คุณจะ review โค้ดที่ AI generate มาอย่างไรเพื่อไม่ให้เชื่อมันอย่างหลับหูหลับตา?

Question

Accepted Answer

โค้ดที่ AI generate มาคือ **ฉบับร่างจากผู้เขียนที่มั่นใจแต่ผิดพลาดได้** มันมักดูถูกต้องและ compile ผ่าน แต่ก็ซ่อน bug ที่แยบยล API ที่กุขึ้นมา หรือช่องโหว่ด้านความปลอดภัย การ review ที่มีวินัยจะรักษาความเร็วไว้โดยไม่มีความเสี่ยง

## checklist ในการ review

- **อ่านทุกบรรทัด** ถ้าคุณอ่านผ่าน ๆ คุณก็ปล่อย bug ที่คุณอธิบายไม่ได้ในภายหลัง ไม่มีข้อยกเว้น
- **ตรวจสอบว่ามันแก้ปัญหาจริง** ไม่ใช่ปัญหาที่หน้าตาคล้ายกัน AI ปรับให้ดูน่าเชื่อถือ ไม่ใช่ถูกต้อง
- **รัน test และ linter** เพิ่ม test สำหรับเคสที่คุณสนใจ อย่าเชื่อ test ของ AI เองอย่างหลับหูหลับตาเช่นกัน
- **ตรวจสอบ edge case** input ว่างเปล่า, null, ค่าขนาดใหญ่, concurrency, เงื่อนไขขอบเขต
- **ตรวจสอบความปลอดภัย** SQL/command injection, input ที่ไม่ได้ sanitize, secrets ในโค้ด, การ deserialize ที่ไม่ปลอดภัย
- **ตรวจสอบ performance** loop ที่บังเอิญเป็น O(n²), N+1 queries, หน่วยความจำที่ไม่มีขอบเขตจำกัด
- **ยืนยันว่า API มีอยู่จริง** AI hallucinate ชื่อ method และฟังก์ชันของ library ที่ดูเหมือนจริง
- **อย่าวางโค้ดที่คุณไม่เข้าใจ** ถ้าคุณอธิบายมันไม่ได้ คุณก็ดูแลหรือดีบักมันไม่ได้

## ขั้นตอนในทางปฏิบัติ

```text
1. Read the diff fully  →  do I understand every line?
2. Does it solve the real problem, including edge cases?
3. Run: tests + linter + type checker
4. Scan for security + performance red flags
5. Only then: commit (with a message that reflects what it really does)
```

ปฏิบัติต่อ AI เหมือน junior developer ที่ทำงานเร็ว มีประโยชน์ มีผลผลิตดี แต่เป็นคนที่ผลงานของเขาต้องถูก review เสมอก่อนที่จะลงจริง ความรับผิดชอบต่อโค้ดที่ปล่อยออกไปอยู่ที่คุณ ไม่ใช่ที่ตัวโมเดล

## ทำไมจึงสำคัญ

อันตรายของโค้ด AI ไม่ใช่ว่ามันพังอย่างเห็นได้ชัด แต่เป็นว่ามันพังแบบ *ดูน่าเชื่อถือ* ผ่านการมองแบบเผิน ๆ ในขณะที่ซ่อน bug หรือช่องโหว่ไว้ การ review ทุกบรรทัด รัน test และปฏิเสธที่จะปล่อยโค้ดที่คุณไม่เข้าใจ คือสิ่งที่แยกการใช้ AI เป็นตัวทวีกำลังออกจากการสะสมหนี้ทางเทคนิคและความเสี่ยงด้านความปลอดภัยอย่างเงียบ ๆ ที่คุณรับผิดชอบไม่ได้