最佳实践
用 AI 写代码和自己写代码,最终要对同样的标准负责:代码能跑、好维护、上线不出事。
这里列的不是 Vibecoding 专有的规则,而是在 AI 协作流程里真正重要的几件事。
看懂再提交
AI 生成的代码,在你按下提交之前,至少要读一遍。不是因为 AI 会乱写,而是:
- 你要能在 code review 时解释每一行
- 你要在出问题时知道从哪里开始调试
- 你要在需求变更时知道改哪里
如果某段逻辑没看懂,直接在 Trae 里问"这段代码在做什么,为什么这样写"——搞清楚再合并。
安全问题不能交给 AI 自己把关
AI 能生成功能正确的代码,但几类问题需要你主动留意:
- SQL 注入:确认用了参数化查询,没有直接拼接用户输入
- 密钥和凭证:不能硬编码在代码里,用环境变量
- 用户输入校验:前后端都要做,不能只在前端拦截
每次让 AI 生成涉及用户输入或外部系统的代码,在 Prompt 里加一句"注意安全性",或者单独问一次"这段代码有安全隐患吗",是个好习惯。
测试不能省
AI 能帮你写测试,但前提是你要用。几个实际的建议:
- 核心业务逻辑一定要有测试,不管是 AI 写的还是自己写的
- 让 AI 生成测试用例时,告诉它"包括边界情况和错误场景",它会想到你没想到的场景
- 在 CI 里跑测试,别让"在我机器上能跑"成为唯一验证
提交要小、要频繁
一个 Vibecoding 的健康节奏是:写一段 → 测试 → 提交 → 继续。不要积累很多代码再一次性提交。
小提交的好处:出问题容易定位是哪次改动引起的;回滚代价小,你会更敢于实验;commit 信息更容易写清楚。
bash
# 好的节奏示例
git commit -m "feat: 添加用户注册接口"
git commit -m "feat: 添加邮箱验证逻辑"
git commit -m "fix: 修复重复注册时的错误提示"对 AI 保持合理的期望
AI 很擅长:生成结构清晰的样板代码、实现常见设计模式、解释代码行为、给出优化建议。
不那么可靠的地方:理解你项目特有的业务上下文、处理需要最新知识的问题、在跨多个文件的复杂重构中保持一致性。
了解这个边界,你就知道什么时候该相信 AI,什么时候该自己多想一步。