22-Vibe Coding 安全红线与生产级防护 —— AI 写的代码，你敢直接上生产吗

Vibe Coding 安全红线与生产级防护 —— AI 写的代码，你敢直接上生产吗

AI 帮你写了 5000 行代码，功能全部跑通，测试全绿。你准备合并 PR 了。但你真的确定——它没有把 API Key 硬编码在某个角落里吗？它引用的那个 npm 包没有被劫持过吗？它在处理用户输入的时候做了转义吗？安全不是 AI 的责任，是你的。

五大真实风险

风险一：幻觉依赖——AI 自信地用了不存在的 API

真实案例：

🤖 "我用的是 next@15.2 的 serverActions 新特性"
👤 "好的"

运行：TypeError: serverActions is not a function
原因：next@15.2 根本没有这个 API，是 AI 把不同版本的文档"混合"了。

更危险的情况：
🤖 "用 cryptography 库的 aes_256_gcm_encrypt 函数加密"
👤 "好的"
运行：正常，没报错
原因：但这个函数名是 AI 编的。实际用的是 cryptography 库的基础 AES
      → 加密强度远低于预期
      → 代码能跑，但安全性是假的
      → 直到安全审计才发现，已经运行了 3 个月

防御：

• 所有 AI 推荐的库/API，在第一次使用前查一下官方文档
• Context7 MCP（第 7 篇）可以部分缓解——让 AI 查实时文档
• 关键安全代码（加密、认证、授权）必须人工 Review，不能全靠 AI

风险二：密钥泄露——AI 想帮你"省事"

AI 最常犯的密钥泄露：

1. 硬编码在代码里
   # config.py（AI 生成的）
   OPENAI_API_KEY = "sk-proj-xxxxx"  ← 直接写死在代码里

2. 写在注释里
   # 测试用 Key: sk-ant-xxxxx ← 注释里的密钥

3. 写在测试文件里
   # test_auth.py
   TEST_JWT_SECRET = "super-secret-key-123"  ← 测试文件里用了真密钥

4. 写在错误日志里
   logger.error(f"API call failed with key: {api_key}")  ← 日志里泄露密钥

防御：

• CLI 的 PreToolUse Hook 扫描密钥模式（sk-、ghp_、Bearer + base64）
• Pre-commit Hook 拒绝包含密钥模式的提交
• .env 文件必须加 .gitignore（AI 有时会忘记）
• 测试用密钥用明显的前缀（TEST_DUMMY_），避免和真密钥混淆

风险三：Slop Squatting——AI 推荐的包可能被投毒

攻击者做的事：

1. 研究 AI 会推荐哪些小众包名
2. 抢先注册相似名字的恶意包
3. AI 在生成代码时把这个包推荐给用户
4. 用户安装 → 恶意代码执行

真实案例（2025年）：
  - AI 多次推荐 imagenet-dataset-loader（一个不存在的包）
  - 攻击者注册了这个包名
  - 包含窃取环境变量的代码
  - 数百个项目在不知情的情况下安装了它

更隐蔽的变种：
  - AI 推荐 "redis-utils" → 实际叫 "redis-utils-py" → 后者是恶意包
  - AI 推荐的包名和真实包差一两个字符 → 用户不验证就装了

防御：

• AI 推荐的包，先查 PyPI/npm 的下载量、最近更新时间、GitHub Star
• 警惕下载量 < 1000 但 AI 强烈推荐的包
• 定期 pip-audit / npm audit（下面工具链部分会讲）
• 公司的私有包镜像 + 白名单机制

风险四：架构漂移——AI 在不知不觉中改变了你的架构

项目起初的架构约定（写在 CLAUDE.md 里）：
"API 返回统一格式：{ code: 0, data: ..., message: '' }"

第 1 个功能：AI 按这个格式写 ✅
第 2 个功能：AI 按这个格式写 ✅
...
第 8 个功能：AI 开始"有了自己的想法"
  → 这个接口返回了 { success: true, result: ... }
  → 那个接口返回了 { error: null, body: ... }
  → 等你发现的时候，API 已经有 3 种不同的返回格式了

为什么会这样？
  - CLAUDE.md 被读了但注意力衰减（上下文里的其他信息覆盖了它）
  - AI 模仿了它训练数据里的"更常见"的写法
  - 你在第 5 个功能时说"算了这个先这样" → AI 学到了可以不一致

防御：

• 每个 Task 验收时检查风格一致性（用第 21 篇的 Review 清单）
• 把架构约定写在 code-review Skill 的 checklist 里（每次审查都检查）
• 定期让 AI 审计全项目的一致性（“检查所有 API 返回格式是否统一”）

