当前阅读总时间是：18,228.5小时

你今天还差多少达成目标	21小时
ChatGPT使用时长	1494小时
冥想时长(本月)	695.00(2.75)小时
你已经读了多少本书	3557本

阅读全文 »

1

八月阅读不及预期。原定目标看书300小时，实际看书267个小时。

阅读目标没有达成的主要原因是我换了个工作。到了新工作单位，一切都要从头开始适应，也就没有那么多空闲时间看书。现在已经适应了大半个月，相信九月会开始步入正轨。

冥想仍旧不理想。上个月冥想21小时，创历史新低。

不过现在重新开始上班，又要面对工作压力，需要冥想的次数会多得多。也就是说，这个月的冥想时间会变多。

接下来，我跟大家分享一下我换了新工作之后的感受。

2

换了新工作之后，健身还是有坚持下来。

我六月初开始健身。那时候处于gap期间，时间多的是。八月十一号入职，我担心没时间健身，或者坚持不下去了。结果并没有。

整个八月份，我一共健身了25天。比上个月的18天，足足多了7天。上班并没有让我减少健身，反而让我对健身产生了“依赖”。

现在的单位十点上班。我一般会在8点15分到健身房，锻炼一个小时。如果当天有锻炼，一整天上班都不会很累。尤其是工作一段时间之后，站起来走两步，能感受到肌肉的微微酸痛，以及因为酸痛而产生的各种舒缓物质，例如内啡肽、多巴胺等等。

有那么一两天，我没去健身房锻炼。哪怕多睡了一会儿，早上上班还是会犯困，没精神。上班的精力明显不够集中，下班之后会感觉累的多。

我现在已经坚持健身快3个月。直觉告诉自己，我已经进入了“坚持循环”。不需要多费劲，我就能继续坚持下去。重申一次我的中长期愿景——两年后健康状况明显改善，二十年后生理年龄低于实际年龄五岁以上。

3

到了新公司之后，一个惊喜就是可以用AI辅助编程了。

新公司的电脑是最新款的Macbook Pro，还允许安装ChatGPT和Cursor。我新的工作日常就是用ChatGPT做我的任务管理助手，跟它讨论新需求的设计方案。方案确定之后，就用Cursor的agent模式来做编程。用现在流行的说法，就是Vibe Coding。

Vibe Coding是这样的——

第一步：我把要实现的功能跟Cursor说，让它讲一讲它的理解是怎样的，准备如何写代码。
第二步：在确认了Cursor的理解是对的之后，我会让它开始生成和修改代码。
第三步：我会逐行检查和理解它所生成和修改的代码，并且进行测试。如果有问题，就会让它进行修改，直到没问题为止。

这就好比我有一个下属，我不用自己写代码，活儿都交给他干。我所需要做的就是，做好顶层设计，规划好实现路线，在他写完代码之后做检查和测试，给他提修改建议，确保最后的代码是没问题的。

这让我重新燃起了对编程工作的激情。我现在觉得编程很有意思，很好玩。我会很关心现在大模型的进展，尤其是AI辅助编程方面的改进。

一个行业，越是能让AI介入，就会发展得越快。

4

我用了十几年的番茄土豆APP，关停了。

番茄土豆APP，我主要是用来统计我的阅读时间。我在半年前就有危机意识，没来由地怕它不运营了，我就没有工具来继续统计看书时长。于是我就在ChatGPT的帮助下，写了一个网页demo来做番茄土豆APP的备胎。

万万没想到，八月中旬这个APP真的就没预兆地停止运营。我用DeepSeek查了一下，番茄土豆APP的所属公司已经注销了。

在Cursor的帮助下，我用了一个晚上来让备胎转正。经过几天的使用和小幅度迭代优化，现在新应用已经完美满足了我对统计看书时间的需求。

在这件事上，我突然多了一点对信息技术的感悟——所谓信息技术，其实也是一种叙事哲学，就是决定哪些有意义的信息，并且记录下来。

这个世界上每时每刻都会产生无数的信息，能保存下来的可能不到百万分之一。就拿我们个人来说，每天遇到那么多人，说了那么多话，碰到那么多事，我们能记住多少呢？我们只能记住，或者说想要记住那些对我们来说有意义的事情。

