一个工具,把一个新行业照出来了
先说shadcn这个improve到底在干什么。
这玩意不是帮你写代码的,也不是帮你改代码的。它只做一件事,就是看你整个代码库,然后告诉你哪里有问题、问题有多大、该怎么修。修代码这件事,它交给便宜模型去做。
这个分工逻辑太聪明了。
你想想看,现在市面上各种AI编程工具,Claude Code、Codex、Cursor,它们最擅长的其实是「执行」,你说改个按钮颜色,它改了。你说加个分页,它加了。但是在「判断这里要不要改」这件事上,它们经常出错。
其实就是,AI能写出一版看起来像样子的代码,但不一定能判断自己写的代码到底好不好。这个判断力,恰恰是最贵的部分。
improve把这个过程拆成了两层。上层用Claude Opus或者GPT-4o这种最强模型做审计和规划,下层用Claude Haiku或者GPT-4o-mini这种便宜模型去执行。审计模型扫描整个代码库,输出一个按影响排序的问题表格,你选几个要修的,它就生成一份非常详细的修复计划,精确到文件路径、行号、当前代码、修改后代码、验证命令。这份计划丢给便宜模型就能直接执行。
improve是MIT开源的,任何人都可以直接用。安装命令就一行,npx skills add shadcn/improve。支持Claude Code和各种兼容Agent Skills格式的工具。
但问题来了,如果工具是免费开源的,谁会付费让人帮忙做审计?
答案在Faros的那份报告里。
Faros的数据,每个数字都在喊救命
Faros AI是一家专门追踪工程效率的公司。他们的AI Engineering Report 2026追踪了22000名开发者、4000多个团队、两年的实际数据。不是问卷调查,是真实的生产环境遥测数据。
先看几个关键数字。
我读完这份报告的感受是,卧槽,这不是什么AI生产力革命,这是在给技术债加杠杆。。。
但说实话我也不觉得这是AI的错。AI让写代码变得太容易了,产出的速度远远超过了审查的速度。就像一个人突然能吃三倍的食物,但消化系统的速度没变,肚子肯定撑。
回到improve的逻辑,「用最聪明的模型审计,用最便宜的模型执行」。这个模式其实在解决Faros报告里的核心矛盾。企业需要的不是更多的代码输出,而是对代码质量的有效审查。而这件事,完全可以外包。
这里面的钱,到底在哪儿
顺着上面的数据,我理了一下这个市场的情况。
谁最需要AI代码审计服务?
第一类,用AI辅助开发但团队规模不够的创业公司。三五个人,产品经理也在写代码,设计也在写代码,用了Cursor之后代码量暴增,但没人有能力做代码审查。他们知道自己写的代码质量在下降,但请一个高级工程师专门做review又养不起。
第二类,传统软件外包团队。接到项目后大量使用Cursor这类编程工具赶工期,交付前才发现bug一堆。需要一个独立的第三方来做交付前的质量检查。
第三类,一些有合规要求的行业,比如金融、医疗相关的软件项目。AI生成的代码没有经过充分审查就上线,出了安全事故谁来负责?一个外部的审计报告至少能提供一层兜底。
你再想想看,Faros追踪的是22000个开发者。全球有多少开发者在用AI编程?几百万至少吧。这背后有多少团队的代码质量在肉眼可见地下降?
这是一个巨大的、正在膨胀的缺口。
而且,我自己也做过AI代码审查服务相关的调研。当时关注的是PR级别的代码审查,那个市场已经在形成了。但代码审计,对整个代码库做全面体检,这块的需求比单次review大得多,做的人反而更少。
普通人怎么入局
说真的,我自己看到这个机会的第一反应是,我需要会写代码才能做这件事吗?