风险五：未测试分支——AI 写的代码看起来对，但边界情况全没测

AI 写的登录函数：
def login(username, password):
    user = db.get_user(username)     # 如果没有这个用户呢？
    if bcrypt.verify(password, user.password_hash):  # user 是 None 呢？
        return create_jwt(user)
    raise AuthError("密码错误")

典型问题：
  测试只测了"正确的用户名 + 正确的密码" ✅
  没测：
    - 不存在的用户名 → AttributeError: None has no 'password_hash'
    - 空字符串密码 → bcrypt 行为未定义
    - 超长用户名（10000 字符）→ 数据库字段溢出
    - SQL 注入尝试（username = "admin' --"）→ 看 ORM 怎么处理
    - 并发登录（10 个请求同时）→ 连接池耗尽？

防御：

• test-gen Skill（第 4 篇）强制覆盖 happy path + 异常 + 边界值
• 关键接口做 Fuzz Testing（随机输入看会不会崩）
• CLAUDE.md 明确要求"所有用户输入必须视为不可信"

六条生产规则

规则一：Always Loop

❌ AI 写了一段代码，看起来能跑 → 合并

✅ AI 写了一段代码 → 跑测试 → 修 Bug → 再跑测试 → 修 Bug → 直到全绿
   这个"跑→修→跑"的循环至少跑 2 次

在 CLAUDE.md 中写死：

## 铁律
修改代码后必须运行相关测试。如果有失败，必须修复直到全部通过。
不要提交"测试还没跑"的代码。

规则二：Require Tests

❌ "这个修改太小了，不需要测试"
❌ AI 自己判断"这个不需要测试" → 跳过

✅ 任何新增的业务逻辑都必须有测试
✅ 修改了已有逻辑时，对应的测试必须更新
✅ 使用 test-gen Skill 自动生成测试骨架

规则三：Always Scan

在每个 PR 合并前，跑三道扫描：

# 第一道：密钥扫描（Secret Scanner）
# 检查是否误提交了 API Key、Token、密码
trufflehog filesystem . --json

# 第二道：依赖扫描（SCA - Software Composition Analysis）
# 检查依赖是否有已知 CVE 漏洞
pip-audit                     # Python
npm audit --audit-level=high  # Node.js

# 第三道：代码扫描（SAST - Static Application Security Testing）
# 检查代码中的安全模式问题
bandit -r src/ -f json        # Python: SQL注入、硬编码密码等
eslint-plugin-security        # JS/TS: XSS、eval 使用等

整合进 PostToolUse Hook 或 Pre-commit Hook：

#!/bin/bash
# hooks/pre-commit-scan.sh —— 提交前安全扫描

echo "🔍 安全检查中..."

# 密钥扫描
if command -v trufflehog &> /dev/null; then
    if trufflehog filesystem . --json --no-verification | grep -q .; then
        echo "🛑 检测到疑似密钥泄露，提交被阻止。"
        exit 1
    fi
fi

# 依赖扫描
if [ -f "requirements.txt" ] && command -v pip-audit &> /dev/null; then
    pip-audit --strict 2>/dev/null || {
        echo "🛑 依赖含有已知漏洞，提交被阻止。"
        exit 1
    }
fi

echo "✅ 安全检查通过"
exit 0

规则四：Always Review

每条 AI 生成的代码必须有人看过。

你可以用 AI 辅助审查（code-review Skill），
但不能让 AI 代替你做"是否合并"的决策。

关键区分：
  ✅ "AI 帮我审查，我根据审查结果决定是否合并"
  ❌ "AI 审查通过了，我直接合并"

在 GitHub 上配置 Branch Protection：

• PR 必须有人工 Approved Review 才能合并
• AI 提交的 Review 不算在 Required Reviewers 中

规则五：Pin Dependencies

❌ requirements.txt：
   fastapi
   sqlalchemy
   → 没有版本号。装的时候自动装最新版。
   → 最新版可能有 breaking change 或安全回退。

✅ requirements.txt：
   fastapi==0.115.6
   sqlalchemy==2.0.36
   → 精确版本号。不会不知不觉升级。