对我而言，阅读就是最有意义的一件事。记住在什么时候，看过什么书，对我来说非常重要。我会把这些数据集中在一起，在每个月结束的时候，用一篇月报来总结过去一个月的阅读情况。我会在每一年生日的时候，回顾这一年的阅读历程。从2016年到2025年的整整十年时间，我积累了整整十年的数据。

这些数据，不仅仅是数据，还是我的叙事基础。我会根据这些数据，画出一条折线图。线上的每个点，横坐标表示时间，纵坐标表示阅读时长。折线的高低起伏，就是我的状态起伏；折线的每个明显转折，对应着我人生的每个重大时刻。

没有信息技术，没有番茄土豆这个APP，我不可能积累前面十年的数据。没有AI，没有辅助编程技术，我很可能不会在APP关停之后做出新的应用，继续积累后面几十年的数据。

没有这些数据，很可能我就讲述不了这个版本的人生故事。

5

前面讲的三件事情，其实都跟阅读有关系。

健身给我带来好身体，让我更好地读书。

AI辅助编程让我对程序员的工作重新燃起激情，激发我的学习欲望，也就会有更多的阅读和思考。

也是因为有了AI辅助编程，我会更留意个人生活中对信息技术的需要，选择把哪些信息给保存下来，讲述我的人生故事。要做好这些，我必须继续学习，继续阅读。

截至2025年8月31日，我一共阅读了18196小时。预计会在2026年4月20日，完成第二个10000小时，也就是总共20000小时的阅读目标。

九月份的阅读目标是560个番茄时间，也就是280个小时。

《检视AI生成代码》

发表于 2025/08/29 | 分类于 AIGC

``
特别说明：此文由ChatGPT生成，后续由我本人编辑、修改而成。
``

副标题：为AI生成代码负全责的30条最佳实践

为了在使用 AI 辅助生成代码（如借助 Cursor、ChatGPT、IntelliJ IDEA 等）时依然对代码质量和可行性负全责，以下整理了30条具体可执行的最佳实践，涵盖了开发全过程（提示编写、代码理解与验证、调试、测试、重构、部署与维护），特别针对Java Web开发及 Web3 支付场景。通过这些建议，开发者可以在AI生成方案和代码后真正理解其逻辑，并能够独立评估、验证、调试、改造代码。

第1条：明确需求，提供完整上下文

核心原则：在向AI（Cursor / ChatGPT）请求代码或方案时，描述越清晰、上下文越完整，AI生成的代码就越可控、越高质量。

这一条是30条实践中最重要的基础，因为它直接决定了 AI输出的可用性、逻辑正确性 和 可维护性。在Java + Web3支付的场景中，尤其如此。

1. 为什么要“明确需求+完整上下文”

AI生成代码并不是“理解”你的需求，而是通过大语言模型在 “概率空间中预测最合理的续写”。
如果你的提示（Prompt）模糊、缺少上下文，AI会自行“脑补”：

幻觉API：生成不存在的类、方法或SDK
错误假设：默认你用的数据库是MongoDB，而实际上你用的是PostgreSQL
安全隐患：漏掉Web3支付中的签名验证、参数校验

在支付场景里，这些错误不仅导致bug，还可能直接造成 资金风险。

2. 背后逻辑

可以用一句话总结：

AI擅长“续写”，不擅长“猜测”。
你提供的上下文质量，决定了AI输出的质量。

具体原因有三点：

AI是“基于上下文的模式匹配器”
1. 如果缺少上下文，AI会默认“最常见模式”，而不是“最适合你项目的模式”。
AI没有实时的项目知识
1. 它不了解你项目的目录结构、命名约定、数据模型，你不告诉，它就瞎猜。
越高风险的业务，越需要明确约束
1. Web3支付涉及签名、加密、KYB/KYC、回调等，AI不能自动推断这些要求，必须显式告诉它。

3. 最佳实践清单

✅ 在Prompt中提供：业务背景 + 技术上下文 + 输出要求
✅ 提供现有代码、DTO、数据库表结构等作为“范例”
✅ 明确性能、安全、日志等硬性约束
✅ 在Cursor用“文件引用”或“Ask Cursor”来传上下文
❌ 不要只写一句“帮我写个接口”
❌ 不要假设AI知道你项目的结构、命名和约束

