你如何审查AI生成的代码以避免盲目信任？

Question

Accepted Answer

AI生成的代码是**来自自信但易出错的作者的草稿**。它看起来通常是正确的且能编译，但可能隐藏细微的bug、虚构的API或安全漏洞。有纪律的审查能保持速度，同时降低风险。

## 审查清单

- **逐行阅读。** 如果你只是浏览，你会发布一些稍后无法解释的bug。没有例外。
- **验证它解决了实际问题** — 而不是看起来相似的问题。AI优化的是看似合理的，不一定是正确的。
- **运行测试和linter。** 为你关心的情况添加测试；也不要盲目相信AI自己的测试。
- **检查边界情况** — 空输入、null值、大数值、并发、边界条件。
- **检查安全问题** — SQL/命令注入、未清理的输入、代码中的密钥、不安全的反序列化。
- **检查性能** — 意外的O(n²)循环、N+1查询、无限制的内存。
- **确认API存在** — AI会编造看起来真实的方法名和库函数。
- **不要粘贴你不理解的代码。** 如果你无法解释它，你就无法维护或调试它。

## 实践流程

```text
1. Read the diff fully  →  do I understand every line?
2. Does it solve the real problem, including edge cases?
3. Run: tests + linter + type checker
4. Scan for security + performance red flags
5. Only then: commit (with a message that reflects what it really does)
```

把AI看作一个快速的初级开发者：有帮助、高效，但其输出在投入使用前你总要审查。已发布代码的责任在你，而不是模型。

## 为什么这很重要

AI代码的危险不在于它明显出错 — 而在于它**看似可能出错**，能通过粗略的检查，但暗藏bug或漏洞。逐行审查、运行测试、拒绝发布你不理解的代码，这正是将AI用作力量倍增器和悄无声息地积累无法追踪的技术债务和安全风险的区别。