更进一步——锁定哈希值（防投毒）：
   pip-compile requirements.in → requirements.txt（带 hash）

在 CLAUDE.md 中加：

## 依赖管理
- 所有依赖必须指定精确版本（== X.Y.Z）
- AI 添加新依赖时必须先确认版本号
- 不要用 latest、* 等通配符

规则六：Log Everything

AI 做的所有操作，应该有日志可追溯。

日志层级：
1. Git 提交记录 → AI 的每次改动都有 commit
   ✅ 在 CLAUDE.md 中要求 AI 频繁、原子地提交
   ❌ AI 连着改了 20 个文件才提交一次 → 出问题回滚困难

2. Claude Code 会话日志 → 每次对话自动记录
   ~/.claude/logs/ 下有完整会话记录

3. Hook 执行日志 → 安全扫描、检查的结果
   见第 13 篇的 lib/utils.sh

4. MCP 调用日志 → AI 通过 MCP 做了什么外部操作
   claude mcp logs

审计追溯链：
  生产出问题了
    → 看 Git blame 找到是谁/哪个 AI 改的
    → 看 Claude Code 日志找到当时的完整对话
    → 看 Hook 日志确认安全检查当时是否通过
    → 定位根因：是需求描述不清，还是 AI 实现有 bug

SAST + SCA + Secret Scanner 工具链

一套开箱即用的安全工具链：

┌─────────────────────────────────────────────┐
│              安全工具链                       │
├─────────────────────────────────────────────┤
│                                             │
│  密钥扫描（Secret Scanner）                   │
│  ├── trufflehog：扫描代码仓库中的密钥         │
│  ├── gitleaks：轻量级，适合 Pre-commit Hook  │
│  └── git-secrets：AWS 官方，防 AWS 密钥泄露   │
│                                             │
│  依赖扫描（SCA）                              │
│  ├── pip-audit：Python 依赖 CVE 检查          │
│  ├── npm audit：Node.js 依赖 CVE 检查         │
│  ├── safety：Python 依赖安全扫描（商业版）     │
│  └── Snyk：全语言支持（免费版有额度限制）       │
│                                             │
│  代码扫描（SAST）                             │
│  ├── bandit：Python 安全 lint                │
│  ├── semgrep：多语言，规则可定制              │
│  ├── eslint-plugin-security：JS/TS 安全规则   │
│  └── CodeQL：GitHub 内置，CI 集成最方便       │
│                                             │
└─────────────────────────────────────────────┘

CI 集成（GitHub Actions）

# .github/workflows/security-scan.yml
name: Security Scan
on: [pull_request]

jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      # 密钥扫描
      - name: Secret Scan
        uses: trufflehog/trufflehog-action@v1
        with:
          path: ./

      # 依赖扫描
      - name: Dependency Scan (Python)
        run: pip-audit --strict
        continue-on-error: true  # 不阻塞 PR，但会标记

      # 代码扫描
      - name: CodeQL Analysis
        uses: github/codeql-action/analyze@v3

      # SAST
      - name: Semgrep
        uses: semgrep/semgrep-action@v2
        with:
          config: p/default

AI 代码的审计追踪

在 Git 中标记 AI 生成的代码

# AI 提交时用 Co-Authored-By 标识
git commit -m "feat: 添加积分获取接口
Co-Authored-By: Claude Code (Sonnet 4.6) <ai@anthropic.com>"

# 这样 git blame 时能看到哪些代码是 AI 写的：
git blame src/services/points.py
# → 部分行显示 Co-Authored-By: Claude Code

审计日志结构

## 审计记录: 2026-06-04 积分系统上线

### 变更概要
- 新增 6 个文件，修改 2 个文件
- 480 行新增代码
- 22 个测试用例

### AI 参与度
- 95% 代码由 Claude Code (Sonnet 4.6) 生成
- 5% 由人工修改（积分过期逻辑的边界条件）
- 所有代码经过人工 Review

### 安全扫描结果
- Secret Scan: 无发现 ✅
- SCA: 1 个低危 CVE（requests 库，不影响本项目） ✅
- SAST (bandit): 无发现 ✅
- SAST (semgrep): 无发现 ✅

### 审查人
- 张三（后端负责人）: Approved
- 李四（安全工程师）: Approved

安全是最后一公里的工程纪律

Vibe Coding 的安全性不是"AI 天生安全"。
AI 只是一个写代码更快的工具——它引入了新的效率，也引入了新的风险。

安全的三个层次：
1. 预防（PreToolUse Hook + CLAUDE.md 安全规则）—— 代码写出来之前就拦截
2. 检测（Pre-commit 扫描 + CI 扫描）—— 代码写出来之后自动检查
3. 追溯（Git log + 会话日志 + 审计记录）—— 出问题后能查到根因

三层都做到，AI 写的代码才能上生产。