我的答案是,你需要能读懂代码,但你不需要是高级工程师。
核心能力不是写代码,而是两件事。第一,会用improve这类工具拿到审计结果。第二,能把工具的输出翻译成客户能理解和执行的行动方案。
举个具体的例子。improve扫描完一个代码库之后,会给你一个这样的表格,
| # | 发现 | 类别 | 工作量 | 置信度 |
|---|---|---|---|---|
| 1 | shadow-config在search.ts和view.ts中重复,副本已经漂移(search.ts 31行有TODO标记) | 技术债 | M | 高 |
| 2 | O(n²)图标迁移逻辑(migrate-icons.ts 168行) | 性能 | S | 高 |
| 3 | 数据库连接池未设置超时,可能导致连接泄漏 | 安全 | S | 中 |
这是shadcn用自己的ui组件库跑出来的真实结果。你看这个表格,第2项O(n²)的图标迁移,标注工作量S(小),置信度高。第1项重复配置漂移,工作量M(中),置信度也高。
你的价值在于,客户看到这个表格,可能不知道第2项到底说明了什么。你告诉他,「你这个图标迁移的算法复杂度太高了,现在100个图标要跑10000次循环,如果以后图标增加到500个就是250000次,界面加载会明显变慢。修起来很简单,半天能搞定。」
这就是你收费的理由。
第一步搭建你的工具链
先装improve,npx skills add shadcn/improve,配合Claude Code使用。一个/improve quick就能快速扫描,/improve deep做深度审计,/improve security专门看安全问题。九个维度,正确性、安全、性能、测试覆盖、技术债、依赖迁移、开发体验、文档、方向建议。
除了improve,你还可以搭配SonarQube(代码质量检测)、Dependabot(依赖安全扫描)这些工具,形成多维度审计。improve给你的是AI层面的智能发现,SonarQube给你的是规则层面的定量数据,两个互补。
成本方面,Claude Code的API费用大概每月20-50美元(取决于使用量),SonarQube社区版免费。起步阶段总投入不超过每月500元人民币。
第二步定义你的服务产品
不要上来就定死价格,先跑几单免费试审。
你的服务大概分三个层级。基础审计,跑一遍improve quick加SonarQube扫描,输出一份问题清单和优先级排序,收费500-800元。深度审计,/improve deep全面扫描九个维度,加上安全专项检查,输出详细的问题分析+修复计划,收费1500-3000元。持续审计,按月订阅,每周自动跑扫描+每月一份总结报告+紧急问题实时告警,每月800-2000元。
定价参考,海外freelancer平台上的代码审查报价在50-150美元/小时。你用AI出报告效率更高,单价可以低一些但速度更快。
我自己摸索了一段时间觉得,像用Claude Code做App一样,做这种服务的关键不是你的技术有多强,而是你能不能把AI的输出变成客户愿意付钱的结果。
第三步找到你的第一批客户
这步是最难的,但也没你想的那么难。
程序员社区里发帖,比如V2EX、掘金、GitHub Discussions,标题直接写「免费帮你看代码库的潜在问题」。不用解释你是用什么工具,你就说你会做代码审计,免费帮3个项目试审。
创业社群里找那些正在用AI编程的小团队,主动私信,「你们用AI辅助开发之后,有没有担心过代码质量问题?我可以免费帮你们跑一遍审计,出一份报告你看看值不值。」
说实话这个方法的转化率不会特别高,但关键是,你只需要3个付费客户就能跑起来。一个深度审计1500元,三个客户就是4500元,覆盖你的工具成本绰绰有余。
第四步交付一份让客户觉得「值了」的报告
这是整个服务最核心的部分。你的报告不能是improve原始输出的翻译,必须是客户能看懂、能决策的行动方案。
我建议你的报告包含以下几个部分。执行摘要,用三句话说明这次审计最关键的发现和建议。问题清单,每个问题标明严重程度(紧急/高/中/低)、影响范围、修复建议、预估工作量。和improve一样用表格呈现,一目了然。前三大问题详解,挑出最严重的三个问题,用客户能理解的语言解释清楚为什么重要、不修会怎样、建议怎么修。
最关键的一点,improve生成的plan格式非常好用,精确到文件路径、行号、当前代码、修改后代码、验证命令。你可以直接把这些plan作为报告的一部分交给客户,让他们自己决定是内部修还是外包。
第五步从单次服务变成订阅
代码审计天然适合做订阅制,这点我特别想强调。
为什么?因为代码是活的。客户修了你报告里的问题之后,下个迭代又会引入新的问题。AI编程工具让写代码变快了,意味着新问题产生的速度也变快了。客户不是做一次审计就完事了,他需要持续的监控。
你可以设计一个轻量的订阅方案。每月800-2000元,每周自动跑一次improve quick,每周发一份简短的扫描摘要。如果发现紧急问题(安全漏洞、性能严重退化),实时通知。每月做一次完整的深度审计报告。
