超越Vibe Coding——安全性、可维护性和可靠性

数据智能老司机
154 阅读49分钟

本章直面“氛围式编码(vibe coding)”与 AI 辅助工程中的关键问题——如何确保在 AI 协助下产出的代码安全、可靠且可维护。如果最终软件漏洞丛生或动辄崩溃,再快的开发速度与生产率也毫无意义。

首先,我将审视 AI 生成代码中常见的安全陷阱,从注入漏洞机密信息泄露。你将学习如何对 AI 编写的代码进行审计与评审的技术与方法,实质上为你的 AI 结对程序员提供一张“安全兜底网”。

接着,我会讨论如何围绕 AI 生成代码构建有效的测试与质量保障(QA)框架,以尽早捕获缺陷与可靠性问题。我们也会覆盖性能考量:AI 可能写出“正确”但不一定“高效”的代码,因此我会讲解如何识别并优化性能瓶颈。此外,还将探讨确保可维护性的策略,例如统一代码风格重构 AI 代码——因为 AI 的建议有时会前后不一致或过于冗长。

我还会说明如何将代码评审实践适配到 AI 辅助的工作流中,突出当评审由机器部分或全部生成的代码时,人类审查者应重点关注什么。最后,我将汇总从持续集成(CI)流水线生产环境监控的最佳实践,帮助你有信心地部署 AI 辅助项目。读完本章后,你将掌握一套方法工具,确保 AI 加速的开发既安全稳健

AI 生成代码中的常见安全漏洞

尽管强大,若缺乏正确引导,AI 编码助手可能无意间引入安全问题。它们学习自大量公开代码——其中既有良好实践,也有不良示例——如果提示或上下文没有明确规避方向,就可能照搬不安全的模式。因此,了解这些常见陷阱至关重要,便于你及时发现并修复。为此,你应结合手动与自动化手段来检测潜在安全问题(见图 8-1)。

image.png

AI 生成代码中常见的安全问题包括:

硬编码的密钥或凭据
AI 有时会在代码里输出 API key、密码或令牌,尤其当训练数据里出现过类似示例时。比如你要求集成 AWS,模型可能在代码中直接放一个占位的 AWS secret key。若不移除,这非常危险——代码被分享时就可能泄露敏感信息。务必通过环境变量或配置文件来管理机密。若 AI 建议类似 api_key = "ABC123SECRET" 的写法,要把它当作警示——真实密钥绝不应进入源码。

SQL 注入漏洞
当你让 AI 生成 SQL 查询或 ORM 用法时,要检查它是否把用户输入直接拼接进查询。例如,不安全的模式是:

sql = "SELECT * FROM users WHERE name = '" + username + "'"

这会暴露于注入攻击。若你没有明确要求参数化查询,AI 可能就会产出这种写法。始终使用预编译语句或参数绑定。很多 AI 助手在想起最佳实践时会用 ? 或占位符来处理用户输入,但并不保证总是如此。需要你来核实,并在必要时要求修正:

将此查询改为使用参数,以防止 SQL 注入。

Web 应用中的跨站脚本(XSS)
生成前端代码时,AI 不一定会自动对输出中的用户输入做转义。例如,它可能给出一个模板片段,将 {{comment.text}} 直接插入 HTML 而不做转义,从而让恶意脚本借评论字段执行。若使用框架,很多默认会转义;但如果是手工拼接原始 HTML,就要格外小心。实现输出编码或输入清理。你可以这样提示 AI:

为用户输入添加清理与过滤,以防止 XSS。
许多现代框架内建了相关机制;在进行 DOM 操作时,确保使用 innerText 而非 innerHTML 等方式。

不当的认证与授权
AI 能生成认证流程,但容易出现细微错误:例如为 JWT 选择了不够强的密钥,或校验密码哈希的方式不正确。
授权同理:AI 可能不会自动确保某个操作(如删除资源)仅限资源所有者执行。这类逻辑问题难以自动捕获,需要你通盘思考安全模型。编写此类代码时,应明确指示:

确保只有资源所有者可以删除该资源;添加对用户 ID 的检查。
然后为这些条件编写测试。AI 并不会“真正理解”上下文,除非你明确告诉它。

不安全的默认值或配置
若不特别要求安全优先,AI 可能会偏向“方便”的配置。例如:

  • API 调用使用 HTTP 而非 HTTPS(未指定 TLS)。
  • 不校验证书(互联网上流传的示例里有 verify=false,AI 可能照抄)。
  • 过度放开的 CORS(对所有来源与方法一概允许),导致任意跨域请求可达。
  • 选择过时的密码学算法(如 MD5、SHA-1),而不是用于密码的 bcrypt/Argon2 或用于校验的 SHA-256

这些问题往往比较隐蔽,所以应审计配置与初始化代码。若 AI 设置了类似 app.UseCors(allowAll) 或挑了老旧的加密套件,你需要识别并更正。

错误处理泄露敏感信息
AI 生成的错误处理可能打印或返回栈追踪。例如某个 Node.js API 在 catch 中执行 res.send(err.toString()),可能泄露内部细节。确保对外的错误信息经过净化、日志妥善记录;避免向攻击者暴露完整报错或文件路径等线索。

依赖管理与更新
当 AI 向项目添加依赖(库)时,确认它们来自可靠来源且为最新可用版本。AI 可能选择训练数据中常见但现已无人维护或存在已知漏洞的库。若它建议使用旧版本,你应升级到最新稳定版。生成后运行 npm audit(或等效工具)也很有必要。你也可以直接问 AI:

这个库还在维护吗?是否安全?
它未必完全知道,但可能会提示已弃用的信息。

风险数据点
一项 2023 年覆盖真实项目的大规模分析显示,在不同语言中,Copilot 生成的代码里多达 25%–33% 存在潜在安全弱点,包括高严重度的 CWE(如命令注入、代码注入、跨站脚本)。这表明 Copilot 会反映其训练数据中的不安全模式,而非“有意”生成漏洞。结论是:开发者必须保持警惕——人工审阅 AI 生成代码,使用安全感知的工具链,并维持严格的代码卫生。在“vibe coding”模式下,产出更快、更多,意味着需要审计的表面积也更大,更要提高警觉。

我们来看一个简短的示例。

不当的认证与授权(Improper Authentication and Authorization)

想象你让 AI 在一个 Express 应用中创建登录路由,它可能会生成类似这样的代码:

// 不安全示例
app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  const user = await Users.findOne({ username: username });
  if (!user) return res.status(401).send("No such user");
  if (user.password === password) { // 直接比较明文密码
    res.send("Login successful!");
  } else {
    res.status(401).send("Incorrect password");
  }
});

这里的问题是什么?

