分享这篇文章
继续阅读
先配置权限、项目记忆、忽略规则、MCP、Hooks、环境变量和团队配置,让 Claude Code 在项目里更安全、更稳定地协作。
阅读全文AI先配置模型、审批策略、沙箱权限、项目配置、Profile 和网络访问,让 Codex CLI 更安全、更适合日常开发。
阅读全文AI把 code review、CI 修复、官方文档查询、浏览器验收、前端设计、文档写作、文案清理和安全检查做成可复用 Skill。
阅读全文博文更新时间:2026-06-11。维护者:ToolOrbit Editorial Team。
过去几年,AI Coding 工具迅速进入开发者的日常工作。它们可以补全代码、解释报错、生成测试、重构函数,甚至可以阅读代码库、制定实现计划、修改分支并发起 Pull Request。GitHub Copilot 官方文档已经把 Copilot cloud agent 描述为一种能够研究仓库、创建实现计划、修改分支,并让开发者审查 diff、迭代修改和创建 Pull Request 的自主 AI Agent。(GitHub Docs)
这让很多人以为,AI Coding 工具最重要的价值是“替人写代码”。表面看,这当然没错。以前半小时才能写完的样板代码,现在几分钟就能生成;以前需要翻文档的 API 调用,现在 AI 可以直接给出示例;以前要手动拆分的大函数,现在也能让 AI 先给一个重构版本。
可是,真正进入工程现场后,问题会变得更复杂。代码生成只是第一步。更关键的问题是:这段代码真的符合需求吗?它有没有隐藏 bug?它是否破坏了已有逻辑?它能否通过边界条件?它是否安全、可维护、可扩展?
所以,AI Coding 工具真正改变的不是写代码,而是验证代码。当代码生产速度大幅提升,软件开发的瓶颈就会从“如何写出来”转向“如何确认它是对的”。
早期的 AI 编程体验更像“高级自动补全”。开发者写下函数名、注释或几行逻辑,AI 根据上下文补全后续代码。它解决的是局部效率问题:少敲几行、少查几次文档、少写一些重复逻辑。
现在的 AI Coding 工具已经不止如此。GitHub Copilot 的功能文档提到,Copilot 可以在编辑器、代码审查、云端 Agent、上下文扩展等多个场景中工作;同时,MCP 这类协议也被用于把 Copilot 与其他系统集成,扩展其上下文能力。(GitHub Docs)
Anthropic 的 Claude Code 文档也将其定位为一个运行在终端中的 Agentic Coding Tool,可以理解代码库,并帮助完成构建功能、修复 bug、自动化开发任务等工作。(Claude API Docs)
这说明 AI 编程工具正在从“帮你写一段代码”走向“帮你完成一个开发任务”。
真正有价值的代码不是孤立代码,而是放在系统里的代码。一个函数写得漂亮,不代表它能安全进入生产环境。它可能与已有模块冲突,可能遗漏异常处理,可能破坏接口约定,也可能让系统性能变差。
AI Coding 工具的下一阶段竞争,不只是模型能不能写出语法正确的代码,而是能不能理解整个工程上下文:仓库结构、依赖关系、测试体系、业务规则、团队规范、部署流程和安全限制。
这也是为什么现代 AI 编程工具越来越强调代码库理解、diff 审查、计划生成和多 Agent 管理。OpenAI 的 Codex 官方页面将 Codex app 描述为 agentic coding 的命令中心,内置 worktrees 和云端环境,可以让多个 Agent 并行处理项目。(OpenAI)
换句话说,AI 已经不只是代码编辑器里的补全插件,而是逐渐进入完整的软件交付链路。
在真实项目中,“能跑”只是最低标准。代码能通过一次本地运行,不代表它能承受线上流量;能满足 happy path,不代表它处理了异常输入;能通过当前测试,不代表它没有引入未来维护成本。
AI 生成代码尤其容易制造一种错觉:它看起来很完整,变量名很清晰,注释也很像那么回事。但越是“像正确答案”的代码,越需要谨慎验证。因为它可能在细节处犯错,比如:
| 表面现象 | 潜在风险 |
|---|---|
| 代码结构完整 | 业务规则理解错误 |
| 类型检查通过 | 边界条件遗漏 |
| 测试样例通过 | 测试覆盖不足 |
| 逻辑看似简洁 | 破坏历史兼容性 |
| 注释很清楚 | 注释与真实行为不一致 |
AI 写出来的代码,最危险的地方不一定是语法错误,而是“看起来没问题”。
软件工程的核心不是把字符输入编辑器,而是把不确定性变成确定性。需求是不确定的,用户行为是不确定的,线上环境是不确定的,依赖版本是不确定的。工程师的价值,就是在这些不确定性中建立可靠系统。
因此,验证代码不是额外步骤,而是工程本质。它包括需求验证、逻辑验证、测试验证、性能验证、安全验证、可维护性验证和上线验证。
过去,写代码耗费了大量时间,所以开发者经常把“完成实现”当成主要工作。现在 AI 大幅降低了实现成本,验证就变成更显眼、更重要、更难被替代的环节。
AI Coding 工具正在让代码评审变得更早、更频繁。GitHub Copilot code review 文档显示,Copilot 可用于代码审查,并且相关功能正在和开发流程、Actions 资源等结合。(GitHub Docs)
这意味着代码评审不再只发生在最终 PR 阶段。开发者可以在编码过程中不断让 AI 检查:
“这段逻辑有没有边界问题?”
