Un singur director de inginerie la a folosit Claude de la Anthropic pentru a reimplementa 94% din suprafața API a Next.js în șapte zile, cheltuind aproximativ 1.100$ în token-uri API — o realizare care a declanșat o confruntare publică între Cloudflare și Vercel, compania din spatele Next.js.
Steve Faulkner, Director de Inginerie pentru Cloudflare Workers, a publicat proiectul pe 24 februarie sub numele „vinext”, un înlocuitor bazat pe Vite pentru Next.js care se implementează pe Cloudflare Workers cu o singură comandă. CEO-ul Vercel, Guillermo Rauch, a răspuns a doua zi dezvăluind șapte vulnerabilități de securitate în codul generat de AI — două critice, două de severitate ridicată, două medii și una scăzută — numindu-l pe vinext un „framework programat pe vibrație”.
O reimplementare de 1.100 de dolari
Primul commit al lui Faulkner a fost încărcat pe 13 februarie. Până seara aceea, atât Pages Router cât și App Router aveau server-side rendering de bază, împreună cu middleware, server actions și streaming. Până în a treia zi, vinext deploya aplicații pe Cloudflare Workers cu client hydration complet.
Proiectul a rulat peste 800 de sesiuni în instrumentul OpenCode de la Anthropic. În loc să facă fork sau să împacheteze output-ul Next.js — abordarea adoptată de proiectul OpenNext existent — vinext reimplementează API-ul public documentat pe baza Vite, instrumentul de build folosit de framework-uri precum Astro, SvelteKit și Remix.
Benchmark-urile inițiale pe o aplicație de test cu 33 de rute au arătat că vinext construiește aplicații de producție de 4,4 ori mai rapid decât Next.js 16 atunci când este împerecheat cu bundler-ul Rolldown bazat pe Rust din Vite 8, producând în același timp bundle-uri client cu 57% mai mici. Cloudflare a menționat că aceste cifre sunt “orientative, nu definitive”.
Faulkner, care anterior a ocupat funcția de Director of Engineering for Infrastructure la Vercel din 2021 până în 2024, a subliniat că vinext este experimental, dar a evidențiat infrastructura sa de testare: peste 1.700 de teste unitare și 380 de teste end-to-end, inclusiv teste portate direct din suita de teste Next.js. Site-ul guvernamental american CIO.gov folosește deja vinext în producție printr-o colaborare cu National Design Studio.
Vercel răspunde la atac
Răspunsul lui Rauch a fost imediat. „Am identificat, am divulgat responsabil și am confirmat 2 vulnerabilități de securitate critice, 2 de nivel înalt, 2 medii și 1 scăzută în framework-ul Vinext al Cloudflare, generat cu AI,” a scris el pe X. „Credem că securitatea internetului este prioritatea cea mai înaltă, mai ales în era AI”.
Dezvăluirea a reaprins o tensiune de lungă durată între cele două companii în legătură cu deployment-ul Next.js. Cloudflare a susținut că Next.js creează o formă de vendor lock-in, deoarece lanțul său de build este strâns cuplat cu platforma Vercel. Rauch publicase deja un ghid pentru migrarea de la Cloudflare la Vercel înainte de dezvăluirea vulnerabilităților de securitate.
Implicații mai largi
Proiectul a atras atenția ca un caz de testare de mare vizibilitate pentru ingineria software asistată de AI la scară largă. Faulkner a atribuit fezabilitatea vinext convergenței a patru factori: API-ul bine documentat al Next.js, suita sa publică cuprinzătoare de teste, sistemul matur de plugin-uri al Vite și progresele în capacitățile modelelor lingvistice de mari dimensiuni.
Scepticii au ridicat îngrijorări ce depășesc aspectele de securitate. O analiză pe paddo.dev a observat că trecerea testelor nu garantează disponibilitatea pentru producție și a semnalat faptul că proiectele anterioare ale Cloudflare codificate de AI au fost lansate cu verificări de securitate incomplete în puncte critice. O problemă pe GitHub raportată la scurt timp după lansare a semnalat că nici măcar o aplicație simplă de tip “hello world” nu funcționa încă.
„Aproape fiecare linie de cod din vinext a fost scrisă de AI”, a scris Faulkner pe blogul Cloudflare. „Dar fiecare linie trece prin aceleași porți de calitate pe care te-ai aștepta să le treacă codul scris de oameni”.
Surse: