氛围编码已死：Birgitta Böckeler 拆解 AI Agent 工程实践的三条生死线

「VIBE CODING IS OVER。」

这几个字印在 QCon London 2026 的大屏幕上，是 Thoughtworks Distinguished Engineer Birgitta Böckeler 开场的第一张幻灯片1。她不是在挑衅，她在做诊断。

过去一年，AI 编程从「帮我补全这行代码」演变成「去帮我完成这整个功能」。工具链换了，风险换了，连成本数量级都变了。那些靠直觉和热情驱动的「氛围编程」早期红利正在收窄，取而代之的是一个真实的工程问题：当你把代理（Agent）接入生产代码库，你的工程纪律能撑住吗？

这是 Böckeler 在 QCon London 2026 演讲「The Engineering of AI Agents: Context, Harnessing, and Autonomy」的核心追问2。视频于 2026 年 5 月 6 日由 InfoQ 发布到 YouTube，时长 28 分 15 秒，是她去年「From Autocomplete to Agents」的年度更新版3。

为什么值得关注这场演讲

Böckeler 是 Thoughtworks 的 Distinguished Engineer，同时担任 Global Lead for AI-assisted Software Delivery，拥有约 20 年软件交付咨询经验3。她不是在实验室里测试模型的研究员，而是在真实客户项目里反复处理「AI 工程怎么实际跑起来」这个脏问题的人。

这使她的演讲角度很不一样：不是「AI 能做什么」，而是「我们在做 AI 的时候踩了什么坑」。

带时间戳的内容大纲

以下章节结构来自 YouTube 视频描述1，InfoQ 完整文稿与视频内容高度对应2：

时间戳	主题	核心内容
[00:00]	从自动补全到代理的演进	一年间工具链的代际跨越，「氛围编程」为何走到终点
[02:15]	什么是上下文工程？	Rules、MCP、Skills 三种策略的比较与取舍
[05:30]	模块化上下文：Anthropic Skills	懒加载替代单一超大 AGENTS.md 文件
[08:45]	成本现实：$380/天意味着什么	从 12 美分到数百美元的成本曲线，蜜月期结束
[11:20]	子代理与研究工作流	Claude Code Agent Teams 预览，多代理编排的早期形态
[14:05]	AI 安全的「致命三角」	提示注入攻击模型，以及 2026 年 3 月的真实入侵事件
[17:50]	驾驭工程：确定性安全网	CPU 工具层 + GPU 推理层的混合架构设计
[21:10]	结构性测试作为反馈环	dependency-cruiser 等静态分析工具如何对齐代理行为
[24:40]	「恰到好处的速度」	速度与可控性之间的权衡，不是越快越好
[28:15]	收束：你会强制执行什么？	留给每个团队的开放追问

核心洞见拆解

1. 上下文工程：最被低估的杠杆

当大家还在比较哪个模型更聪明的时候，Böckeler 已经把注意力放到了模型之外——你给代理喂什么信息，决定了它能做什么2。

她梳理了三种主流策略：

Rules：写在 .cursorrules 或 AGENTS.md 里的全局指令，实现门槛低，但会被无差别地塞进所有对话
MCP（Model Context Protocol）：将工具、数据库、外部系统接入代理，横向扩展能力边界
Anthropic Skills：模块化、按需加载的上下文块，只在相关任务触发时才注入到窗口中

最后一种是她重点解析的。Claude Code 在全新会话打开时，上下文窗口已被系统提示和 Skills 占用 15%2——这意味着「上下文窗口有多大」不再是唯一的问题，「你往里面放什么、什么时候放」同样关键。

把单一超大 AGENTS.md 拆成多个 Skills 并按任务懒加载，这不是偏好问题，而是工程设计。

2. 成本曲线的陡峭现实

AI 代码生成成本演变

每 100 行代码的生成成本（2024 年初 vs 2025 年夏）

2024 年初成本

~¢12

2025 年夏峰值（日均）

$380

年化成本

$91,200

正在加载统计卡片...

