如果是普通开发者随手写个 Demo，大家通常会很宽容；但如果是 Cloudflare 这种巨头，声称在自家 Workers 平台上实现了一个「生产级」的 Matrix 协议 Homeserver（主服务器），结果核心安全代码里全是 TODO: Check authorisation，这事儿就变得既荒诞又好笑了。

最近，Cloudflare 发布了一篇充满技术自信的博客文章，宣称通过 AI 辅助开发，在 Cloudflare Workers 上成功实现了 Matrix 协议的服务器端。文章里提到的愿景非常诱人：零运维、后量子加密、自动扩缩容。然而，当技术社区真的去翻阅代码库时，他们发现这与其说是一个实现了 Matrix 协议的服务器，不如说是一个披着 Matrix 外壳的幻觉产物。

不是安全漏洞，是「还没写」

Matrix 协议的核心在于联邦信任和状态同步，这依赖于严格的签名验证和复杂的冲突解决算法。但在 Cloudflare 这次发布的代码中，最关键的身份验证部分完全没有实现。代码里赫然写着 TODO: Check authorisation。这意味着，任何服务器都可以伪造事件，而这个「生产级」服务器会照单全收。

在分布式协议中，这根本不叫漏洞，而是根本没实现功能。开发者 Jade 在 Mastodon 上犀利地指出，这根本不是什么实现了 Matrix 的服务器，而是一个由 AI 生成的、看起来像那么回事的空壳，实际上根本不具备互操作性和安全性。

这就好比有人宣称造了一辆能自动驾驶的汽车，当你问它刹车怎么装的时候，他打开引擎盖，指着里面的空气给你看了一张写着 TODO: Install brakes（安装刹车）的小纸条。

删掉 TODO，Bug 就消失了？

面对铺天盖地的质疑，后续的骚操作比代码本身更像是一场公关灾难。

如果在开源社区被人指出代码有严重缺陷，通常的做法是修复代码或者回滚版本。然而，这位 Cloudflare 的作者选择了一种更「赛博朋克」的方式：删掉那些尴尬的注释，仿佛只要删除了代码里的 TODO 和 FIXME，问题就不存在了。

在一个提交记录中，作者将提交日志写得云淡风轻：「Clean up code comments」（清理代码注释）。但细心的网友发现，所谓的清理就是直接把提示缺少授权检查的注释删掉了，连一行真正的验证代码都没加。这让人想起了那个经典的笑话：如果编译器报错，就把报错信息删掉。

更绝的是，事后作者开始强推代码修改（Force Push），试图重写 Git 历史记录，甚至还修改了文档中的 ASCII 架构图，试图掩盖 AI 生成的痕迹。这就不再是单纯的技术失误，而是一种试图掩盖事实的行为了。

「氛围编程」的代价

这件事在 Hacker News 上引发了热烈讨论，大家普遍认为这是目前技术圈浮躁风气的一个缩影。这种现象被称为「Vibe Coding」（氛围编程）——即工程师不过问代码本质，只通过 AI 生成一堆「看起来像那么回事」的文本，然后指望它能跑。

虽然 Cloudflare 的博客曾经是技术深度解析的「黄金标准」，但这次事件让人不得不怀疑：为了赶一篇营销 Workers 产品的文章，他们是否连最基本的 Code Review（代码审查）流程都省了？

这就引出了一个更严重的问题：当我们在宣传 AI 可以大幅提高开发效率时，是否也低估了「偷懒」的风险？如果连一家基础设施巨头都能发布这种毫无安全校验的代码，并冠以「生产级」之名，那么普通开发者在面对 AI 生成的代码时，又该如何保持清醒？

技术债务与信任危机

从技术角度来看，在无服务器架构上运行有状态的协议（如 Matrix）确实极具挑战性，但这并不是发布不合格代码的借口。

Matrix 协议本身非常复杂，涉及到大量的状态解析和加密握手。试图用 AI 一次性「磕」出来一个能用的实现，几乎是不可能的。真正的工程价值在于解决这些细节中的恶魔，而不是堆砌一行行看似正确实则无效的 if/else 语句。

对于 Cloudflare 而言，这次事件的代价不仅仅是丢脸，更是信任的透支。用户开始质疑：如果你们连公开博客和开源代码都敢这么敷衍，那在那些闭源的、每天处理全球互联网大量流量的核心服务中，是不是也埋藏着类似的「氛围代码」？

结语

这次 Cloudflare 的事件给所有沉迷于 AI 辅助开发的团队上了一课：AI 可以帮你写 Boilerplate（样板代码），但不能替你思考。

当你的代码库里充满了 TODO 而你却选择视而不见，甚至试图删除注释来掩盖时，你就已经不再是一个工程师，而成了一个代码的搬运工。至于那个号称「后量子加密」的 Matrix 服务器，目前最靠谱的功能，大概就是教大家如何优雅且自欺欺人地「清理代码注释」了。