这个模式的好处是你的人力投入是可控的。每周跑一次扫描+写摘要可能只要1-2小时,月度深度报告可能要半天。如果手上10个订阅客户,每个月投入大概20-30个小时,收入8000-20000元。
不过我要说清楚,一开始可能会比较笨拙。improve的输出你需要人工过滤,它会给出一些误报,比如建议改掉一些实际上是有意为之的设计选择。判断哪些发现是真正有价值的,哪些可以忽略,这个能力需要积累。就像我之前用Claude Code做项目的时候也踩过坑,AI的建议不是每次都对,你得有自己的判断力。
几个真实会踩的坑
我自己也还在摸索这个方向,有几个坑先说在前面。
误报太多会毁口碑。improve的subagent确实会over-report,它自己内置了vet环节来过滤假阳性。但即使过滤之后,你交付给客户之前还是需要自己再看一遍。如果客户收到一份报告,发现一半的「问题」其实不是问题,下次就不会再找你了。
客户可能不接受「AI做的审计」这个说法。有些技术团队会觉得,你就是一个跑工具的人,凭什么收这么多钱。应对方式是,不要在报告里提你用什么工具。你交付的是专业审计报告,不是工具输出。报告的质量说了算,不是工具说了算。
客户的代码库可能比你想象的大得多。一个有3年历史的项目可能有几十万行代码。improve deep跑一次可能要很长时间,API费用也不低。你需要提前评估代码库规模,给大项目单独报价。
还有一点,improve是一个Agent Skill格式的工具,它和Claude Code配合使用。你需要有Claude Code的使用经验,熟悉怎么在CLI环境里操作。如果你之前没用过Claude Code,建议先拿自己的项目或者开源项目练手,熟悉improve的输出格式和审计逻辑。
这个市场的终局是什么
我有时候觉得,AI编程工具的普及正在创造一种全新的职业分工。
以前一个软件项目的角色分工是,产品经理想需求,程序员写代码,测试工程师找bug。现在AI承担了大部分「写代码」的工作,但「找bug」这件事反而变得更重要了,因为AI写的代码比人类写的更多、更快,bug也更多。
代码审计正在从「测试工程师的一部分工作」变成一个独立的、可收费的服务。
这个趋势跟工业革命早期很像。蒸汽机发明之后,不是不需要人了,是需要一种新的人。以前的手工匠人变成了机器的操作者。同样,AI编程工具普及之后,以前写代码的人变成了AI代码的审计者。
你想想看,如果你今天就开始做这件事,半年后当更多人意识到这个需求的时候,你已经有了案例、有了口碑、有了标准化的流程。到那个时候,你就是这个细分领域里有经验的人。
磨平一些信息差。
想要完整的服务搭建模板?
我整理了一套AI副业实操的提示词包,里面包含代码审计服务的完整话术模板、报告格式、客户沟通邮件、定价策略,还有其他十几个AI副业方向的实操指南。从找客户到交付到复购的全流程都有覆盖。
查看提示词包 →常见问题
不会写代码的人能做AI代码审计服务吗?
严格来说,完全不懂代码做深度审计会很难。但你不需要是高级工程师,你扮演的是「AI工具的操作者+报告的翻译者」。核心能力不是写代码,而是理解improve这类工具的输出,判断哪些发现是真正有价值的,然后整理成客户能看懂的报告。如果连基本的代码逻辑都读不懂,建议先花一两个月自学Python或JavaScript基础。
AI代码审计服务收费多少钱合适?
国内市场目前没有标准价。参考海外freelancer平台的代码审查报价(50-150美元/小时),国内一个中小型项目的完整审计报告可以收费500-3000元,取决于代码规模和深度。持续订阅制每月800-2000元,每周自动扫描+月度报告。刚开始做的时候,建议用低价甚至免费试审来建立案例和口碑。
shadcn/improve工具怎么用?免费吗?
shadcn/improve是MIT开源的,完全免费。通过 npx skills add shadcn/improve 安装,在支持Agent Skills格式的AI编程工具中使用(比如Claude Code)。安装后运行/improve quick就能快速扫描,/improve deep做深度审计,/improve security专门做安全扫描。它会输出一个按影响排序的问题表格,你选择要处理的问题后,它会自动生成详细的修复计划。
做AI代码审计副业,最大的挑战是什么?
三个挑战。第一是信任建立,客户凭什么相信你一个外人的审计结果?需要用免费的试审报告来证明价值。第二是工具的误报率,AI审计工具会给出很多假阳性,你需要人工过滤掉不重要的发现,只保留真正有价值的。第三是差异化,光靠跑一个工具谁都能做,你的竞争力在于能把审计结果翻译成客户能理解、能执行的行动方案。
AI代码审计和AI代码审查有什么区别?
代码审查通常是对特定PR或代码变更做检查,关注的是「这段新代码有没有问题」。代码审计是对整个代码库做全面体检,关注的是「这个项目的代码质量整体怎么样,有没有系统性的风险」。审计的范围更广,包含架构、依赖、安全、性能、测试覆盖等多个维度。对中小企业来说,审计的价值更高,因为很多小团队根本没有资源做定期的代码审查,积压的问题越来越多。