AI科普馆部分垂类内容转移至?
【长三角人工智能联盟】公众号,快点进去瞧瞧!
2025年,企业应用开发正在被两种截然不同的AI编程范式拉扯:氛围编程(Vibe Coding)让开发者用自然语言"说出"代码;代理式编码(Agentic Coding)则让AI代理自主完成整段开发任务。
红帽2025年发布的《面向企业的AI辅助应用开发》白皮书给出了一个冷静的判断——这两种方法都有效,但如果没有平台工程和安全供应链打底,它们制造的混乱可能超过价值。
两种范式,一个终点
白皮书首先区分了当前AI辅助编程的两条路径。
"氛围编程"一词由计算机科学家Andrej Karpathy提出,描述的是开发人员通过自然语言指令传达意图(即"氛围"),AI负责生成代码,人类负责审核输出的协作模式。其关键特征是"人类主导的流程"——开发人员始终掌控方向,AI只响应单次请求,不做整体规划。
代理式编码则更激进。它依赖能够自主解析高层级目标、将任务拆解为子任务、并根据反馈调整行为的AI代理系统。白皮书的概括很精准:"如果说氛围编程为开发人员配备了一位高速协同的副驾驶,那么代理式编码则提供了一位能够独立操控飞机的智能协作伙伴。"
但白皮书没有在两套范式之间站队。它的核心主张是:两条路都通向同一个终点——混合工作流,即将氛围编程的敏捷性与代理式系统的自动化相结合。在这个混合模式下,开发人员的角色从"写代码的人"转变为"设定目标并验证结果的监督者"。
这个判断其实很务实。氛围编程适合早期探索和小型任务,代理式编码适合复杂多步骤工作流,两者互补,而非替代。
"Shift Down"比"Shift Left"更现实
白皮书中一个容易被忽视但非常重要的观点,是关于安全责任的转移方向。
过去几年,行业流行"左移"(Shift Left)安全——把安全责任提前交给开发人员,在编码阶段就加入安全审查。白皮书直接指出这种做法的代价:"这会在无形中造成严重的认知负荷,使开发人员在完成核心编码工作的同时难以有效开展安全管理工作。"
红帽提出的替代方案叫"下移"(Shift Down):把安全防护内置到平台层面。平台自动检测恶意代码、强制签名验证、持续监控威胁,开发人员不需要额外操作。原文的表述是:"通过自下而上嵌入安全防护机制,这种以平台为中心的模式既可以降低企业风险,又可以减轻开发人员的沉重负担。"
这是一个更诚实的方案。"左移"假设每个开发人员都能成为半个安全专家,"下移"承认这个假设不成立。
三阶段落地路径:从"试试看"到"嵌入标准"
白皮书将企业AI辅助开发的采用划分为三个阶段:
阶段0:实验。 开发人员试用GitHub Copilot、Cursor等云端工具,验证生产力提升效果,投入极低。
阶段1:从探索到采用。 企业面临两条路——继续使用托管式云AI工具(灵活但不可控),或将开放权重模型引入企业内部(投入大但数据安全可控)。无论选哪条,软件供应链安全防护都必须同步集成。
阶段2:定制。 AI工具被写入开发模板成为默认配置,企业用自有代码库通过RAG技术微调本地模型。这是最成熟的阶段,也是红帽产品布局瞄准的靶心。
值得注意的是,白皮书特别指出了"影子AI"的风险——开发人员未经批准使用公共AI编码工具,绕开企业的安全与法务审核。解决路径不是封堵,而是通过平台工程提供"受保护的沙盒环境",让团队安全地试验新工具,验证有价值后再纳入官方产品目录。白皮书称之为"创新区"。
红帽的牌面:不是卖工具,是卖"可信的基础设施"
白皮书的后半部分是红帽自身的解决方案展示,但产品布局逻辑值得关注。
红帽的打法不是推出一个独立的"AI编程助手",而是把AI辅助开发嵌入已有的企业级平台:OpenShift提供一致的应用平台基础,红帽开发人员中心(基于Backstage)作为统一门户,OpenShift AI覆盖模型的全生命周期管理,红帽可信产品组合分析器和Trusted Artifact Signer解决供应链安全。
两个亮点值得单提:一是InstructLab——红帽与IBM联合推出的开源项目,允许企业用自有知识微调大语言模型,确保AI开发"保持开放性和协作性且贴合实际需求";二是模型库中包含IBM的Granite系列模型,完全开源、Apache 2.0许可,兼顾通用任务和代码生成。
但白皮书的价值不在于红帽的产品介绍,而在于它揭示的一个底层逻辑:企业要想真正用好AI辅助开发,要解决的不是"用什么模型"的问题,而是"平台是否可信、安全是否内置、工具是否标准化"的问题。技术选型是最后一步,组织层面的基础设施重构才是第一步。
本文基于红帽《面向企业的AI辅助应用开发》白皮书(2025年发布)撰写,详细内容请查阅原文。
以下是白皮书全文↓↓↓ 文末点击链接免费下载pdf,扫二维码加入交流群

















AI科普馆:打开AI世界之窗