4. 扩展思考

4.1 如果上下文太大怎么办？

分多轮传递：先给高层业务背景，再补细节
让AI总结你的文档：用ChatGPT生成精简版上下文
维护Prompt模板库：把高频任务的Prompt标准化，随取随用

4.2 提高可维护性

当同一个功能有多个子场景（如支付、回调、KYB认证），推荐把Prompt写在一个Markdown文件里，按需复用，提高上下文一致性。

5. 本章总结

核心观点：

AI输出的上限 = 你输入的下限。
提供的上下文越清晰，AI的答案越接近可用代码。
一句话记忆：

“不要让AI猜你的需求，要让它知道你的世界。”

第2条：指定角色和风格，控制AI输出一致性

核心原则：通过在 Prompt 中明确指定 AI 的“角色”和“代码风格”，可以大幅提高生成代码的专业性、一致性和可维护性。

在 Java + Web3 支付的开发场景中，指定角色与风格尤为关键，因为涉及安全、性能与团队规范的严格要求。

1. 为什么要“指定角色和风格”

没有角色设定时，AI倾向生成“最常见”的通用写法，而非你业务所需的专业实现。
项目里往往已有统一的 DTO、日志、异常处理与命名约定；不声明风格会导致输出与现有代码割裂，增加返工成本。
Web3 支付涉及签名、回调、合规、审计等高风险环节；不设定角色与风格，AI更容易忽略关键安全点。

2. 背后逻辑

让 AI 知道“自己是谁”与“应当如何写”，是在概率模型上为其收敛到正确分布设置“强先验”。

专业性先验：给定“资深 Java 后端工程师/支付安全专家”等角色，模型会优先采用该领域常见且更稳健的做法。
风格一致性先验：明确“遵循现有 DTO、日志、异常、命名规范”，可减少与项目不一致的输出。
风险收敛：在高风险业务（支付/加密）中，通过角色与风格约束，显著降低“幻觉 API”“拍脑袋的设计”的概率。

3. 最佳实践清单

✅ 在 Prompt 中显式指定 AI 的角色（如“资深 Java 后端工程师，熟悉 Web3 支付与 Spring Boot”）。
✅ 在 Prompt 中附上团队代码风格示例（DTO、日志规范、异常处理器的名称与用法）。
✅ 明确要求“与现有项目保持一致”，避免混用命名风格与错误处理方式。
✅ 将团队规范提炼为固定模板，在所有 Prompt 中复用。
❌ 不指定角色 → 输出过于通用，忽略安全与事务等关键点。
❌ 忽略团队规范 → 返回格式、日志、异常处理各自为政，后期改造成本高。

4. 扩展思考

4.1 不同角色对输出的影响

“资深 Java 后端工程师”：更重视事务边界、异常语义与分层设计。
“Web3 支付专家”：更关注签名算法、重放防护、回调验签、幂等性与合规。
“代码审查员”：偏向安全与质量清单式检查。
“系统架构师”：更擅长抽象 API 边界、模块依赖与数据流。

4.2 可复用的 Prompt 模板（示例，直接粘贴即可）

你是一名资深 Java 后端工程师，熟悉 Web3 支付、Spring Boot、MyBatis 和 JJWT。
请严格遵循以下代码规范：

控制器返回统一 DTO（与项目现有结构一致）
1. 业务日志使用 AuditLogService
2. 异常由 GlobalExceptionHandler 统一处理
3. Mapper 层使用 XML，不使用注解 SQL

5. 本章总结

核心观点：
“让 AI 知道它是谁，并按谁的风格写”，是把输出收敛到可用、可维护、可审计范式的关键。
一句话记忆：
“指定角色 → 输出更专业；约定风格 → 输出更一致。”

第3条：拆解任务，分步交付

核心原则：将复杂需求拆解为可控的小任务，让AI在每个步骤专注于单一目标，从而提升输出的准确性、可理解性和可维护性。

在Java + Web3支付开发中，接口逻辑通常涉及加密、签名、回调、数据库操作等环节，如果一次性让AI生成整块业务逻辑，错误概率和返工成本都会非常高。

1. 为什么要“拆解任务，分步交付”

降低错误率
如果一次让AI写太多内容，模型会填补大量“假设”，导致幻觉API、错误设计或忽略边界条件。
便于验证
将任务拆解为单元，使你能够在每个小步骤完成后立即验证正确性，问题不会堆积到最后才发现。
提高可控性
在Cursor或ChatGPT中，每个Prompt的上下文长度有限。如果要求过大，AI会“遗忘”早先关键信息，导致输出混乱。
增强理解与掌控
当你拆分并引导AI生成代码，你自己也会逐步掌握逻辑，最终能为整个方案和实现负全责。

