北京大學實驗室開源 AI 代碼風險資料庫，並附真實損失案例

AI 生成的代碼語法正確、測試通過、PR 可合併，卻可能在業務語義層面埋藏隱患，穿過所有安全檢查最終造成真實損失。北大 Narwhal-Lab 開源 Narwhal AI Code Risks 項目，系統整理了 AI 寫代碼的真實風險案例，包括 28 項檢查全部通過但價格語義錯誤導致 178 萬美元損失的典型事件，項目將風險分為真實事件、早期信號、典型場景三類，覆蓋供應鏈、代碼漏洞、雲配置、Agent 風險等七類領域。

文章作者、來源：新智元

在 2026 年，代碼正以越來越快的速度生成，卻以越來越少的審視被部署。

越來越多時候，用戶的需求被放進對話框，AI 讀完上下文，補全函數，拉起依賴，改好配置，再順手生成測試。

當回過神來，一段代碼已躺在倉庫中，等待合併。

用戶都已形成新習慣，先讓 AI 寫出來跑起來，有問題再看哪裡需要改。

但在軟體世界裡，最危險的東西往往是看起來平平無奇的代碼：語法正確，介面合法，測試通過，註釋完美。

但它仍可能引入不存在的包名、開啟過寬的權限、暴露資料庫……甚至讓一個能直接呼叫系統工具的 Agent 在提示詞注入下，將敏感資料帶出內部系統。

真正危險的，不是錯誤紅燈亮起。而是所有風險儀表都顯示正常。

AI 寫代碼的風險，過去散落在各處：一篇安全部落格藏著一個案例，一個 Issue 記著一段線索。等下一個團隊遇到同類問題時，又需要從頭拼湊風險來源、又要耗費大量時間和精力對代碼進行大規模實證測量。

而北京大學 Narwhal-Lab 剛剛開源的 Narwhal AI Code Risks 已經將資訊碎片整理好，按照真實事件、早期信號和典型風險路徑這三種類型歸類，供研究者查看。

論文連結：

https://github.com/Narwhal-Lab/Narwhal-aicode-risks

當 28 項檢查全部通過

系統仍然偏航

第一條線索是一個已合併的 Pull Request，PR 署名欄中赫然寫著 Claude Opus 4.6 和 Copilot，以及四位人類開發者。28 項檢查全部通過：沒有人發現問題。

然後，清算機器人花了幾分鐘，拿走了價值 1,778,044.83 美元的抵押品。

在配置文件中，cbETH 的價格被設定為與 ETH 的換算比例，約等於 1.12 美元，而非實際接近 2,200 美元的價格。

一個價格語義錯誤就這樣穿過了開發、檢查和合併流程，最後在金融系統裡變成了真實損失。這就是 Moonwell cbETH 預言機配置事故最刺眼的地方。

問題就在於代碼中沒有語法錯誤，人類開發者也沒有立即中斷異常流程。相反，它看起來完整且順利，這是一次正常的工程交付。

但正是這種暗流湧動的正常，才讓它成為安全事件的典型例子。

AI 編碼的風險在於它並不總是以報錯的方式出現。

很多時候，它披著正確答案的外衣，安靜地進入工程流程。代碼能跑，檢查能過，PR 能合併，但業務語義已經偏離了真實世界。

在低風險項目中，這種語義偏離可能只是一次返工；但在金融、企業數據系統等敏感場景中，它將直接洩露數據、暴露權限和損失資產。

當 AI 參與寫代碼、修改配置、進行審查，甚至共同署名進入 PR 時，我們是否有足夠把握知道每一次偏航是怎麼發生的？

Green Light

照不到所有角落

早期的 AI 幫你寫代碼，大多停留在局部補全。如果語法寫錯了，編譯器會報錯，單元測試會失敗，CI 流程會將其拒之門外。

今天的 AI 編程走得更遠，而監管卻遲遲未跟上。

它能讀取檔案、修改設定、安裝依賴、生成基礎設施腳本，並能透過 Agent 在多個任務之間自行規劃。

AI 不再只是坐在旁邊遞工具，它開始進入軟體工程的更長鏈路。

在軟體工程中，原本清晰的邊界被 AI Agent 重新連接成一條更長、更難溯源的路徑。

分散的記錄

需要一份公共航行日誌

安全事件很少一開始就有完整結論。有些事件證據充分，可以作為真實案例進入目錄；有些還停留在社區截圖、研究員討論或初步披露階段，只適合繼續觀察；還有一些不綁定單一真實事件，卻已經形成清晰模式，適合拿來做提前推演。

Narwhal AI Code Risks 將材料分為三層：`cases/`、`inferred/` 和 `scenarios/`。

cases/記錄已有公開來源和證據鏈支撐的真實事件；inferred/保存尚未完全坐實、但值得持續追蹤的早期信號；scenarios/整理暫不綁定單一事件、但風險路徑足夠清晰的典型場景。

如果沒有這樣的公共記錄，AI Coding 的風險很容易變成互聯網裡的短期記憶。

今天大家記得某個包名，明天討論某次數據暴露，過幾個月又被新的工具熱潮覆蓋。等相似問題再次出現，團隊仍像無頭蒼蠅撞進風險未知的航區。

Narwhal AI Code Risks 的作用，就是將這些零散的風險片段固定下來，讓後來的人可以翻到同一頁。

沿著七類指數

看清風險的來源

AI 寫代碼帶來的問題，不只在代碼裡。它在依賴裡，在權限裡，在 Agent 的工具調用裡，更在人類對 AI 輸出的信任方式裡。

Narwhal AI Code Risks 目前將風險分為 7 類：供應鏈、代碼級漏洞、雲與基礎設施配置、Agent 風險、垂直領域風險、知識產權與合規風險，以及人為因素。

在供應鏈風險中，AI 可能推薦不存在的依賴。在程式碼級漏洞中，AI 可能將路徑遍歷、輸入驗證缺失、授權問題重新寫入業務程式碼。在雲端與基礎設施配置中，AI 可能為了讓程式碼先運行起來而提供過寬的權限、公開的儲存桶或暴露的埠。Agent 風險則更複雜，不僅僅是生成文字，而是開始執行動作。AI 生成物正在為真實系統埋下隱患。

AI 引擎已點火

而航行日誌才剛剛翻開

當 AI 一步步走進真實世界，相關的風險防治不應該只停留在事後復盤或零散討論中。

Narwhal AI Code Risks 真正重要的地方，是把風險案例變成可以複用的知識。

開發者可以使用它來識別相似問題；安全研究人員可以將其作為樣本庫；工具廠商可以從中提取檢測規則和評測基準；開源社區也可以繼續補充新的案例、新的證據和新的風險類型。

AI 的引擎正在轟鳴，每一次偏航也都應該留下坐標。風險從來不會因為被忽視而消失，但經驗可以被記錄與傳遞。真正有價值的並非發現一次漏洞，而是讓後來者不必再踏入同一個陷阱。

Narwhal AI Code Risks 正在為 AI 應用元年的軟體世界，留下一份開源的航行日誌。