AI 不只是写代码：一套完整的 AI 安全审查流程

本文介绍一套使用 AI 进行代码安全审查的完整流程。不是让 AI 随便扫一遍，而是让它像安全检查员一样，先理解项目，再找问题，再复查，再修复。

为什么需要 AI 安全审查

以前说 AI 编程，更多是让 AI 帮我们写代码。但现在 AI 编程进入另一个阶段：帮你检查代码有没有危险。这里说的危险不是代码写得丑，而是用户能不能绕过权限、别人能不能看到不该看的数据、上传文件会不会出问题、接口有没有忘记登录校验等。

绝大多数小团队并没有专门的安全团队，很多项目上线前最多自己点一点就发版了。真正危险的地方往往不是页面能不能打开，而是某个接口有没有多查了一条数据。

完整审查流程

第一步：让 AI 看懂项目

不要直接问"帮我找漏洞"。先让 AI 了解项目结构、用户入口、外部输入点、涉及权限/文件/数据库/密钥的位置。

第二步：列出最值得检查的 10 个位置

登录接口、注册接口、权限判断、后台管理、文件上传、文件下载、数据导出、支付回调、Webhook、数据库查询、命令执行、密钥处理等。

第三步：逐个检查重点位置

检查权限绕过、越权读取数据、危险文件上传、路径遍历、命令注入、敏感信息泄露、身份校验缺失等。

第四步：让 AI 自我反驳

假设所有问题都是错的，逐个寻找反证，过滤误报。这是最重要的一步。

第五步：问题分级

第一类必须马上修，第二类近期修，第三类记录后续处理。

第六步：先写测试再修复

针对每个问题先写一个失败的测试来证明问题存在，再让 AI 修代码。

第七步：控制修复范围

只修当前问题，不重构无关代码，不破坏原有功能。

第八步：重新检查

确认问题是否真的修掉、有没有漏修类似位置、有没有引入新问题。

第九步：生成安全报告

包含检查范围、已确认/已修复/待处理问题、下次检查建议。

总结

这套方法解决的不是"AI 能不能发现所有漏洞"，而是让普通开发者也能拥有一套基本的安全检查习惯。每次发版前让 AI 过一遍登录、权限、文件上传、数据导出、支付回调、后台接口这些地方，成本很低，但收益很高。