30条安全规则：“凭感觉编程”的时代结束了

红黑白蓝

【30条安全规则：“凭感觉编程”的时代结束了】


快速导读：一篇热帖列出了30条开发者为追求速度而忽略的安全规则，引发了程序员的集体共鸣与恐慌。但讨论的深层价值在于揭示了一个更残酷的真相：问题不在于你忘了哪条规则，而在于“凭感觉编程”这个思维模式本身，正让你亲手为未来的攻击者搭建完美的犯罪现场。

---

网上流传着一份清单，叫“每个凭感觉的程序员（Vibe Coder）都会忽略的30条安全规则——直到被烧到为止”。

列表很具体，从“不在localStorage存敏感数据”到“强制HTTPS”，条条扎心。评论区像大型忏悔现场，有人说“说实话我跳过了一半，直到看到安全审计通知才开始恐慌”，还有人立刻把这30条丢给Claude，问它“我们都做到了吗？”

这很正常。追求速度，先让产品跑起来，技术债以后再说。我们把这种行为美化为“敏捷”和“Vibe Coding”。

但一条高赞评论把温情脉脉的遮羞布扯了下来：

“大多数凭感觉的程序员，以为风险只是bug或宕机。真正的风险是：你快速推进，产品有了起色，然后你才意识到，你的安全模型也纯粹是凭感觉——而此刻，攻击者已经成了你产品最快的‘超级用户’。”

这句话才是关键。你以为的安全问题，是未来需要修复的清单。但现实是，你为吸引用户而搭建的通路，同样也为攻击者敞开了大门。当你为日活破万庆祝时，他们可能正在你的数据库里自由漫步。

更深一层，另一位开发者一针见血地指出，迷信“30条规则”这样的清单本身就是个陷阱。它让人觉得安全是一堆可以死记硬背的孤立技巧。

真正的安全感，来自良好的系统默认值、清晰的边界和严格的审查习惯。团队出事，很少是因为忘了某个请求头，而是因为他们发布了一个自己都一知半解的功能，或者过度信任了前端，暴露了太多不该暴露的数据。

所以，把这30条规则当成一个提示词喂给AI，并不能让你高枕无忧。这和“凭感觉编程”的思维是一体两面：都试图用一个简单的动作，去绕过一个复杂的系统性问题。

所以，真正的问题或许不是“这30条我做到了几条？”

而是，“凭感觉编程”究竟是帮你快速成功的资产，还是你亲手写下的、最精密复杂的定时炸弹？

---

简评：

所谓的“Vibe Coding”，不过是“技术债”这个老概念换了个时髦的说法。它最大的骗局在于，让开发者误以为这是一种“工作流”，而忽略了它本质上是一种“风险敞口”。当你的用户量达到某个临界点，这个敞口就会从一个涓涓细流的漏洞，变成一个吞噬一切的黑洞。

---

ref: x.com/Hartdrawss/status/2031664173780701525

##