🔎审查、审计、加固
agent 写得飞快, 您的本职因此变成了把关。审查 diff、审计质量、把安全过一遍筛子的好做法,配合 Claude Code 或任意 agent 都适用。
一个 agent 出代码的速度快得离谱。这是它的强项, 也正是这一点把您的角色挪了位。您不再是逐行敲代码的那个人;您是把关核对的那个人。一段生成得又快又多、还自信满满的代码,值得和手写代码一模一样的审查认真劲儿。也许更甚,因为 agent 从不怀疑自己。
好消息是:agent 同时也是一个出色的核对工具。我们把它掉转过来对付它自己的成果。下面这三道关,请当成条件反射。
1. 系统性地审查 diff
那条已经在本站随处遇到的金科玉律:接受之前先读 diff。git diff 会精确地告诉您改了什么。您只放行您看懂的部分;其余的,您就追问「为什么这么选?」。
但您也可以把第一道关交给一个专职 agent, 一个审查员,去抓那些疲惫的眼睛会漏掉的东西:
Claude Code 提供了内置的 diff 审查,您还能把它做成自己的命令(一个 /review 技能,见 技能):
/review
或者用自然语言要求它:「把当前 diff 跟基准分支比对一下,按 文件:行号 列出 bug 和回归,没有我的同意不要改任何东西」。
2. 质量审计
bug 之外,还有代码的健康度:它可读吗、好维护吗、有测试吗?定期要一次质量审计, agent 很擅长发现那些正在悄悄腐烂的东西:
- 重复和死代码, 该抽取的复制粘贴,不再被用到的函数。
- 复杂度, 又臭又长的函数、读不下去的嵌套、那些拆开会更好的部分。
- 命名和一致性, 误导人的名字、各行其是的约定。
- 测试覆盖, 那些没被测、却本该被测的部分。
3. 安全审计
这是最常被跳过的一道关, 也是被忽视时最伤人的一道,尤其在一台从外部可达的机器上。在把任何东西放上线之前,明确地要求一次安全审查:
跑一次有针对性的审计
「对这段代码做一次安全审查。查找:注入(SQL、命令)、明文密钥、有漏洞的依赖、未校验的输入、过宽的权限,以及一切无需认证就暴露在外的东西。按严重程度分级。」
敏感点亲手核一遍
agent 的审计帮您把大头清掉,但要紧的部分您自己再交叉核对一遍:代码里没有任何密钥(见 保护访问安全)、用户输入都做了转义、没有任何不该公开的东西被公开暴露。
盯紧依赖
一半的漏洞来自第三方库。让 agent 去核对版本、报出已知漏洞,并把您的依赖保持在最新。
把它变成习惯,而不是苦差
诀窍在于,只要您把这三道关自动化,它们几乎不花您什么力气。把它们做成您一条命令就能触发的 技能(/review、/audit、/security),或者做成每次上线前的固定步骤。很多 agent 已经自带现成的审查命令了, 用上它们。