使用 AI 编程工具（如 GitHub Copilot, ChatGPT, Cursor, Claude 等）确实能极大提升效率，但它们也带来了新的风险和挑战。

可以将 AI 看作是一个**“知识渊博但偶尔会撒谎、且不懂公司机密的实习生”**。在使用时，需要重点关注以下五个维度的注意点：

1. 准确性与“幻觉” (Trust but Verify)

AI 最核心的问题是它可能会一本正经地胡说八道。

• 警惕“幽灵依赖”： AI 经常会捏造不存在的库、函数名或参数。即使代码看起来逻辑完美，运行时可能会报错 ImportError 或 Method Not Found。

• 过时信息： 大多数模型的训练数据有截止日期。对于此时之后发布的新框架特性（如 Next.js 14+, Vue 3.4+ 的新语法），AI 可能会提供过时的写法。

• 逻辑陷阱： 在处理复杂的算术逻辑、边界条件（Off-by-one error）或并发问题时，AI 生成的代码往往缺乏严谨性。

对策： 永远不要直接提交 AI 生成的代码。必须经过运行、单元测试验证和人工 Code Review。

2. 安全与隐私 (Security First)

这是企业级开发中最严重的红线。

• 密钥泄露： 绝对不要将 API Key、数据库密码、私钥或服务器 IP 地址粘贴到对话框中。

• 代码泄露： 如果你使用的是公共版 AI 服务（非企业私有部署），你的专有代码可能会被用于训练模型，导致知识产权泄露。

• 安全漏洞： AI 倾向于生成“能跑通”的代码，而不是“安全”的代码。它可能会写出包含 SQL 注入、XSS 漏洞或硬编码凭证的代码。

对策： 使用工具前检查隐私设置（如关闭“Chat History & Training”）；在 Prompt 中对敏感信息进行脱敏（用 [API_KEY] 代替真实值）；使用安全扫描工具（SAST）扫描 AI 生成的代码。

3. 代码质量与可维护性 (Technical Debt)

AI 容易导致代码库的“熵增”（变得混乱）。

• 风格不一致： AI 可能会在同一个项目中混用不同的命名规范（驼峰 vs 下划线）或代码风格，导致代码难以阅读。

• 过度工程与冗余： AI 有时会生成冗长、复杂的解决方案，而实际上只需要一行标准库函数就能解决。

• 忽视上下文： 如果不给足上下文，AI 可能会重复造轮子，而不是复用你项目中已有的工具类或组件。

对策： 即使使用了 AI，也要严格遵守项目的 Lint 规则和架构规范。要求 AI “根据现有的代码风格”来生成代码。

4. 自身能力的退化 (The "Co-pilot" Trap)

长期无脑依赖 AI 会导致开发者自身能力的退化。

• 阅读能力 vs 编写能力： 如果你只 Review 不写代码，你的编程“肌肉记忆”会消失，导致你无法独立通过面试或解决紧急 Bug。

• 丧失对底层的理解： 遇到复杂 Bug 时，如果你不理解 AI 生成的代码底层的原理，你将无法调试。

• 盲目自信： 容易产生“我看一眼觉得是对的”这种错觉，从而跳过深度思考。

对策： 对于核心逻辑或复杂的算法，尝试先自己写伪代码或设计思路，再让 AI 补全细节；遇到不懂的代码片段，必须问 AI “为什么这么写”并彻底搞懂。

5. 提示词工程 (Context is King)

AI 的输出质量完全取决于你输入的质量（Garbage In, Garbage Out）。

• 上下文缺失： 仅仅问“怎么写一个登录功能”效果很差。你需要提供技术栈（React/Vue?）、使用的库（Redux/Zustand?）、UI 库版本等信息。

• 任务拆解： 不要试图让 AI 一次性写出整个复杂的微服务架构。

• 迭代思维： AI 很难一次全对。需要学会通过多轮对话引导它修正错误。