“这个变更会不会影响旧接口?”
“有没有更简单的实现?”
“是否存在安全风险?”
“这个 diff 是否符合项目规范?”
AI 不会替代人类 Reviewer,但它可以成为第一层过滤器。它能帮助团队提前发现低级问题,让人类 Reviewer 把注意力放在架构、业务语义和长期维护上。
AI 生成测试的价值,往往比生成业务代码更大。因为测试本身就是验证工具。一个优秀的 AI Coding 工作流,应该让 AI 同时回答两个问题:
第一,这个功能怎么实现?
第二,我们怎么证明它实现对了?
开发者可以要求 AI 根据需求生成单元测试、集成测试、异常测试、边界测试和回归测试。比如一个支付金额校验函数,AI 不只应该生成正常金额的测试,还应该覆盖 0、负数、超大值、小数精度、空输入、非法字符串、多币种等场景。
更进一步,团队可以把 AI 生成的测试当作“反问需求”的工具。如果 AI 无法写出稳定测试,很可能说明需求本身还不够清晰。
在 AI Agent 可以直接修改代码后,开发者的主要工作界面会发生变化。以前我们关注“正在写的文件”,现在更关注“AI 改了什么”。也就是说,diff 成为新的工作中心。
这是一种重要变化。开发者不再逐行从零开始写,而是审查一组变更是否合理。这个过程更像编辑、审计和验收:
| 传统开发 | AI 辅助开发 |
|---|---|
| 手动实现为主 | 审查变更为主 |
| 从空文件开始 | 从 AI 生成 diff 开始 |
| 关注写法 | 关注正确性 |
| 依赖个人记忆 | 依赖上下文与测试 |
| 最后才评审 | 边生成边验证 |
GitHub 也在 Copilot 最佳实践中强调,在打开 Pull Request 之前,应理解代码库、先和 Copilot 确认实现方案,并审查、迭代变更。(GitHub Docs)
这句话背后其实是一种新的工程习惯:不要盲目接受 AI 的结果,要把 AI 输出当作候选方案,而不是最终答案。
以前评价一个开发者,常常看他写代码的速度、熟悉多少 API、能不能快速实现功能。未来这些能力仍然有用,但权重会下降。
新的核心能力会变成:
能不能定义清楚问题?
能不能判断 AI 的方案是否可靠?
能不能设计验证路径?
能不能发现隐藏风险?
能不能把生成代码纳入工程规范?
这意味着开发者正在从“代码打字员”转变为“系统审计者”。你不只是写代码的人,而是负责确认系统行为正确的人。
AI 很擅长根据明确指令生成结果,但它不擅长替你决定真正的问题是什么。比如用户说“页面太慢”,AI 可以帮你优化 SQL、加缓存、拆组件,但真正的问题可能是监控指标不完整、接口聚合过度、前端资源阻塞,甚至是产品交互设计不合理。
所以,未来优秀开发者的价值不只是会问 AI “怎么写”,而是会问:
“我们要验证的假设是什么?”
“这个问题的根因在哪里?”
“哪些指标能证明改动有效?”
“哪些测试能防止回归?”
“哪些风险必须上线前排除?”