2. 背后逻辑

大任务=多重假设叠加 → 更高错误率
小任务=最小化不确定性 → 更可控

减少信息丢失：AI在长Prompt中会遗忘先前的关键约束，而小任务可确保关键细节完整传递。
可即时反馈：通过“分步生成+分步验证”，可以在第1步发现问题，而不是在第5步返工整个方案。
聚焦单一目标：让AI每次只解决一个问题，避免逻辑被多目标干扰。
利于逐步测试：每一步输出可直接跑通或测试，出错范围可控。

3. 最佳实践清单

✅ 将复杂需求拆解成 3到5 个子任务，每次只交付一个
✅ 在Prompt中只描述当前子任务，不要让AI同时考虑后续实现
✅ 每一步结束后，立即检查输出是否符合预期
✅ 对于关键逻辑，在每个小任务中明确重申必要的约束条件
❌ 不要在一个Prompt里要求“设计架构+写控制器+写Service+写测试”，极易失控
❌ 不要让AI一次性生成成百上千行代码，而不经过任何验证

4. 扩展思考

4.1 建议的分步思路（以Web3支付接口为例）

先生成DTO与请求模型：确保参数命名、类型一致
实现核心加密逻辑：单独让AI生成签名与验签方法
写控制器层：调用Service逻辑并封装返回DTO
写Service层：业务逻辑串联，包括调用KYB、更新数据库、写日志
最后写集成测试：验证整个接口能跑通

这种分步交付方式，每一环都可单独调试与优化，最终组合成可靠的整体方案。

4.2 在Cursor中操作的技巧

选中代码分段交互：在Cursor里选中需要补充的类或方法，请AI只处理选中部分
利用对话分隔：每实现一步，开一个新的“Ask Cursor”，确保上下文集中
可配合注释驱动：先在代码中写好TODO注释，让AI补齐该部分实现

5. 本章总结

核心观点：
“拆解任务，让AI聚焦单一目标，才能让输出可控、可验证、可维护。”
一句话记忆：
“小任务 → 小上下文 → 小风险 → 大可控。”

第4条：喂给AI示例，让输出对齐风格

核心原则：在Prompt中提供现有项目的示例代码、数据结构或接口定义，帮助AI学习并模仿现有风格，从而提升输出的一致性与可维护性。

在Java + Web3支付的开发场景中，团队通常已经有现成的DTO、日志格式、异常处理和数据库约定。如果不给AI这些示例，它会“拍脑袋”生成风格不统一的代码，导致返工量增加。

1. 为什么要“喂给AI示例”

减少风格偏差
AI会基于常见模式生成代码，如果不提供现有示例，返回格式、字段命名、日志规范可能与团队标准不一致。
降低重构成本
如果AI输出的字段、异常、接口风格都与项目不符，后续需要手工大量修改，耗费时间。
提高生成代码的可直接运行性
喂给AI现有项目的DTO、Mapper、日志、异常处理器示例，让AI理解你项目的上下文，生成的代码能更快落地。

2. 背后逻辑

让AI模仿，而不是自由发挥
通过提供示例，将AI的输出从“概率空间中所有可选答案”收敛到“符合你项目风格的子集”。

模式对齐：AI通过Few-shot学习模仿示例，从接口签名、字段命名到异常处理保持一致。
减少上下文歧义：示例让AI明确了解“标准做法”，不需要猜测实现细节。
加速工程落地：AI不再输出需要大幅改造的半成品，而是一次生成符合要求的可用代码。

3. 最佳实践清单

✅ 在Prompt中附上关键示例，如DTO、返回格式、日志、异常处理器等
✅ 在关键约束处加上“遵循现有结构”或“模仿下方示例”的指令
✅ 如果是团队已有的复杂逻辑，可在Prompt中提供核心流程图或接口定义
✅ 在Cursor中选中示例代码，让AI自动获取上下文
❌ 不给示例，让AI自由发挥 → 输出风格杂乱，接口与现有代码割裂
❌ 只口头描述风格，不给真实示例 → 模型倾向于使用常见设计，而非你项目的实现

4. 扩展思考

4.1 示例的类型

DTO与返回结构：统一命名与字段结构，避免后端与前端脱节
异常处理：提供GlobalExceptionHandler示例，避免AI乱写try-catch
日志格式：给出AuditLogService调用方式，让日志结构保持一致
数据库映射：贴现有MyBatis XML，确保SQL风格与Mapper签名保持一致

4.2 在Cursor中高效提供示例

选中本地代码：在Cursor中选中DTO或现有Mapper接口，右键“Ask Cursor”，AI会自动读取上下文
分段喂示例：当上下文过长时，分多轮给出DTO、日志、Service结构，让AI逐步对齐风格
建立Prompt模板：高频任务可在Markdown文件中维护模板，减少重复操作

5. 本章总结

核心观点：
“提供示例让AI模仿，而不是让它自由发挥”，是保证生成代码一致性与可维护性的关键。
一句话记忆：
“给例子 → 模仿 → 风格统一 → 少返工。”

第5条：了解AI的边界，把AI当草稿机

核心原则：AI擅长生成初稿与提供参考，但它并不具备完整的上下文理解与推理能力。将AI的输出视为“可修改的草稿”，而不是“最终答案”，是负责任开发的关键。

在Java + Web3支付开发中，很多接口涉及安全校验、加密算法、合规约束、性能优化等，AI可能无法准确推断这些要求。如果不理解AI的能力边界，就会高估其正确性，导致逻辑错误甚至安全风险。

1. 为什么要“了解AI的边界”

AI并不理解代码
大模型是基于统计的语言预测器，不具备对业务逻辑的真实理解。它生成的代码可能语法正确，但逻辑不对。
AI缺乏你项目的上下文
模型不知道你项目中的特殊规则、内部API、数据库字段和安全约束，除非你显式告诉它。
AI的知识存在滞后性
AI的训练数据有时间限制，某些Web3支付协议、Java框架或安全合规要求可能已经更新，而模型未必知道。
AI可能生成“幻觉”
当Prompt不完整时，AI会根据概率补充缺失信息，生成看似合理但完全不存在的API或字段。

2. 背后逻辑

AI的强项在“生成”，而非“验证”或“决策”。

生成的本质：AI根据上下文和历史数据预测“最可能的续写”，而不是基于完整的程序逻辑推理。
推理的缺陷：AI缺乏全局状态管理能力，它不会像编译器或单元测试一样验证正确性。
最佳策略：将AI的输出作为“初稿”使用，开发者必须基于自己的业务知识与调试验证，对代码进行人工审查、优化与测试。

3. 最佳实践清单

✅ 把AI当作生成“可用草稿”的助手，而不是终极答案
✅ 在接收AI输出后，逐行阅读、理解、验证
✅ 对涉及安全、合规、性能的逻辑，必须手动补充和检查
✅ 对AI提供的外部API、库函数、框架方法，务必查阅官方文档确认正确性
❌ 不要盲目相信AI生成的每一行代码
❌ 不要让AI在未知上下文中“自由发挥”
❌ 不要在未验证前直接将AI生成的代码合并到生产环境

4. 扩展思考

4.1 AI更适合的任务

生成初稿：快速搭建DTO、Controller、测试用例等样板代码
重构建议：优化可读性、简化逻辑
代码讲解：让AI解释复杂逻辑，辅助理解
性能启发：获得不同实现思路，供你参考和评估

4.2 需要谨慎的任务

安全相关实现：如签名算法、权限控制、加密
合规逻辑：KYB/KYC、支付审计、回调验证
高并发性能优化：AI生成的优化建议未必适合你的生产场景
涉及资金或隐私数据的接口：必须额外严格验证

5. 本章总结

核心观点：
“AI是生产力工具，而不是决策者。开发者必须保留最终的判断权。”
一句话记忆：
“把AI当草稿机，而不是终稿机；生成交给AI，验证必须靠自己。”

第6条：先与AI讨论方案，再让它写实现

核心原则：在让AI写代码之前，先与它讨论设计方案、技术选型和实现思路，确保方向正确，再让AI生成具体实现，从而降低返工风险、提高代码可控性。

在Java + Web3支付开发中，接口逻辑通常涉及加密签名、回调验证、合规处理、数据库交互等。如果直接让AI生成完整实现，容易导致设计偏差、忽略约束或出现安全隐患。

1. 为什么要“先讨论方案，再写实现”

避免方向错误
如果没有先讨论设计，AI可能默认采用最通用的模式，导致与项目架构或安全要求冲突。
降低返工成本
先把整体思路讨论清楚，确保数据流、依赖、调用关系符合项目规范，再写实现能避免重复推倒重来。
提高可控性
通过方案讨论，你可以把复杂问题拆解成可控的小块，生成代码时每一步更精确。
确保安全与合规
Web3支付通常要求签名验证、KYB/KYC流程和异常回退。先讨论方案可以显式确认这些约束，避免实现遗漏。

2. 背后逻辑

设计和实现是两个阶段
如果在实现阶段才第一次思考方案，很容易让AI陷入“默认假设”，而不是遵循你的业务约束。

模型的行为偏好：AI会根据最常见的模式填补空白，而非根据你项目的特定规范。
提前暴露假设：通过先讨论方案，你能快速发现AI在安全、性能、日志等方面的潜在错误假设。
建立清晰约束：在方案讨论中显式指出技术栈、日志规范、API返回格式等，确保后续实现保持一致。

3. 最佳实践清单

✅ 在写实现前，先与AI讨论数据流、依赖、接口契约等高层设计
✅ 在Prompt中明确告知当前目标是“设计方案”，而不是直接写代码
✅ 在方案讨论中显式声明安全、性能、日志等硬性约束
✅ 方案确定后，启动新对话，让AI生成对应实现
❌ 不要一上来就要求“写代码”，尤其是高复杂度业务逻辑
❌ 不要让AI在未确认数据流、接口约束的情况下直接生成完整功能
❌ 不要让方案和实现混在一个Prompt中，容易混乱且输出失控

4. 扩展思考

4.1 两阶段Prompt策略

阶段1：方案讨论
- 目标：设计系统流程、模块边界、核心接口、异常机制
- 输入：项目上下文、技术栈、日志规范、DTO示例
- 输出：清晰的分层设计和数据流图
阶段2：实现生成
- 目标：让AI按方案写实现
- 输入：确认过的方案、接口签名、字段定义、依赖
- 输出：可直接跑通的、符合规范的实现代码

4.2 在Cursor中的高效做法

开新线程：在Cursor中单独新建一次“Ask Cursor”，专门用于方案设计，避免混乱
可视化辅助：在讨论中让AI生成架构图、时序图或ER图，帮助你更直观地理解流程
方案锁定后重启对话：确定方案后，新开一个对话让AI从零开始实现，避免之前的探索性信息干扰生成结果

5. 本章总结

核心观点：
“设计在前，生成在后；先和AI对齐方案，再进入实现，能避免大规模返工与逻辑错误。”
一句话记忆：
“先讨论，再实现；先对齐，再落地。”

第7条：拿到代码先读懂：逐行检查逻辑

核心原则：AI生成的代码不是最终答案。无论代码多么完整、格式多么工整，在使用前必须逐行阅读、理解逻辑，确保它符合你的业务需求、项目约定与安全要求。

在Java + Web3支付的开发中，很多功能涉及加密、签名、回调、事务等。如果不先读懂AI生成的代码，就直接复制到项目里，可能会引入严重漏洞、逻辑错误或安全隐患。

1. 为什么要“拿到代码先读懂”

AI代码可能“看似正确”但逻辑错误
模型只是在预测最可能的写法，它不会验证业务正确性。
AI缺乏你项目的特定约束
数据库字段、日志规范、异常处理器、API签名等，它不会主动遵循，除非你显式提供。
Web3支付安全要求高
私钥签名、KYB流程、回调验签、事务幂等性等，一旦实现不当，可能直接导致资金或数据风险。
避免隐形依赖与幻觉API
AI可能调用你项目中不存在的方法或字段，如果不检查，问题会在后期测试甚至上线后才暴露。

2. 背后逻辑

“生成”与“理解”是两个完全不同的任务。

AI不具备真实理解能力：它只是在基于概率续写，看起来合理，但不一定正确。
责任在于开发者：只有你能判断这段代码是否符合业务、安全与性能要求。
逐行阅读是掌控的前提：如果不理解代码，就无法在调试、重构和扩展时做出正确决策。

3. 最佳实践清单

✅ 逐行阅读AI生成的代码，确保理解每个字段、逻辑和方法
✅ 对关键函数写下自己的理解笔记，验证是否符合设计意图
✅ 检查AI生成的类名、方法名、字段名是否与项目保持一致
✅ 对第三方API调用、加密逻辑、异常处理等高风险部分重点审查
✅ 如果有不理解的地方，先问AI解释，再用官方文档验证
❌ 不要盲目复制粘贴整段AI代码到生产项目
❌ 不要假设AI一定使用了正确的API或参数
❌ 不要跳过逻辑理解，直接依赖单元测试验证正确性

4. 扩展思考

4.1 审查代码的四个重点

业务正确性：是否按需求实现了正确的流程
安全性：是否存在未验证参数、签名漏洞或数据泄露
性能：是否有低效循环、重复计算或潜在阻塞
一致性：是否符合团队命名规范、日志规范和异常处理标准

4.2 利用AI辅助理解代码

把生成的代码粘给AI，让它用自然语言解释逻辑
提问示例：“逐行解释这段代码的逻辑，标出潜在的问题”
结合AI解释与自己的理解，交叉验证其正确性

5. 本章总结

核心观点：
“AI可以生成代码，但你必须理解代码，否则无法为最终实现负责。”
一句话记忆：
“AI写得快，但责任在你；逐行读懂，掌握主动权。”

第8条：让AI解释难点，辅助自己掌握

核心原则：当遇到不理解的代码、复杂的算法或陌生的API时，可以让AI充当“代码讲解员”，用自然语言帮你拆解逻辑，但最终理解仍需你自己验证。

在Java + Web3支付的开发中，业务场景常常涉及签名算法、加密验签、回调处理、异步事务等。如果你完全依赖AI生成代码而不理解内部逻辑，一旦出现问题就很难排查。因此，让AI辅助你掌握代码，是高效学习与负责开发的结合点。

1. 为什么要“让AI解释难点”

降低理解成本
一些复杂逻辑，比如Web3支付的签名算法、链上交易回调、异步幂等性，阅读源码可能耗时长，让AI先帮你解释可大幅提高效率。
识别潜在风险
通过让AI讲解每一步逻辑，你可以更快发现潜在的安全漏洞、性能瓶颈或API误用。
辅助学习新技术
当AI生成了你不熟悉的技术栈或框架代码（例如新的加密库、第三方SDK），你可以让AI帮你讲解核心方法。
更快进入反馈循环
在解释过程中结合自己的理解，你可以迅速发现对齐点和分歧，提升掌控力。

2. 背后逻辑

让AI“教”你，而不是“替”你。

模型的解释能力：AI虽然不一定生成最优实现，但擅长把复杂逻辑拆解成易懂的自然语言。
双向验证：通过AI解释与自己的理解比对，你可以验证逻辑是否合理，而不是盲目信任。
主动学习：通过这种交互，开发者不仅仅是使用AI，而是持续积累对底层实现与业务流程的认知。

3. 最佳实践清单

✅ 把不理解的代码段直接贴给AI，让它逐行解释逻辑
✅ 明确告诉AI你想要的解释方式：按步骤讲解、用类比描述、标出风险点
✅ 对涉及安全、性能的逻辑，AI解释完后再用官方文档或源码交叉验证
✅ 对不理解的API或框架方法，请AI帮忙生成最小可运行示例并分析行为
❌ 不要在完全不理解的情况下直接上线AI生成的关键代码
❌ 不要盲目信任AI解释的每一句话，尤其涉及加密和安全逻辑
❌ 不要跳过自己的验证和思考，只依赖AI代替理解

4. 扩展思考

4.1 常用提问模板

“请逐行解释这段Java代码的逻辑，并指出可能的问题”
“帮我分析下面这段签名算法的安全性”
“这段Controller的异常处理是否符合最佳实践？”
“这个Web3回调接口的流程是否安全？哪里可能需要验签？”

4.2 提升理解的技巧

多角度提问：让AI分别用“初学者模式”和“专家模式”解释逻辑，获取不同深度
结合代码注释：让AI直接生成内嵌注释，帮助你在IDE中快速定位逻辑
做小实验验证：根据AI解释，在本地写最小化单元测试或样例验证正确性

