现在很多程序员都会用 Codex、Cursor、Claude Code 或其他 AI 编程工具辅助开发。AI 写代码确实快但“能生成”不代表“能直接上线”。有些代码表面上没有报错真正运行后才会暴露安全、性能和兼容性问题。每次使用 AI 修改代码后我通常会先检查下面6项。一、有没有修改无关文件AI在修复一个局部问题时有时会顺手调整公共组件、配置文件或其他模块。这类改动不一定有必要却可能影响原本正常的功能。提交代码前先看一遍文件变更列表确认每个修改都与当前任务有关。二、有没有偷偷增加新依赖为了快速完成任务AI可能会引入新的第三方库。但新依赖会带来版本冲突、安装失败、安全漏洞和后期维护成本。看到新增依赖时要先确认项目里是否已有类似功能这个库是否真的必要版本是否与当前环境兼容。三、有没有写死敏感信息AI生成代码时可能把测试账号、接口地址、数据库密码、Token或本地路径直接写进代码。这些内容一旦提交到代码仓库就可能造成数据泄露。敏感信息应该放入环境变量或专门的配置文件并避免上传到公开仓库。四、异常处理是否完整AI通常更关注“正常情况下能不能运行”但容易忽略网络超时、空数据、权限不足和接口失败等异常情况。重点检查请求失败后怎么处理数据为空是否报错文件不存在是否会崩溃数据库操作失败是否回滚。能跑通正常流程只是最基本的要求。五、有没有权限和安全问题AI写出的接口可能缺少身份验证、参数校验或权限判断。例如普通用户可以访问管理员接口或者用户输入未经处理就直接进入数据库查询。涉及登录、支付、文件上传、数据库和用户信息时必须进行人工安全检查。六、测试是否真的覆盖修改内容“代码没有报错”不等于“功能没有问题”。除了运行原有测试还要针对本次修改补充测试尤其是边界情况和异常情况。至少确认正常输入可以运行错误输入不会导致系统崩溃修改没有影响其他功能返回结果与需求一致。总结AI编程工具最适合提高效率而不是代替开发者承担责任。生成代码后至少检查修改范围、第三方依赖、敏感信息、异常处理、安全权限和测试结果。真正可靠的开发流程不是让 AI 写完就直接运行而是让 AI 负责提高速度由人负责判断结果是否安全、合理、可维护。
Codex改完代码别急着提交:这6个问题必须人工检查
现在很多程序员都会用 Codex、Cursor、Claude Code 或其他 AI 编程工具辅助开发。AI 写代码确实快但“能生成”不代表“能直接上线”。有些代码表面上没有报错真正运行后才会暴露安全、性能和兼容性问题。每次使用 AI 修改代码后我通常会先检查下面6项。一、有没有修改无关文件AI在修复一个局部问题时有时会顺手调整公共组件、配置文件或其他模块。这类改动不一定有必要却可能影响原本正常的功能。提交代码前先看一遍文件变更列表确认每个修改都与当前任务有关。二、有没有偷偷增加新依赖为了快速完成任务AI可能会引入新的第三方库。但新依赖会带来版本冲突、安装失败、安全漏洞和后期维护成本。看到新增依赖时要先确认项目里是否已有类似功能这个库是否真的必要版本是否与当前环境兼容。三、有没有写死敏感信息AI生成代码时可能把测试账号、接口地址、数据库密码、Token或本地路径直接写进代码。这些内容一旦提交到代码仓库就可能造成数据泄露。敏感信息应该放入环境变量或专门的配置文件并避免上传到公开仓库。四、异常处理是否完整AI通常更关注“正常情况下能不能运行”但容易忽略网络超时、空数据、权限不足和接口失败等异常情况。重点检查请求失败后怎么处理数据为空是否报错文件不存在是否会崩溃数据库操作失败是否回滚。能跑通正常流程只是最基本的要求。五、有没有权限和安全问题AI写出的接口可能缺少身份验证、参数校验或权限判断。例如普通用户可以访问管理员接口或者用户输入未经处理就直接进入数据库查询。涉及登录、支付、文件上传、数据库和用户信息时必须进行人工安全检查。六、测试是否真的覆盖修改内容“代码没有报错”不等于“功能没有问题”。除了运行原有测试还要针对本次修改补充测试尤其是边界情况和异常情况。至少确认正常输入可以运行错误输入不会导致系统崩溃修改没有影响其他功能返回结果与需求一致。总结AI编程工具最适合提高效率而不是代替开发者承担责任。生成代码后至少检查修改范围、第三方依赖、敏感信息、异常处理、安全权限和测试结果。真正可靠的开发流程不是让 AI 写完就直接运行而是让 AI 负责提高速度由人负责判断结果是否安全、合理、可维护。