的红利。模型能力会逐渐普及,像自来水;权限设计才像城市管网,平时没人夸,一漏就是全城闻见。

有几句话,我愿意钉在这里:

AI 最可怕的不是会写代码,而是被允许改命。

模型决定上限,权限决定死法。

不给边界的智能,不叫生产力,叫扩大事故半径。

所谓自动化,常常只是把人的草率,翻译成机器的高速。

真正成熟的团队,不是最敢放权的团队,而是最会把权力切碎的团队。

所以我看 Claude Code Docs 一类更新,真正该盯的,不是它又多会了哪个技巧,不是补全更像人,不是命令更顺手。那些当然重要,但都还停留在“聪明”的层面。决定它是助手、工具,还是隐患的,是另一层东西:它默认能不能写、写之前要不要问、哪些目录不能碰、哪些命令不能跑、哪些凭证永远摸不到。文档里每多一道权限栅栏,不是产品变笨了,而是它终于开始像工业品,而不只是实验室里的才子。

才子最容易误国,这话放在 AI 身上,也成立。因为才子爱越界,世界又总爱原谅才子的越界。可工程不是风月场,线上服务也不是文人酒席。系统要的不是“偶尔惊艳”,而是“长期不炸”。

到最后,这甚至不是一个技术判断,而是一个文明判断。一个社会怎样对待钥匙,暴露它怎样理解权力;一个团队怎样设计 AI 的权限,暴露它怎样理解责任。把门都拆了,当然显得自由;可真正的自由,从来不是谁都能闯进来,而是谁都知道自己该停在哪一扇门外。