如何审计 AI 生成的代码是否具备生产环境质量？

解决 AI 编程中“代码能跑但不可靠”的痛点：通过一套严苛的七维审计框架，快速揪出 AI 生成代码中隐藏的安全漏洞、鲁棒性缺陷和架构风险，确保代码在上线前达到生产标准。

为什么需要这个技能

在“Vibe Coding”（凭感觉编程）或重度依赖 AI 辅助开发的流程中，AI 倾向于生成能够快速跑通 Demo 的代码，但往往会忽略生产环境的复杂性。例如：缺乏超时处理的 API 调用、被忽略的异常捕获、硬编码的密钥或难以维护的巨型函数。

如果直接将这些代码推向生产，可能会导致难以排查的内存泄漏、安全漏洞或在用户量增长时迅速崩溃。本技能通过模拟高级软件架构师的视角，将“它能运行”的主观感受转化为“它足够健壮”的客观量化指标。

快速扫描（Quick Scan）：在 60 秒内统计文件规模，识别语言框架，搜索明显的红线问题（如 eval()、硬编码 Token、裸 except 块）。
七维深度审计：
- 架构与设计：检查层级边界是否清晰，是否存在“上帝对象”或循环依赖。
- 一致性与可维护性：检查命名是否统一，是否存在重复逻辑或过度抽象。
- 鲁棒性与错误处理：验证所有外部调用是否有超时和重试机制，边界输入是否合法。
- 生产风险：识别 N+1 查询、异步环境中的阻塞 I/O 以及缺失的健康检查。
- 安全与防护：排查 SQL 注入、路径遍历及不安全的反序列化。
- 死代码与幻觉：找出未被调用的函数、不存在的库引用或与代码行为不符的注释。
- 技术债热点：定位嵌套过深（>4 层）或参数过多（>5 个）的重构候选区。
量化评分与报告：根据发现的问题严重程度（Critical $\to$ Low）扣分，输出一个 0-100 的生产就绪分数（Production Readiness Score），并提供优先级排序的修复清单。

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

暂无推荐