当 AI 让实现变快,问题定义就变得更贵。
AI Coding 工具不会单独改变软件工程。它真正产生价值,是因为能嵌入现有工程系统:Issue、分支、PR、CI、测试、代码规范、安全扫描、发布流程。
一个成熟团队不会让 AI 随意改主分支,而是会建立清晰边界:
这样,AI 的速度才能转化为团队效率,而不是制造更多混乱。
AI 的输出质量高度依赖上下文。如果项目没有清楚的 README,没有稳定的架构约定,没有测试样例,没有代码规范,AI 很容易生成“看起来合理但不符合项目”的代码。
因此,AI 时代反而会奖励那些工程基础扎实的团队。文档越清楚,测试越完整,模块边界越干净,AI 越容易发挥作用。
简单说,AI 不会自动拯救混乱的代码库。它更像放大器:好的工程体系会被放大,坏的工程习惯也会被放大。
AI Coding 工具有一个典型风险:它会以非常自信的语气给出错误答案。它可能引用不存在的函数,误解第三方库行为,忽略并发问题,或者生成过度复杂的抽象。
更麻烦的是,AI 的错误常常不是显眼错误,而是隐藏错误。比如权限判断少了一个角色,缓存 key 少了一个维度,金额计算漏了精度处理,重试逻辑导致重复扣款。
这类问题靠“看一眼”很难发现,必须靠测试、审查、日志、监控和灰度发布来验证。
AI Coding 工具会读取代码上下文,有些工具还会连接外部系统、执行命令、调用 API。这带来了新的安全问题。GitHub Copilot 官方说明中提到,生成建议时会使用编辑器中的上下文、打开文件、工作区信息、依赖等内容来形成提示。(GitHub)
这提醒团队必须认真管理数据边界。哪些文件可以提供给 AI?哪些密钥不能进入上下文?哪些命令不允许自动执行?哪些仓库必须隔离?这些问题不能等事故发生后才处理。
AI Coding 工具越强,权限控制越重要。
不要一上来就说:“帮我实现这个功能。”更好的方式是先让 AI 复述需求、列出假设、提出边界情况。
例如:
“请先不要写代码。请根据这个需求列出可能的边界条件、数据状态和失败场景。”
这一步能帮助开发者发现需求漏洞。很多 bug 不是代码写错,而是需求没说清楚。
在 AI 参与开发时,测试应该更靠前。你可以先让 AI 生成测试清单,再生成测试代码,最后再生成实现代码。
这种流程有两个好处:
第一,它让 AI 的目标更明确。 第二,它让人类更容易验证 AI 是否完成任务。
如果没有测试,AI 生成的代码就像没有尺子的木工活,看起来整齐,但你不知道尺寸准不准。
AI 很容易一次生成很多文件的修改。看起来效率高,实际上审查成本很大。更好的方式是把任务拆小:
先改模型层。 再改服务层。 再改接口层。 最后补测试和文档。
每一层都生成 diff,每一层都验证。小步快跑,比一次大改更安全。
每次生成代码后,都可以要求 AI 输出:
| 验证项 | 说明 |
|---|---|
| 改了哪些文件 | 帮助快速定位影响范围 |
| 为什么这样改 | 检查设计理由 |
| 有哪些风险 | 提前暴露不确定性 |
| 如何测试 | 建立验证路径 |
| 是否有替代方案 | 防止过早锁定错误方案 |
这不是让 AI “自证清白”,而是让它提供审查材料。最终判断仍然属于开发者。
无论 AI Coding 工具多强,人类都必须承担最终责任。因为软件系统服务的是现实业务,而现实业务往往包含隐含规则、组织约束、法律要求和用户体验。
AI 可以帮你更快到达一个候选答案,但不能替你承担上线后果。
不会简单取代,但会改变程序员的工作内容。低价值、重复性的编码工作会减少,而需求分析、系统设计、代码验证、测试策略和安全审查会变得更重要。
因为 AI 已经让代码生成速度大幅提高,但生成速度越快,验证压力越大。真正决定软件质量的,不是代码是否被写出来,而是它是否正确、安全、可维护,并能在真实环境中稳定运行。
不建议。AI 生成代码必须经过测试、代码评审、安全检查和必要的人工判断。尤其是支付、权限、隐私、医疗、金融等高风险场景,更不能直接上线。
重点提升四种能力:问题定义能力、系统设计能力、测试验证能力和代码审查能力。会写 prompt 很有用,但更重要的是知道如何判断 AI 的答案是否可靠。
先建立规则。包括代码访问权限、敏感数据处理、PR 审查流程、测试要求、分支策略和安全边界。没有规则的 AI 编程,很容易从提效工具变成风险来源。
AI 生成测试很有帮助,但不能完全依赖。它适合扩展测试思路、补充边界场景和生成基础测试代码。不过,测试是否覆盖真实业务风险,仍然需要开发者判断。
需要。AI 可以帮你写代码,但如果你不懂基础,就无法判断代码是否正确。基础能力越扎实,越能高效使用 AI;基础越薄弱,越容易被 AI 的错误带偏。
AI Coding 工具确实让写代码更快了,但这只是表层变化。更深层的变化是,软件开发的中心正在从“生产代码”转向“验证代码”。
未来的开发者不再只是比谁写得快,而是比谁更能定义问题、拆解风险、设计测试、审查变更、理解系统,并对最终结果负责。
AI Coding 工具真正改变的不是写代码,而是验证代码。当代码变得容易生成,正确性就变得更加珍贵;当实现变得便宜,判断就变得更有价值。
真正会用 AI 的开发者,不是把 AI 当成自动打字机,而是把它当成高效的工程协作者。让 AI 生成,让测试说话,让评审把关,让人类负责最终判断。这,才是 AI Coding 时代更成熟、更可靠的开发方式。