代码免费了，PM 更忙了 —— Simon Willison 的 4 个反直觉判断 | Lenny's Podcast 精读 No.014

本期精读 Lenny’s Podcast 对 Simon Willison 的访谈《An AI state of the union》。Simon 是 Django 共同创造者、Datasette 作者，也是「prompt injection」「AI slop」「agentic engineering」这些说法的重要推动者。1

Simon 说，AI 编程在 2025 年 11 月过了一个门槛：以前是「大多数时候能跑，但你得盯紧」，现在更接近「大多数时候会按你说的做」。这不是一个小升级。它把产品团队最慢的那段，从「等代码」推到了「判断什么值得做」。2

「Dark factory」不是科幻词。Simon 用它描述一种软件生产方式：人不手写代码，下一步甚至不人工读代码，而是用测试和模拟用户来判断软件能不能工作。StrongDM 的实验里，AI 模拟员工在假的 Slack、Jira、Okta 环境里不断请求权限，像一支 24 小时 QA 队伍。3

PM 该关心的不是「工程师有没有更快交付」，而是「这个团队有没有办法证明交付是对的」。交付速度变快后，测试系统、验收方式、真实用户反馈会更值钱。

Simon 给 PM 的提醒很直接：过去你写一个 spec，工程团队可能三周后给你实现；现在类似工作可能三小时就能出来。真正的问题变成：你拿这三个方案怎么选？他的做法是先做三种原型，再用可用性测试找答案。4

这对 PM 很刺耳。AI 让「做出一个看起来像样的版本」变便宜了，但没有让用户判断、业务取舍、风险边界自动变便宜。

Simon 把一类 AI agent 安全问题称为「lethal trifecta」：私密数据、外部恶意指令、把数据发出去的通道。三件事同时出现，提示注入就不只是小 bug，而是系统边界问题。访谈里他说，就算过滤器做到 97% 有效，在安全场景里仍然是不及格，因为剩下 3% 可能足够偷走信息。5

对产品经理来说，这一条尤其重要：做 AI agent 不是多加几句「不要泄露数据」就能过关。要从权限、外发通道、可访问数据三处切断风险。

本期来源：