2024 年初生成 100 行代码约 12 美分；到 2025 年夏，已有工程师日均花费 $380 美元，年化约 $91,200——相当于德国一个不错的开发者的年薪2 4。

甚至还有 Reddit 用户报告：月中就把当月 token 配额用完了2。

这组数字说明：当代理开始接管更大的任务颗粒度，之前在「帮我补全」阶段几乎可以忽略的 token 成本，会以一个全新的数量级回来找你。成本管理不再是财务部的事，它进入了架构决策层。

3. 「致命三角」：AI 安全的概念性困境

Böckeler 引用了安全研究者 Simon Willison 提出的「致命三角」（Lethal Trifecta）模型，这个框架解释了为什么提示注入（prompt injection）攻击在有代理参与的场景里如此难以从根源消除2 5：

当代理同时满足以下三个条件时，风险窗口就打开了：

接触不可信内容（如用户输入、互联网内容、issue 描述）
可访问私有数据（代码库、凭证、环境变量）
具备对外通信能力（调用 API、推送代码、发邮件）

移除任意一条，风险就消失。但这三条恰好是代理发挥价值的前提条件。

她给出的不是理论，而是一起发生在演讲前 11 天的真实事件：2026 年 3 月 27 日，攻击者通过 GitHub Issue 写入精心构造的提示内容，诱导一个开源项目的 AI 代理将密钥提取出来并推送了恶意包到 npm registry2 4。

AI 代理安全「致命三角」：不可信输入、私有数据与对外通信同时具备时风险窗口打开

4. 驾驭工程：在非确定性模型外围建确定性护栏

这是演讲中最有实践价值的部分。Böckeler 提出「驾驭工程」（Harness Engineering）的核心思路是：不要试图让模型变得更可预测，而是在模型外层叠加确定性机制2。

架构上的划分很清晰：

GPU 层（模型/推理层）：接受非确定性，这是模型的本质特征
CPU 层（工具/验证层）：用确定性的脚本、lint 规则、结构测试、审批流程做双保险

具体到代码质量，她举的例子是 dependency-cruiser——一个检查模块依赖关系是否符合架构约束的静态分析工具。把这类工具嵌入代理的工作循环，让它在每次代理提交变更后自动检测违规，就等于给代理套上了一条不依赖模型「理解架构」的硬性约束绳。

这个思路适用范围不止于此。测试覆盖率门槛、API 契约校验、安全扫描，凡是可以被程序化验证的标准，都可以作为代理工作流里的反馈节点。

5. 监督悖论：自主越长，审查越重

Claude Code 推出了 Agent Teams 多代理编排预览功能2，让更复杂的任务委派成为可能。但 Böckeler 提了一个反直觉的警告：

"The longer it goes without supervision, the more I have to review afterwards and actually see what happened."
——「代理跑得越久、越少被干预，我事后要审查的东西就越多，要真正弄清楚发生了什么就越难。」

这击穿了「减少监督 = 提升效率」的简单假设。代理自主运行时间越长，行为链条越长，潜在偏差的积累也越深，而事后审查的认知负担是非线性增长的。

金句摘录

[约 24:00] 谈安全风险的本质

"Security is not a technical problem; it's a conceptual problem."
——「安全不是技术问题，它是概念性问题。」

只要致命三角的结构条件存在，技术层面的缝缝补补无法从根本上消解风险。这个判断的力度，在于它拒绝了「再加一层过滤」的安慰剂思维2 5。

[约 32:00] 谈上下文工程的双刃剑

"Context engineering is becoming a very powerful lever now of amplification, both for good and bad."
——「上下文工程正在成为一个非常强大的放大杠杆，好的坏的都放大。」

这句话是整场演讲的压轴。AI 不会主动向善或向恶，它会放大你团队已有的实践质量2。

三条可直接落地的行动启示

① 上下文设计要模块化，不要一张超大 AGENTS.md 包打天下

把团队的 AI 使用规范按照任务类型拆分——代码审查、测试编写、文档生成各自独立。每个 Skill 只在对应任务触发时加载，不相关的内容就别往窗口里塞。维护起来也更干净：改测试规范不会影响代码审查配置。

② 在代理工作流里强制接入确定性验证节点

找出你的团队中哪些工程标准可以被程序化验证——架构依赖约束、lint 规则、API 契约、测试覆盖率——把这些验证嵌进代理的循环，而不是寄希望于代理「理解并遵守」。

③ 在引入代理之前先回答安全三角问题

逐项检查你的代理是否同时满足：接触不可信内容 + 可访问私有数据 + 具备对外通信能力。如果三条都满足，你需要在架构层面移除其中至少一条，而不是加一层提示词过滤。

看原视频

📺 YouTube 视频（28 分 15 秒）：The Engineering of AI Agents: Context, Harnessing, and Autonomy

跳转到上下文工程章节：youtube.com/watch?v=_R83pFpUWyM&t=135s（约 2:15）
跳转到致命三角章节：youtube.com/watch?v=_R83pFpUWyM&t=845s（约 14:05）
跳转到驾驭工程章节：youtube.com/watch?v=_R83pFpUWyM&t=1070s（约 17:50）

📄 InfoQ 完整文稿与幻灯片（含完整演讲转录）：infoq.com/presentations/ai-coding-assistants

封面图：图片来自 The Engineering of AI Agents (YouTube)