  • 直接比较密码,意味着数据库中以明文存储密码——这是绝对不允许的。
  • 返回的信息非常笼统,这在某些情况下利于安全,但也可能无意间暴露敏感信息。

认证错误消息为例:一个安全的系统在登录失败时应一律返回类似“Invalid credentials(凭据无效)”的通用消息,而不区分是用户名还是密码错误。然而,AI 生成的代码可能会给出更具体的错误,如“Username not found(找不到用户名)”或“Incorrect password for this user(该用户的密码不正确)”。

这些具体消息会造成安全隐患,因为它们会向潜在攻击者确认哪一部分信息是正确的。如果攻击者收到“Incorrect password”之类的提示,就知道该用户名在你的系统中是存在的。通过反复尝试,他们可以建立一个有效用户名列表,然后集中精力破解这些已确认账户的密码。这种技巧称为用户枚举(user enumeration) 。AI 倾向于提供“有帮助的、具体的”错误信息,除非你明确要求在安全敏感操作中保持适度模糊的响应,否则它可能无意中帮助了恶意行为者。

虽然上述代码里没体现,缺少限流等保护也是一个问题。

一个安全的实现应包含以下关键防护:

  • 切记密码绝不能以明文存储。应保存密码的加密哈希,并在登录时使用安全的比较函数进行校验。
  • 比较过程应使用常量时间(constant-time)算法,防止计时侧信道(timing attack)通过响应时间推断密码正确与否。许多安全类库提供了专门的常量时间比较函数。
  • 实现速率限制/节流机制,防止暴力破解。同时将失败的登录尝试记录到日志以便安全监控,帮助管理员发现并响应可疑模式。多层防护(defense in depth)可在某一层被突破时仍保护用户凭据。

你可以请 AI 协助修复,例如:

改进登录路由,使用 bcrypt 对密码进行哈希与比较,并确保数据库中存储的是哈希值。

AI 可能会给出如下代码:

const bcrypt = require('bcrypt');

app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  const user = await Users.findOne({ username });
  if (!user) {
    return res.status(401).send("Invalid credentials");
  }
  const match = await bcrypt.compare(password, user.passwordHash);
  if (!match) {
    return res.status(401).send("Invalid credentials");
  }
  res.send("Login successful!");
});

这更好:它使用 bcrypt哈希后的密码进行比较(假设 user.passwordHash 存放哈希)。在创建用户时,也要确保使用 bcrypt.hash 对密码进行哈希。

有一点引导,AI 就能做对,但它最初的朴素输出很可能并不安全。这再次说明:审查并改进是固定套路。

包管理问题(Package Management Issues)

另一类常见风险来自包管理。AI 有时会编造库名或记错名称,这被称为包幻觉(package hallucination) 。这样的包可能并不存在,但攻击者理论上可以注册这些常被“幻觉”的名字并注入恶意代码。如果你在未核实存在性与正确性的情况下安装了此类包,风险极大。对不确定的包,先快速检索或直接在 npm/PyPI 上核对。

此外,AI 可能无意间生成与训练数据中受许可约束的片段高度相似的代码。这更多是知识产权问题而非安全问题,但同样需要注意。比如 GitHub Copilot 提供“重复检测”功能,当生成代码与公共仓库高度匹配时会发出提醒,帮助开发者避免潜在的许可冲突。类似工具正在出现,以应对 AI 生成代码来源可追溯性的问题。第 9 章将更详细讨论许可与知识产权相关议题,提供应对这些复杂问题的完整指南。

核心信息依旧——是的,本书反复强调到你可能闭眼都能背:AI 的输出需要你像审阅初级开发者代码那样认真对待。这种重复是刻意的,因为它几乎支撑着安全且高效的 AI 辅助开发的方方面面。无论你是在做原型、写后端,还是实现安全功能,这种“信任但要验证”的心态,能让 AI 成为强大盟友,而不是危险捷径。AI 能很快写出大量代码,但你需要把安全最佳实践灌输给它,并复核潜在漏洞。

作家弗兰克·赫伯特在《沙丘神帝》(1981,Putnam)里有句常被引用的话:“它们让我们可以不加思索地做更多事情。而那些不加思索就去做的事——真正的危险就潜伏其中。
使用 AI 容易让人对常规代码少动脑子,而你应有意识地保持安全审查的思维方式——这对于捕捉那些“我们可能不经思考就会做的事”至关重要。

安全审计(Security Audits)

鉴于前文列举的各类漏洞,如何有效审计并加固由 AI 生成的代码?本节将介绍可采用的多种技术与工具。

使用自动化安全扫描器
静态分析工具(SAST)能够扫描代码中已知的漏洞模式,例如:

  • ESLint + 安全插件:可检测 JavaScript/Node 代码中的不安全函数或未净化的输入。
  • Bandit(Python) :可标记生产环境中的 assert 用法、弱加密、硬编码密钥等。
  • GitHub CodeQL:可在代码库上运行查询,发现 SQL 注入、XSS 等常见问题。
  • Semgrep:覆盖多语言(含社区规则,如 JavaScript、Python、Java、Go 等),开箱即用识别高频问题。

可将这些工具集成进 CI/CD 或开发流水线。对 AI 生成的代码运行它们——虽不能发现所有问题,但往往能拦截显而易见的错误(如明文密码比较、未净化的 SQL、非安全加密),是一张可靠的安全兜底网。

让另一套 AI 充当审查者
利用 AI 做安全评审有两种思路,各有优势:

  1. 同模自审:让生成代码的同一个模型“切换视角”为审计者。生成后提示:

    Review this code for security vulnerabilities and explain any issues you find.
    这常能识别明文密码存储、缺失输入校验、潜在 SQL 注入等常见问题。

  2. 异模交叉审查:用不同模型做独立复核。例如代码由 ChatGPT 生成,再把代码粘贴到 Claude 或 Gemini 里做安全分析。像多种安全工具/多人评审一样,不同模型可能抓住彼此遗漏的问题(训练重点与数据集不同导致关注点各异)。

两种方式都是有价值的额外审查层,用于补充而非替代正式的安全测试与人工经验。AI 审查可能有误报或漏报,但在快速发现常见反模式上很高效。把它当作聚焦安全的“自动化结对编程”,将其结论视为输入而非最终“通关许可”。

按安全清单进行人工代码评审
团队协作时,使用安全清单来审阅代码。AI 生成的代码往往“能跑”,但未必对恶意场景做了加固。重点关注:

  • 认证流程:是否严谨?
  • 所有输入入口:是否做了输入校验?
  • 所有输出出口:是否做了输出净化?敏感数据是否受到保护?
  • 外部 API 使用:失败是否妥善处理?密钥是否暴露?
  • 数据库访问:ORM 是否安全使用?查询是否参数化?
  • 底层语言内存管理(C/C++/Rust) :是否存在溢出或误用?

渗透测试与模糊测试(Fuzzing)
采用动态方法。模糊测试向函数或端点输入随机或特制数据,观察是否崩溃或异常。AI 可帮助生成 fuzz 用例,或使用现有工具(如 Google 的 OSS-Fuzz)。
对 Web 应用使用 OWASP ZAP 等渗透测试工具,可自动扫描 XSS、SQL 注入等,例如尝试注入脚本并检测是否被反射,从而识别未净化输入。
若是 API,可用 Postman 或自定义脚本发送不规范数据,观察系统表现:是否抛出 500,还是能优雅处理?

添加以安全为重点的单元测试
对关键代码编写安全断言:例如测试登录限流在连续 X 次失败后触发;或确保输入 "<script>alert(1)</script>" 在响应中被转义。
验证权限控制:模拟已授权未授权调用访问受保护资源,确保行为正确。你也可让 AI 协助生成这些测试:

/deleteUser 端点编写测试,确保未授权用户得到 403
然后运行测试验证。

用最新资料弥补模型的“知识截止”
AI 模型有一个直接影响安全的根本限制:知识有截止点。训练完成后,它不了解之后出现的新漏洞、补丁与最佳实践。比如 2023 年训练的模型在 2025 年写代码,期间威胁与防护实践已演进;若你不在提示里提供最新信息,它无法自动跟上。
应对之道:在安全相关提示中显式引用最新标准。例如,不要只说“写一个安全的文件上传函数”,而是:

编写一个文件上传函数,满足 2025 版 OWASP Top 10 的安全要求,重点防御注入与 SSRF
同样,许多框架级安全特性在模型的知识截止之后才成为“标配”。如 Express.js 强烈建议使用 Helmet 中间件设置安全响应头;若模型未了解这些实践,你可在提示中点名当前工具与做法,使输出对齐当下标准。

优化日志实践
确保(AI 与人工编写的)代码在关键操作与潜在失败点有良好日志,便于生产问题排查。若某段 AI 生成代码日志过少,补充之;避免“吞错”,在 catch 中记录错误与上下文。同时净化日志,避免敏感信息泄露。

使用带安全侧重的更新模型或工具
一些 AI 编码工具将生成安全扫描融合,例如 Snyk:结合 LLM 建议与基于规则的污点分析。据介绍,当你请求代码(无论来自 OpenAI/Anthropic/Hugging Face 等),Snyk Code 会跟踪潜在不安全的数据流,在触达敏感汇点前标记不受信任输入。实际效果是:即使你忘了参数化查询,它也会提示以阻止 SQL 注入。这类工具可在“AI 生成建议”处前置安全把关。

关注 IDE 内联警告
IDE 往往会用波浪线等提示可疑代码。现代 IntelliSense 甚至能捕捉“看起来像字符串拼接 SQL”的片段。不要因为“是 AI 写的”就忽略这些提示——逐一处理。AI 生成时并没有 IDE 的实时反馈,你有。

慢下来(Slow Down)
用 AI 很快写完大量代码后,审计阶段请切换到慢挡。当功能产出很快时,人很容易继续“冲下一项”,但要预留充分复核时间。把这理解为:“AI 加速开发,人类加速安全”。例如 Snyk 的最佳实践建议在 IDE 里即时扫描 AI 代码,避免“AI 的速度超过你的安全检查”。把安全扫描嵌入开发循环,在代码写出后立刻捕获漏洞。

审计 AI 生成代码时,所用工具与传统开发相同:静态分析、动态测试、代码评审——只是频率可能更高,因为代码产出更快。对每一次 AI 输出都保持“需要检查”的心态。

为 AI 生成系统构建高效的测试框架

虽然安全性是可靠性的一个支柱,但更广义的可靠性关乎软件系统的根本可信度。从软件架构的视角,可靠性要回答关于系统失效及其后果的关键问题:你的系统需要“失效安全(fail-safe)”吗?它是否属于可能影响人类生命或安全的关键任务(mission-critical)?如果系统失败,是否会给你的组织带来重大财务损失?这些考量决定了你在开发与测试实践中应当投入的严格程度。

当你在 AI 协助下构建系统时,这些可靠性要求并不会改变。由 AI 协助生成的银行应用在交易准确性与数据完整性方面的要求,与完全由人类编写的应用相同。医疗系统无论代码来源如何,都必须满足同样的患者安全标准。AI 参与代码生成这一事实,并不降低这些基本的可靠性要求。

这也解释了为何在 AI 辅助开发中,“全面测试”更加关键。强健的测试框架能确保你的代码正确履行预期功能,并在项目演进过程中持续保持正确性。虽然测试 AI 生成代码的基本原则与测试人类编写代码一致,但由于 AI 的开发流程会带来一些细微差异与新机会,仍值得我们给予特别关注。

下面的各节将探讨如何不仅用 AI 生成代码,还能用它来构建强大的测试套件,以验证可靠性、维持系统稳定,并在“风险最高”的时刻确保软件依然正确运行。

首先,要尽早且频繁地进行自动化测试。 开发进展缓慢时,人们常为“先上功能”而跳过测试;而当有了 AI、开发变快时,同样容易因为源源不断的新特性而忽略测试。偏偏在代码快速产出的阶段,更需要测试来捕捉回归或集成问题。因此,在你借助 AI 实现某个功能后,要养成立刻为该功能编写测试(甚至让 AI 来写测试)的习惯。这既验证功能本身,也在后续变更时提供保护。

一项 2022 年的研究发现:使用 AI 助手的开发者对自己代码安全性的自信更高,即便客观上这些代码比未使用 AI 的开发者所写的更不安全。你需要用实际测试来对抗这种过度自信。

正如第 4 章所述,你可以让 AI 不仅生成实现代码,还生成相应的测试套件。这样 AI 既写实现,也完成第一轮验证,相当于让它自我复核。例如,在写完一个新模块后可以说:

为这个模块编写单元测试,覆盖边界情况。
如果测试通过,太好了;如果失败,要么是实现有 bug,要么是测试的预期不正确。根据情况修复代码或调整测试。

要注意:AI 可能会错误假设某些输出或行为;对待它写的测试也应像对待它写的代码一样,将其视为建议而非真理。你可能需要调整测试预期来贴合“真正意图”——但这个过程本身就很有价值,因为它迫使你更清晰地定义预期行为。

将测试套件并入每次提交都会运行的 CI 流水线。这样一来,每当 AI 生成的代码被添加或修改,所有测试都会自动运行;一旦出问题,能及早发现。有时 AI 会引入微妙的不兼容(例如轻微改变函数签名或输出格式),而强健的测试套件能捕捉到这些变化。也把安全扫描(如 npm audit 或静态分析)纳入 CI,以便在引入新的风险模式时及时预警。可尝试的测试类型包括:

基于性质(Property-based)的测试与模糊测试(Fuzzing)
基于性质的测试(如 Python 的 Hypothesis、JavaScript 的 fast-check)非常有价值。它不是为特定输入与输出编写单个用例,而是定义代码应始终满足的性质,由框架生成大量输入来验证这些性质是否成立。
以排序为例,与其断言 sort([3,1,2]) === [1,2,3],不如定义:

  • 输出应当有序
  • 输出应当包含与输入相同的元素
    工具会生成几十甚至上百个输入数组来检验这些条件,找出你手写时可能忽略的边界。
    这对 AI 生成代码尤其有用。若 AI 写了一个标准化邮箱地址的函数(例如把域名部分小写),你可以测试其幂等性——运行两次的结果应与运行一次相同。一旦某个边界违背了不变式,框架会给出反例,帮助你定位缺陷。

负载与性能测试
AI 写出的代码未必最优。应当在负载下测试系统——这是“以性能度量的可靠性”。使用 JMeter、Locust、k6 等工具模拟高并发或大数据,观察系统是否顶得住;若不行,定位瓶颈。
例如,AI 可能写了一个 O(n²) 的朴素算法:处理 100 条数据没问题,1 万条就会崩。若没有性能测试,你可能要到生产才察觉。因此在合适场景下加入性能测试:对关键操作在不同输入规模下计时,或用分析器(profiler)查看高负载时 CPU 与内存的热点。

错误处理
有意制造错误,确保系统能优雅响应:

  • 对 API,关闭数据库,看看 API 是返回友好的错误还是直接崩溃;若崩溃,则添加(或让 AI 添加)处理数据库连接错误的代码。
  • 对前端,模拟后端返回 500,确保 UI 显示错误信息,而不是空白页或无限加载。
    AI 在写代码时未必会想到这些失效模式;你必须测试它们,然后迭代完善。测试这些场景能促使你加入合适的降级逻辑、重试或用户反馈,从而提升可靠性。

监控与日志
引入日志,并在测试中利用日志进行验证。例如,如果某个操作应触发审计日志,写测试检查其是否被正确记录。AI 可以生成日志语句;你要验证它们是否按预期输出。
同时考虑搭建接近生产的监控思路(哪怕是内存中的模拟)。例如,你可以统计测试运行间是否出现任何未捕获异常;若有,将其视为测试失败,说明还有情况未被妥善处理。

可维护性
可维护性测试(风格与规范)同样重要。使用 linters 与格式化工具维持一致性,因为 AI 可能会因提示不同而产生略有差异的编码风格。像 Prettier 或(Python 的)Black 能统一格式。要在逻辑层面保持一致并捕捉过度复杂的 AI 产出,可引入一些规则(如函数复杂度上限)来促使重构。(更多内容见“在 AI 加速代码库中确保可维护性”。)
测试就位后,你可以更安心地重构 AI 代码。也许 AI 给出的方案能跑但很笨重;你可以优化它,并依赖测试来确保行为未被破坏。甚至可以让 AI 自己重构它的代码:

在不破坏现有测试通过的前提下,重构此函数以提升可读性。
只要测试够好,就能验证重构未引入回归。

**理解 AI 系统中的不确定性(nondeterminism)**需要区分两种根本不同的情境:

  • 当 AI 在运行时参与生产系统(如聊天机器人回答用户、推荐系统个性化内容),即便输入相同,输出也可能变化,这源自温度、随机种子或模型状态的演化。测试此类系统需要接受合理波动范围的专门方法,而不是期待“完全一致”。
  • AI 辅助代码生成完全不同:一旦代码生成并提交到仓库,它就与人写的代码一样确定。例如计算税率的函数,对相同输入永远给出相同输出。这种确定性对系统可靠性至关重要,也让传统测试方法完全适用

更微妙的挑战出现在整合多个彼此独立生成的 AI 组件时:它们可能各自带着不同的隐含约定
举个电商系统的具体例子:你让 AI 生成订单处理模块,要求支持国际订单;又单独让它生成运费计算服务。订单处理遵循美国习惯,用 12/25/2024 表示 12 月 25 日;运费服务可能受欧洲示例影响,期待 25/12/2024。两个模块各自的单元测试都能过,但一到集成测试、当订单模块把日期传给运费模块时问题就来了:运费服务会把 12/01/2024 当成 1 月 12 日而非 12 月 1 日,从而基于错误月份计算运时。
这种“约定不一致”在 AI 生成组件中尤为常见,因为每个部分可能来自不同示例或惯例。端到端的集成测试,对真实数据流进行演练,就成了在生产前捕捉这些微妙不兼容的关键。

AI 辅助项目的 QA 过程可能需要更有创造性,因为 AI 会引入一些“不寻常的边界”。例如,AI 可能生成了你没有显式要求的功能——那也要测试;如果它带来了隐藏行为,要么移除,要么妥善测试并纳入规格。

最后,如有可能,在接近生产的环境中、用真实感的数据负载进行测试。有些性能问题只会在较大数据量或更高并发下出现。利用这些测试结果来定位低效之处。

性能优化(Performance Optimization)

虽然 AI 往往能写出正确的代码,但并不总是写出最优的代码。大型语言模型本身不会做性能分析;它们通常重现的是训练数据中常见的写法。因此,尤其在关键路径大规模场景下,要对潜在的性能问题保持警惕。

你也可以与 AI 讨论性能优化思路,例如:

  • “这段代码的复杂度是多少?能提升吗?”
  • “这个函数很慢——有什么加速建议吗?”
    AI 不一定总是正确,但有时能提供有用的建议,或至少印证你的想法。

话虽如此,别过度优化,也别在不需要的地方过早优化。如果数据量很小、操作不频繁,AI 给出的方案可能已足够。用**性能分析(profiling)**数据聚焦真实瓶颈,只优化真正需要的部分。氛围式编码的优势在于:你并未在手写代码上投入大量时间,所以只要不影响用户体验或成本,非关键路径可以保持简单、不过度打磨。这与敏捷实践一致:先让它跑起来,再在需要时让它更快

以下是确保 AI 辅助项目高效运行时应覆盖的一些方面:

复杂度分析(Complexity analysis)
当 AI 生成一个算法时,花点时间思考其复杂度。有时它会采用暴力解,而存在更高效的算法。比如,它可能对列表“排序两次”,而不是用一步方法,导致复杂度是 O(n log n × 2) 而非 O(n log n)(原文注:大写 O 代表内存使用)。又或使用嵌套循环把操作变成 O(n^2),而其实有已知的 O(n) 解法。若你发现此类问题,可以提示改进:

“能否优化以避免嵌套循环?也许用 set 做查找。”
只要给出思路,AI 往往会配合给出更好的方案;如果不理想,你也可以手动实现关键部分。

为识别慢函数,运行分析器(profiler) ,或用代表性/最坏情况数据对关键路径计时。如果太慢,可以手动或在 AI 协助下优化:

“优化这个当前成为瓶颈的函数,尽量降低复杂度。”
AI 可能会重构以提升性能。务必用测试确保行为不变。

对关键算法,写个小型基准(benchmark) 。若 AI 给了一段计算代码,就与另一种思路对比,或至少测量其随输入规模的扩展性。必要时再用更高效的方法重写。

内存占用、泄漏与保留(retention)
AI 生成的方案可能更耗内存,例如把整个文件一次性读入而非流式处理,从而持有庞大数据结构。若你的场景涉及海量数据,检查内存占用,按需改为流式/分块。例如需要处理数百万条记录,应把 loadAllRecords() 重构为批处理数据库流式读取

还要检查是否释放资源。在 Java 或 C# 等语言中,可能打开了文件或数据库连接却未关闭;在前端 SPA 中,可能未移除事件监听导致泄漏。工具(如 Chrome DevTools 的 Memory Inspector,或 C++ 的 Valgrind)能帮忙,但很多时候通读代码就能看出问题。发现未关闭的句柄,就在 finally 中补上关闭。

并发与并行(Concurrency and parallelism)
如果你使用支持线程或异步的语言,观察 AI 代码是否不必要地单线程。AI 可能没有在合适场景使用 async/await,也未把重 CPU 任务下放到工作线程。识别这些机会:

  • I/O 密集(Node、Python)时确保异步,避免阻塞。
  • CPU 密集时,考虑用更高性能语言实现,或下放到后台作业。

缓存(Caching)
AI 并不总会自动添加缓存。观察代码是否重复计算昂贵结果;如果是,为其添加缓存(内存或外部如 Redis)。可以直接提示:

“给这个函数加缓存以避免重复计算。”
它可能实现简单记忆化,或建议使用缓存库。

数据库查询优化(Database query optimization)
如果应用使用数据库,审视 AI 生成的查询:

  • 索引是否用对?
  • 是否写了 SELECT * 而其实只需少量列?
  • 是否把大量数据取回再在代码中过滤?
  • 是否触发了 N+1 查询 问题?

这些低效之处需要把更多工作下推到数据库,或合理使用索引。例如,在循环中反复 findOne 造成多次往返,可重构为 WHERE id IN (...)批量查询。若 AI 在迁移脚本中遗漏了高频字段的索引,就应补上。AI 常能生成功能正确但性能次优的数据库访问,需要人来识别并修正。

举例:假设 AI 写了一个合并两个有序数组的函数,做法是拼接后再排序(O(n log n)),而不是使用已知的线性合并(如归并步骤,O(n))。在评审中你发现这会成为大数组的瓶颈,于是提示:

“把 mergeSortedArrays 优化为线性时间合并,不要用内置排序。”
AI 识别出这是经典的合并算法并写出实现。测试通过——恭喜,在不牺牲正确性的前提下获得了性能提升。

AI 辅助开发并没有消除性能调优的需求;它只是改变了你进行调优的时机。通常你会先得到一个“正确”的解决方案(这非常有价值),然后把注意力转向测量并定向优化关键部分。需要优化时,只要你给出明确目标,AI 也能提供很大助力。

在 AI 加速代码库中确保可维护性(Ensuring Maintainability in AI-Accelerated Codebases)

代码库的可维护性描述了它在长期内被修改、扩展与理解的难易程度。有人担心 AI 生成的代码可能会杂乱或不一致,尤其当多次生成的建议在风格或模式上各不相同时。本节介绍若干实践,帮助你解决这些顾虑,让“氛围式编码(vibe coding)”产出的项目保持整洁与可维护。

在编写提示(Prompting)阶段

  • 采用一致的编码规范
    使用 linter 与 formatter 强制统一风格。前文提到,AI 可能在不同输出中使用不同的命名约定或格式化方式。对生成后的所有代码运行格式化工具(JS 用 Prettier、Python 用 Black、Go 用 gofmt 等),确保符合统一风格,这能显著降低阅读负担(不用在不同风格间切换)。此外,为项目定义并坚持命名约定。如果 AI 在一处输出 get_user_data、在另一处输出 fetchUserData,请确定你偏好的约定(snake_case 还是 camelCase),并重构为一种风格。

  • 用架构模式鼓励模块化,避免蔓生
    通过提示引导 AI 拆分关注点,写出模块化代码。与其让它在一个“大文件”里实现所有内容,不如把工作拆成任务:

    • 创建一个用于用户逻辑的 UserService 类。
    • 为发送邮件创建独立模块。
      这样代码库的逻辑划分更清晰:当每个模块职责明确时,维护更容易。你可以直接对架构提出要求:
    • 将数据库访问代码与 API 路由代码放在不同文件或类中。

    使用 AI 时新增功能变得非常容易,因此必须防范功能蔓延与代码扩张。缺乏自律的架构思考,代码库就有可能退化为软件架构师所说的 “一团乱麻(big ball of mud)” :缺乏清晰结构与边界的反模式。AI 的加入会加剧这一风险,因为传统上“加功能”的阻力消失了,架构腐化可能被“加速”。

    为应对这一点,应将 AI 辅助开发建立在成熟的架构模式与原则之上。在指示 AI 时显式引用项目所遵循的模式:

    • “按本项目的 repository/service 模式实现此功能。”
    • “在我们的领域层采用既定的 六边形架构(hexagonal architecture) 来实现。”
      这种明确性有助于在快速叠加功能的同时保持一致性。

    若想获得更扎实的架构基础,以下经典著作值得参考:

    • Design Patterns: Elements of Reusable Object-Oriented Software(Addison-Wesley, 1994;“四人帮”)
    • Fundamentals of Software Architecture: An Engineering Approach(Mark Richards, Neal Ford)
    • Domain-Driven Design: Tackling Complexity in the Heart of Software(Eric Evans, Addison-Wesley, 2003)
      这些资源能帮助你有效引导 AI,让生成的代码遵循健全的架构原则,而非制造技术债。记住:AI 擅长实现模式,但无法替你判断在你的情境下该用哪种模式——这仍是人的职责。

处理 AI 的代码输出(Working with Code Output)

  • 持续重构
    必要时不要犹豫重构 AI 生成的代码。第一版也许功能正确,但结构并不理想:函数过长、重复逻辑出现在两处等。常见挑战是无意的重复代码——AI 可能没意识到两个函数在做类似的事而各写了一份。发现相似片段就抽取重用。许多 linter 能检测相似度过高的代码,提示你“DRY(不要重复自己)”。
    让 AI 帮你重构的示例提示:

    Refactor this code to remove duplication and improve clarity.
    它可能会创建辅助函数或简化逻辑。重构后务必运行测试

  • 测试
    本章已详述测试,这里只强调:良好的测试套件能显著降低维护成本。未来你或他人(也可能再次借助 AI)修改代码时,测试会在破坏行为时及时报警,让你可以放心重构或更换实现。测试将“做什么”与“怎么做”解耦,让你在不改变“做什么”的前提下,自由改善“怎么做”。

  • 避免过度复杂或过度依赖特异的 AI 写法
    有时 AI 会用“巧妙技巧”或冷门函数,其他开发者未必熟悉。虽然这不一定坏,但请考虑可维护性:如果大多数人看不懂,不妨简化。例如,AI 用了高深的正则或过于晦涩的列表推导式,可改为更直白的循环(或至少加注释)。
    同样,AI 可能“热心过度”而过度设计:本可直达的方案,却引入了价值有限的抽象层。删除它,让实现保持直截了当。简单的代码通常更易维护

  • 内建韧性与回退
    设想失败场景的回退策略。比如,AI 编写的组件调用外部 API——若该 API 宕机或返回异常数据,是否有回退(使用缓存数据或默认响应)?实现熔断器(circuit breaker)带退避的重试等韧性模式能显著提升系统稳健性。若不特意要求,AI 通常不会主动实现这些。确保系统能优雅地处理部分失败:理想情况下,一个微服务宕机不应拖垮整个应用。注意超时与回退逻辑。

后续工作(Follow-Up)

  • 提供完善的文档与注释
    确保代码有良好文档。AI 除非被要求,往往注释较少。你可以用如下提示生成文档字符串或注释:

    Add comments to explain the purpose of each section in this code.
    Write a docstring for this function.
    这些能为后来者节省时间。但要复核准确性,AI 有时会误解细节。
    同时维护项目的高层文档(如 README 或设计文档),说明架构与主要组件。需要时让 AI 总结代码库也无妨。

    若遇到“AI 总是把这个参数命名得很怪”的情况,可在开发笔记中说明,方便他人理解。如果只有你使用这份 AI 代码,少量怪癖无伤大雅;但团队加入新成员时,他们可能会困惑。必要时就标准化这些名字

    有些团队会记录哪些代码由 AI 生成(用于可追溯性),例如在注释中注明“Generated with the help of GPT-4 on 2025-05-01”。理想情况下,在 PR 说明里标注你拿不太准的部分:“这段函数借助 ChatGPT 完成;功能没问题,但请重点审查错误处理逻辑。”
    这并非普适做法;如果已经经过人工评审,它就和其他代码一样。但在复杂代码处附上提示或链接到生成过程,有助于评审者理解上下文(例如风格不一致或奇怪习惯用法,可能是 AI 产物而非作者有意为之)。

  • 代码评审与团队规范
    团队协作时,仍应由所有成员评审代码——哪怕是“人 + AI”合著。他们可能发现违背团队规范的地方。久而久之,你们会摸索出如何提示 AI 才能贴合团队风格(可在系统提示或初始准则中写明)。若多人使用 AI,确保所有人了解期望的风格模式,以便据此提示(如“用函数式风格”“使用 async/await,别用回调”等)。

  • 跟踪技术债务
    若在开发中接受了“并不理想”的 AI 方案,请将其记录为技术债(注释或项目待办):

    • “TODO:方案可用但为 O(n^2);数据增长后需优化。”

    • “TODO:为简化暂用全局变量;后续收敛。”
      你甚至可以让 AI 自动插入 TODO:

    If there are any areas that need future improvement, add to-do comments.
    记得最终要清还这些债

  • 向 AI 的模式学习
    如果 AI 引入了你不熟悉的设计模式或库,花点时间了解它,而不是一概忽略。掌握某个缓存策略或库有助于你未来维护它。如果过于晦涩,可替换为你熟悉的方案;但 AI 偶尔也会带来你未曾接触的有用库或模式。若它是成熟方案,团队愿意学习,这反而能提升可维护性

实践中,可维护性的本质仍是一以贯之的工程原则——只是把它们应用在部分由 AI 编写的代码上。好消息是,AI 减少了“苦力活”,你或许能把更多时间投入到整理代码与完善文档上,从而提升可维护性。
一些公司报告称:在用 AI 迅速生成一波代码后,会安排一次**“加固冲刺(hardening sprint)”来重构与文档化全部内容。你也可以考虑在生成密集的冲刺清理加固的冲刺之间交替**推进,作为一种可行策略。

代码评审策略(Code Review Strategies)

正如第 4 章所讨论,代码评审在传统开发中至关重要,在 AI 辅助开发中同样如此。本节将探讨当被评审的代码片段由机器建议生成时需要注意的细微差异。由于 AI 能很快产出代码,人们可能担心评审会变成瓶颈——但不要因此削弱评审流程。务必为评审留出充足时间。别抱着“写得快,就合并得也要快”的心态而草草了事。相反,更应更频繁地提交更小的改动(这本来就是好实践),以降低评审难度。小而频的 PR 更容易被彻底审查。只要规划得当,你也可以让 AI 帮你把任务拆分成更小的 PR。

不要因为“AI 写的并且测试通过”就想当然地认为它是正确的。要批判性地思考,尝试推演其逻辑;若可能,利用额外的边界用例做验证,因为现有测试不一定面面俱到。也可以实际跑一跑,甚至用刁钻输入执行一小段代码看行为是否合理。

代码评审也是重要的学习时刻。如果 AI 引入了一个实际可行的新奇解法,评审者在验证正确性的同时也能学到新东西。反之,若 AI/人类组合给出的方案不够理想,评审者可以指出更佳做法。长期来看,这种反馈回路能改进团队的 AI 使用方式(例如让大家了解应避免什么、或如何更好地提问)。某种意义上,代码评审帮助闭环人类学习:作者需要真正理解 AI 写出的、对自己而言是新的那部分代码。

评审代码时,首要任务是确保它满足需求与既定设计。这段代码是否实现了该功能/缺陷修复应有的行为?是否覆盖了规格中提到的边界情况?如果提示不准确,AI 可能会“解错题”:处理了并不需要的场景,或遗漏了必须的情况。这很常见,但要注意作者是否只是接受了只部分满足要求的 AI 输出。例如,AI 可能写了一个格式化日期的函数,但假定了某个时区,该假定未必符合需求。

若代码中有不明所以之处,请作者解释其工作机制或为何如此实现。若对方难以说明,只说“AI 就这么写的,我觉得没问题”,这是危险信号。团队应当理解代码库中的一切。鼓励作者回去向 AI 或文档求证并给出恰当的说明,必要时在代码中加注释。

也要关注本章先前讨论过的安全与性能问题;若发现违反既有最佳实践的地方要指出来——比如(Web 开发中)输出未转义、或代码里出现了凭据。

当你看到能跑但可以更简单或更符合团队规范的代码时,请求变更或重构:

“AI 为不同用户角色写了 3 个几乎重复的函数。能否合并为一个带 role 参数的函数?”
作者随后可以(也许在 AI 协助下)完成合并。若 AI 的建议未使用团队惯用风格或标准库,也请指出:
“我们通常用 requests 做 HTTP 调用,但这段代码用的是 http.client。为了一致性,请改回 requests。”
作者即可提示 AI 改写为首选库。

如果 AI 写了非常复杂的内容(例如高难度算法),考虑与另一位评审者或团队一起进行更深入的审查。

你也可以尝试新兴的 AI 助力评审工具——例如 GitHub 的 Copilot for Pull Requests,可生成摘要并标出潜在缺陷。这类工具可能提示“此代码片段与模块 X 中的某段相似但略有不同”(提示可能的重复)。这些线索可以补充人工评审,但不应取代人工评审。

最后,即使代码因为 AI 的缘故存在问题,也请保持尊重与建设性。不要把锅直接甩给作者——虽然作者对其提交负责,但也要理解 AI 的语境。AI 是工具,作者与评审都在与之协作。目标是改进代码、共享知识,而非相互指责。比如:

“这一部分似乎有安全隐患——看起来是 AI 建议的疏忽;我们来修一下。”

归根结底,在“vibe coding(氛围式编码)”中,代码评审是发挥人类智慧的一环:它提供监督与专业判断,弥补 AI 的疏漏,守住质量门槛。评审同时还是团队的知识分享时刻:讨论代码既传播了领域理解,也传播了如何更好地使用 AI

代码评审也形式化了 CIO 作者 Grant Gross 提出的“开发者即编辑(developers as editors) ”概念:评审者就像编辑,确保代码被打磨得足以投入生产。这与 vibe coding 的理念完全契合——AI 带来“灵感/草稿”,人类判断负责打磨与定稿

可靠部署的最佳实践(Best Practices for Reliable Deployment)

当你确信代码安全、通过测试且可维护之后,下一步就是把它部署到生产环境并让它稳定运行。

AI 辅助开发并不会改变软件部署的核心原则,但会带来关于部署速度运维复杂度的考量。若想系统学习部署基础,强烈推荐 The DevOps Handbook(Gene Kim、Jez Humble、Patrick Debois、John Willis、Nicole Forsgren 著,IT Revolution Press,2016)。该书权威覆盖从持续集成与部署流水线到监控、安全与组织变革等全部内容。当 AI 加速你产出可部署代码的能力时,这些原则更显关键——它们确保你的部署实践能随开发加速度而扩展。

部署前与部署中(Before and During Deployment)

自动化你的 CI/CD 流水线
在 AI 加速开发的节奏下,健壮的持续集成/持续部署(CI/CD)流水线尤为重要。每一次提交(无论是否包含 AI 生成代码)都应通过自动化流水线构建、测试并(在合适时)部署。这样既减少人为失误,又确保测试、代码规范检查与安全扫描等步骤始终如一。一旦 AI 代码引入构建或测试问题,CI 会立即捕获。同时,自动化流水线便于快速迭代,及时修补由 AI 引入的问题并快速上线修复。

