AI 工作验收助手
来源:亲子成长记施工包
你怎么跟AI配合.md §4 如何验收 AI 的工作,已抽离项目名,成为通用方法论。
这是什么
每次 AI 汇报"做完了",用户往往不知道怎么验证。本技能把验收变成一套四维度可执行清单,并提供一个脚本自动扫描最常见的安全/一致性隐患,输出 PASS / WARN / FAIL 报告,附带安全评分。
脚本自带 --self-test,可自建一份含漏洞的样例工程证明它确实抓得到问题——你不必盲信它。
何时使用
- 用户说:"验收一下 AI 的工作" / "AI 说做完了,帮我看看" / "检查 AI 代码安不安全"
- 用户问:"字段名和接口路径和规划一致吗" / "有没有硬编码的 Key"
- 任何 coding 任务交付后的质量门禁
四维度验收法(核心工作流)
每次验收,依次走这四步,任一步 FAIL 都应打回 AI 重做:
① 功能对不对
- 对照需求文档的"完成标准"逐条核对是否通过
- 用用户自己的真实数据测试,不要只用 AI 给的示例数据
- 边界情况必测:空数据、超大数据、特殊字符
- 主要页面打开不出错,关键操作(保存/提交)有结果反馈
② 字段和接口名是否一致
- 直接问 AI:"你用的字段名和接口路径,和需求/规划文档里定义的一样吗?"
- 不一致就让它改回规划里的命名,不接受 AI 自行创造的命名
- 若提供了规划文件(如接口清单),用脚本比对代码中实际出现的路径
③ 代码安不安全
- 让 AI 展示关键代码,检查有无硬编码的密码 / API Key / Token
- 检查
.env是否被提交到代码库(.gitignore必须含.env) - 看不懂就让 AI 用大白话解释敏感部分
- 用脚本
acceptance.py自动扫 secret 模式 + gitignore 检查
④ 有没有破坏已有功能
- 每次 AI 改完代码,把之前测过的功能再测一遍
- 之前好用的功能突然不好用,立刻反馈给 AI
脚本用法
# 0) 先证明扫描器自己好使(推荐第一次用前跑一次)
python acceptance.py --self-test
# 1) 全量扫描代码目录:硬编码密钥、.env 是否入库、接口路径比对
python acceptance.py \
--code <项目目录> \
--spec <可选:规划/接口清单文件,用于比对路径> \
--report <输出 md 路径>
# 2) 只扫 git 本次改动(更贴近"AI 刚改完"的场景)
python acceptance.py --code <项目目录> --diff
# 3) 机器可读结果(接 CI / 其他脚本)
python acceptance.py --code <项目目录> --json
扫描覆盖:硬编码密钥(API Key / Secret / Token / 密码 / AWS / GitHub / Slack / JWT / 微信 appsecret / 私钥块 / 高熵串)、.env 是否入库、接口路径与规划偏差。
脚本会输出一份 markdown 验收报告,含四维度结论、每条 PASS/WARN/FAIL,以及安全评分(机械项 0-100)。
输出物
- 四维度验收清单(可勾选)
- 一份
验收报告.md:自动扫描结果 + 人工核对待办 + 总体判定(可发布 / 需返工)+ 安全评分
注意事项
- 脚本只能查"能机械扫描的"(明文密钥、.env 入库、路径偏差);功能正确性、是否破坏已有功能仍需人工或真实数据测试,脚本不替代。
- 不要把
.env真实值交给 AI;脚本只检查"是否存在于代码中",不读取 .env 内容。 - 本技能是"门禁",不是"测试替身"——它帮用户问对问题、查对隐患,最终判定权在用户。