安全与隐私最佳实践

AI 协作不能忽视安全与合规。保持最小暴露、最小权限，避免把敏感信息泄露给模型或日志。

处理凭证与密钥

• 不在对话中直接粘贴 API Key，用占位符 YOUR_API_KEY 或引用 .env。
• 让 AI 生成 .env.example，并在代码中使用 process.env 读取。
• PR 前检查没有把 .env、*.pem、数据库导出等文件加入版本库。

数据与日志

• 对涉及用户数据的请求，要求 AI 避免记录原始 PII，必要时做脱敏。
• 明确日志级别：Debug 信息不要包含用户输入；错误日志仅保留必要字段。

供应链与依赖

• 要求 AI 声明新增依赖的版本和许可（MIT/Apache/GPL 等），并解释引入理由。
• 对可疑包让 AI 查官方链接或建议替代方案，避免 shadow package。

权限与最小可用

• 后端接口要检查鉴权；前端调用敏感接口时确保 token 处理安全。
• 让 AI 在改动前后列出安全风险清单，确保没有放大权限范围。

练习

让 AI 评审最近一次提交的依赖变化，列出潜在安全问题与合规风险，并给出修复建议或更安全的替代方案。