将基础设施“代码化”(Infrastructure as Code)
使用 Terraform、CloudFormation 等 IaC 工具来定义部署环境。这虽然与 AI 编码不直接相关,却是可靠部署的基石。你也可以让 AI 协助撰写 Terraform 脚本,但必须像对待其他 AI 代码一样严谨审查与测试,最好先在沙箱环境验证再应用到生产。参考 Terraform: Up & Running(Yevgeniy Brikman,O’Reilly,2022)是不错的起点。

分阶段发布,并准备回滚方案
采用分阶段发布策略:先上线到预发布环境或进行金丝雀发布(canary release) ,再全面铺开。比如,将某个 AI 编写的新特性先推给 5% 的用户,并通过指标与日志监控错误与性能;若一切正常,再扩大到 100%。
务必准备回滚方案。即便测试与评审充分,问题仍可能漏网。一旦新版本出错,要能迅速回退到稳定版本。若使用 Kubernetes 等容器编排,保留上一版本以便快速切换;若是无服务器函数(serverless),在对新版本有把握之前保留旧版本。

建立可观测性(Observability)
在生产环境中完善监控与日志:

  • 使用 Sentry 等工具追踪错误与异常。若 AI 代码在生产触发了未覆盖的边界情况,你会及时收到告警并修复。
  • 使用 APM 等性能监控工具追踪响应时间、吞吐与内存占用,识别是否有新部署引入了变慢或泄漏。
  • 监控可用性:持续探测服务端点是否存活。一旦发生崩溃(可能因未测试场景),应立即报警,便于快速响应。

持续关注安全
在部署中正确管理机密(例如 API 密钥)。若 AI 代码期望通过环境变量提供机密,应在 CI/CD 或云端配置中安全注入,避免意外日志暴露。可使用 HashiCorp VaultAWS Secrets Manager 等秘密管理工具;同时扫描容器镜像中的已知漏洞。

使用蓝绿部署或影子测试(shadow testing)
重大变更可采用蓝绿部署(blue-green) :准备两套相同的生产环境,“蓝”为当前线上,“绿”为新版本。先将流量指向蓝,再在绿上完成验证后切换;若出现问题,立刻切回蓝,降低风险与停机时间。
若你要评估某个 AI 编写算法在真实数据下的表现而不影响用户,可进行影子测试:并行运行新旧两个版本,向二者同时馈入真实生产请求,但只向用户输出当前线上版本的结果;收集并比较影子版本的输出,验证其性能、准确性与稳定性满意后再切换为主用。

持续实践(Ongoing Best Practices)

编写运维预案(Runbooks)
为运维团队提供运行手册,说明 AI 生成部分的特殊运维要点:

  • “此服务使用 AI 模型完成 X;若模型输出异常,先重启服务或检查模型版本。”
  • “功能 Y 严重依赖缓存;若性能异常,请先检查缓存命中率。”
    记录 AI 引入的非常规依赖(例如使用临时文件),让运维知道需要监控磁盘等资源。

在生产中测试(Testing in Production, TiP)
除开发与发布阶段的测试外,一些团队会在生产中以安全方式做小规模、持续的试验。使用**特性开关(feature flags)**将 AI 生成特性开启给少量用户,观察错误率变化。这与金丝雀发布类似,但利用开关可以更细粒度地控制。

定期审计
随着 AI 贡献的增多,定期安排安全与性能审计。这类似管理技术债:一些最初没问题的点,随着规模或上下文变化可能逐渐恶化。也要关注“漂移(drift)”:例如 AI 代码生成了 SQL 查询,要确保迁移与代码保持同步,并在流量切到新版本前正确执行迁移。

让人始终在环(Humans in the Loop)
主题一以贯之——人类需要监控自动化。AI 能帮你写代码,但凌晨两点的事故不是它来处理。确保有了解系统的人值班。长期来看,你可以利用 AI 帮忙分析日志(部分工具已支持),但最终决策仍应由人来做。

从失败中学习
没有万无一失的流程。一旦出现事故,应进行事后复盘(postmortem) :判断问题是否与 AI 使用相关(如“我们信任了这里的 AI 代码,但在场景 X 下失败”),并据此更新流程与测试,防止同类问题重演。每次复盘都会提升整体可靠性。

要点归纳
可靠性不仅关乎代码,也关乎支撑代码的基础设施与运维。AI 主要加速“写代码”,而健壮的运维实践(部分可由 AI 辅助)则保障整体系统可靠。
总之,把AI 比重较高的项目当作任何高质量软件项目来部署:充分测试、循序渐进发布、加强监控、确保可快速回滚。由于 AI 能更快地产生改动,你可能会更频繁地部署——这完全没问题(前提是 CI/CD 做得好)。事实上,频繁的小步发布通常比低频的大版本发布风险更低:每次变更更小、易定位问题,也更容易快速回滚;而大包发布往往改动繁多、问题难以归因、失败影响面更大。

遵循这些最佳实践,即便系统中有大量机器生成的代码,你也能对其在生产环境中的表现保持信心。自动化测试 + 审慎部署 + 全面监控构成闭环,把早期遗漏的问题尽可能拦截在用户无感知的阶段。如此,你就能在不牺牲生产可信度的前提下,充分享受 AI 带来的开发速度与效率红利。

总结与下一步(Summary and Next Steps)

总而言之,“氛围式编码(vibe coding)”并不意味着可以放弃工程上的严谨;相反,它放大了坚持严谨原则的工程师的生产力。你的座右铭应当是那句古老的俄国谚语: “信任,但要核实。” ——把繁琐工作交给 AI,但要用你的工具与专业能力逐一验证

安全与可靠性是负责任开发的一个维度;伦理是另一个维度。AI 辅助编程会引出重要议题:知识产权、偏见、对开发者岗位的影响,等等。第 9 章将深入探讨这些更广泛的影响——如何负责任且公平地使用 AI 编码工具?如何处理 AI 生成代码的许可问题,并确保你的模型与提示被合乎伦理地使用?

avatar
文章
阅读
粉丝