当「看起来很专业」变得一文不值

Node.js上周做了一个很多人没注意到的决定。

暂停发放安全赏金。

不是没钱了，不是安全问题不重要了，也不是黑客突然变懒了。是因为假报告太多了。多到Node.js的开发者们已经分不清哪些是真的安全漏洞，哪些是AI批量生成的垃圾。

他们花在甄别假报告上的时间，已经远超修复真漏洞的时间。所以选了一个很无奈的方案，先把赏金停了，等想清楚了再重新开。

说实话，看到这条新闻的时候，我脑子里蹦出来的第一个念头不是「这些人太过分了」，是「这事迟早会发生」。

逻辑太顺了。以前你想提交一份安全漏洞报告去领赏金，你得真懂底层代码吧？你得花好几天复现问题吧？你得一行行去构造 exploit 吧？这个门槛天然就把浑水摸鱼的人挡在了外面。

现在呢？打开Claude，让它帮你读代码、找漏洞、写报告。一个完全不懂安全的人，半小时就能批量提交十几份「看起来很专业」的漏洞报告。

成本趋近于零。

而Node.js团队去验证每一份报告的成本，一点都没变。甚至因为报告量暴增，验证的总成本还大幅上升了。

这才是问题的核心。不是AI能不能找到真漏洞，是AI把「造假」的成本压到了接近零，而「验证真伪」的成本纹丝不动。

这种不对称，才是真正杀死信任的东西。

……

不只是安全圈的事

等等，这事不只是在安全领域。

你去翻翻近两年的学术论文数据库，AI生成的「看起来像模像样」的论文已经开始在顶级学术会议上泛滥了。好几个国际会议不得不紧急升级审稿流程，有些甚至要求作者当面解释论文推导过程。因为你已经分不清，这篇论文到底是一个博士生写了六个月的成果，还是一个人花了二十分钟让Claude生成的。

你去电商平台上搜任何一款产品，排在前面的好评有多少是AI写的？那种行文风格，结构工整，细节丰富，语气真诚……太像真的了。

因为AI就是被训练来模仿「像真的」。

你去招聘网站上看看，AI写的简历和求职信，一个刚毕业的大学生和十年经验的老手放在一起，已经看不出区别了。甚至前者可能还更「完美」，因为AI不会犯格式错误、不会有语气不统一的问题。

你甚至看看自己微信收藏里那些「深度分析」文章，你怎么确定不是AI写的？

我最近自己也经常有一种很奇怪的感觉。刷到一篇写得不错的文章，第一反应不是「写得真好」，而是……这是不是AI写的？

这个念头一旦冒出来，就收不回去了。

我非常理解那种「无所谓，内容好就行」的想法。真的，我理解。如果AI写的报告真的发现了真漏洞，AI写的评价真的反映了产品好坏，AI写的论文真的有学术价值，那管它是谁写的呢？

问题是，当生产成本趋近于零，劣币驱逐良币的速度会超乎你想象。

Node.js的故事就是最好的例子。不是说AI提交的所有报告都是假的，有些可能真的发现了有价值的问题。但当真的假的混在一起，而且假的量级是十倍百倍于真的，验证成本就会把整个系统压垮。

开源社区的维护者们，大多数是业余时间做这件事。他们不是全职安全工程师，他们是下了班打开电脑贡献代码的志愿者。你让他们在一百份AI生成的报告里找到那三份真的？

这不叫「提高效率」。

这叫「消耗善意」。

比厉害更重要的东西

想明白这一点之后，我突然意识到一个可能有点刺耳的趋势。

我们正在进入一个时代，「证明自己是真的」比「证明自己很厉害」更重要。

以前你写一份报告、一篇文章、一段代码，「看起来专业」本身就是一种能力证明。因为它需要时间，需要积累，需要反复打磨。你花了三天写出来的东西，和花了三十分钟凑出来的东西，光从排版和专业术语的使用上就有肉眼可见的差距。

现在这个信号失效了。AI把「看起来专业」的门槛踩到了地板上。

那什么信号还有效？

想了挺久，我觉得答案只有一个。你愿意为你输出的每一句话负责。

不是生成一段「看起来像」的东西就完了。是你真的理解它，你验证过它，你愿意为它的后果承担责任。

Node.js暂停赏金，表面上是针对AI造假者的防御。实际上揭示的是一个更底层的规则变化，当内容的生产成本趋近于零，唯一还有价值的东西，是背后的责任。

上一次，用了三十年

……这让我想起一段历史。

1830年代的美国，印刷术的普及让出版成本大幅下降。以前只有大报社才能印报纸，现在随便什么人找个印刷厂就能办一份。

结果就是市场上突然涌现了几千份报纸。各种夸大其词的「新闻」满天飞，什么「月球上发现了蝙蝠人」这种标题都敢印，事实核查？不存在的。读者信不信全靠报纸的招牌。

那个时代后来被叫作 黄色新闻时代。

那段混乱持续了大概三十年。直到新闻行业慢慢建立起职业伦理、编辑准则、事实核查机制，读者也慢慢学会了分辨信源，市场才逐渐回归正常。

我们现在，其实就站在类似的节点上。

只不过上次是印刷术把出版成本压到了零，这次是AI把「专业内容」的生产成本压到了零。

上次用了三十年。

这次呢？会不会更快？

不知道。但我觉得有一点可以确定，那些现在就开始练习「为自己的每一份输出负责」的人，会比等着别人建立规则的人，更早一步站稳脚跟。

不是为了证明自己比AI强。

是为了在AI泛滥的世界里，证明自己是真的。

Node.js暂停了安全赏金，不是因为他们不信任安全研究者了。是因为他们需要时间，重新建立一套能分辨「谁是真的在找漏洞、谁是在用AI碰运气」的机制。

这可能是AI时代每个组织、甚至每个人都要面对的课题。

不是学会用AI。

是在AI把「看起来很专业」变成廉价的流水线产品之后，找到一种方式告诉世界，我写的每一个字、我提交的每一份报告、我做出的每一个判断，都是我自己想清楚的。

不是为了比AI更快。

是为了比AI更真。