大龄转行程序员的AI辅助开发避坑指南

去年这个时候，我还在东莞的一家传统制造厂里写着祖传的C#上位机代码，每天和PLC打交道。如今三十而立，我硬是顶着发际线后移的风险，转行来到了深圳南山，成了一名后端程序员。每天挤着地铁1号线去科兴科学园上班，手里捧着公司配的MacBook Pro写代码，但为了测试一些老旧的Windows客户端兼容性问题，还得默默开着Parallels Desktop跑个Win10虚拟机。

说实话，三十岁转行，在这个卷出天际的互联网圈子里，多少有点“地狱开局”的味道。为了不被优化，也为了对得起自己死磕的架构设计和代码质量，我最近疯狂在技术探索上找突破口。今天就想和大家聊聊，我这半年在实际项目中摸爬滚打，总结出来的一些AI辅助开发经验，特别是关于安全合规方面的那些坑。

上周五晚上快十一点，产品经理突然在钉钉上戳我，说老板拍脑袋加了个营销H5的需求，要求用户上传商品图，自动生成带营销文案的海报，周一早上必须上线。听到“这个需求很简单”这几个字，我当时的血压就上来了。但吐槽归吐槽，活还是得干。

面对这种典型的图文处理需求，我果断引入了生成式AI来提效。业务核心是理解图片内容并生成文本，这就必须用到多模态大模型的能力。一开始我图省事，直接把前端传过来的图片转成Base64塞进Prompt里发给大模型。结果你猜怎么着？稍微高清一点的图，直接给我报了个 Request Entity Too Large，网关直接把请求掐了。

当时看着满屏的报错日志，我真想直接把MacBook砸了。冷静下来后，我重新梳理了架构。对于多模态请求，绝对不能在前端直接转Base64传给后端再去调AI。正确的做法是后端先接收图片，上传到OSS，然后生成一个带签名的临时URL，把这个URL传给多模态模型。同时，为了防止恶意用户传一些违规图片，我还在上传链路里加了一层内容安全审核（鉴黄鉴暴）。做技术，安全意识必须刻在骨子里，尤其是涉及用户UGC（用户生成内容）的场景，一旦出了合规问题，整个团队都得跟着背锅。

搞定了图片理解，接下来就是写后端接口了。为了赶进度，我尝试用 Codex 来辅助生成一些CRUD代码和单元测试。不得不说，这玩意儿写样板代码确实是一把好手，几行注释就能把Controller和Service层的骨架搭出来。

但我必须狠狠吐槽一下，AI生成的代码在安全校验上简直是不及格的！上周五我用Codex生成了一段处理用户积分兑换的接口，它居然没有对传入的 userId 做越权校验，也没有对 points 参数做负数拦截。如果直接上线，黑客随便写个脚本传个负数，公司的积分池分分钟被薅秃。

这让我深刻意识到，AI只是个高级打字员，它不懂我们的业务上下文，更不懂公司的安全红线。作为关注代码质量的开发者，Review AI生成的代码必须比Review同事的代码还要严格。后来我专门在团队里推了一套AI代码安全审查规范：

除了写代码，这次H5活动还需要一批高质量的营销背景图。前端小哥实在画不出来，我就自掏腰包充了 Midjourney 的会员来帮忙“抽卡”。有一说一，MJ出图的质量确实顶，我输入“赛博朋克风格，深圳平安金融中心，霓虹灯，高质量”，几秒钟就出了一张极具视觉冲击力的背景。

不过用Midjourney也有踩坑的地方。它生成的图片里经常会带一些莫名其妙的乱码英文字母，后期还得用PS去抹掉。更关键的是，作为商业项目，直接用AI生成的图存在版权争议风险。后来我和法务部对齐了一下，最终决定只把MJ生成的图作为设计参考，让UI设计师在此基础上进行二次创作和重绘，确保版权干净。这也算是我在这种大厂生态链公司里学到的一课：技术探索不能脱离商业合规。

回过头来看这半年的转行生活，从传统行业跨界到互联网，最大的感受就是技术迭代太快了。生成式AI、多模态这些概念满天飞，各种新工具层出不穷。但越是这个时候，越要保持清醒。

工具终究只是工具，Codex能帮你写代码，但设计不出高内聚低耦合的系统架构；Midjourney能帮你出图，但给不了你符合品牌调性的视觉规范。作为程序员，我们的核心竞争力永远是对业务的深刻理解、对架构的合理设计，以及对代码质量的极致追求。当然，还有一条绝对不能碰的红线，那就是安全意识。

不说了，产品经理又催着对需求了，我得去把Parallels Desktop里的Windows客户端重启一下，看看那个该死的IE兼容Bug修复没。祝大家在这个AI时代，都能保住饭碗，少写点Bug，准点下班！