5. 本章总结

核心观点：
“AI是你的助教，不是替代者。通过让AI解释难点，你能更快掌握逻辑，但最终责任仍在你。”
一句话记忆：
“用AI讲解逻辑，用自己验证结论。”

第9条：手动推演业务流程，确保逻辑闭环

核心原则：无论AI生成的代码多么完善，都需要你手动推演完整的业务流程，验证逻辑是否覆盖所有关键场景，确保没有遗漏、冲突或安全漏洞。

在Java + Web3支付的开发中，接口通常涉及加密签名、回调处理、异常回退、数据库事务等。如果不做全局逻辑推演，就算代码能编译通过，也可能在真实场景中出现严重问题。

1. 为什么要“手动推演业务流程”

发现AI遗漏的场景
AI通常只实现“主干路径”，而很容易忽略异常分支，比如支付失败、签名验证失败、KYB拒绝等。
确保逻辑闭环
如果某个分支没有收敛到可控状态，比如异常没有回滚、回调未处理幂等性，可能导致数据不一致或资金损失。
降低安全风险
Web3支付场景涉及签名验签、私钥管理、回调安全、防重放等，只有手动推演才能确认所有安全关键点被覆盖。
保证可维护性
全局推演后，你可以更好地理解AI生成的代码，便于后续扩展、重构或调试。

2. 背后逻辑

AI验证的是语法，而不是业务。
编译通过 ≠ 逻辑正确 ≠ 安全可靠。

模型的行为特点：AI会基于最常见的业务场景输出“看似合理”的实现，但它不会检查你的实际业务规则。
闭环思维的价值：通过手动推演，你能找到逻辑断点、状态异常和数据不一致等问题。
全局掌控：手动模拟完整流程，可以让你从更高的抽象层次理解系统行为，确保代码正确性和安全性。

3. 最佳实践清单

✅ 在纸上或白板上画出核心业务流程和数据流
✅ 列出所有可能的正常场景和异常分支
✅ 针对每个分支，验证代码是否正确处理并返回可预期状态
✅ 模拟边界条件，比如签名错误、交易超时、余额不足、回调失败等
✅ 对于高风险场景，写断言或日志验证假设
❌ 不要仅依赖AI生成的Happy Path代码
❌ 不要假设所有API都会返回成功
❌ 不要只依赖单元测试，而不验证完整流程

4. 扩展思考

4.1 Web3支付场景下的推演要点

支付链路：创建交易 → 签名 → 广播 → 区块确认
回调验签：是否在回调中校验签名、防止伪造
幂等性处理：相同交易的重复回调是否安全
异常分支：余额不足、签名失败、区块回滚、第三方接口超时
安全边界：是否有重放攻击、API权限控制、私钥泄露风险

4.2 在Cursor中结合调试

生成流程图：让AI帮你画出关键的业务时序图或状态机图
边写边推演：每生成一个核心函数，就模拟一次输入输出
回溯测试用例：根据推演结果生成针对性测试，确保所有分支都被覆盖

5. 本章总结

核心观点：
“AI写代码，开发者必须验证业务逻辑；手动推演是保证闭环的唯一可靠方法。”
一句话记忆：
“能跑通不等于没问题，手动推演才能掌控全局。”

第10条：把AI当审查员，进行二次Review

核心原则：不要只让AI生成代码，也要让AI充当“代码审查员”，对生成结果进行安全、逻辑、风格等多维度的二次检查，帮助你发现潜在问题。

在Java + Web3支付开发中，很多逻辑涉及安全签名、回调幂等性、交易状态校验、异常回退等高风险环节。即使AI生成的代码可以运行，也可能存在逻辑漏洞或安全隐患。通过让AI参与代码审查，可以在早期发现问题，降低返工成本。

1. 为什么要“让AI做二次Review”

发现隐藏Bug
AI在生成代码时经常会引入隐形问题，比如错误的事务边界、误用的API、缺失的空值校验等。
识别安全隐患
Web3支付涉及私钥、签名、回调等高敏感逻辑，AI生成的实现可能遗漏验签、重放防护等关键环节。
统一团队规范
让AI根据你的DTO、日志、异常处理等规范检查生成代码，避免风格不一致。
辅助逻辑验证
有时候AI的逻辑“看似合理”，但实际上没有覆盖所有边界条件。通过让AI重新审查，可以补充遗漏场景。

2. 背后逻辑

让AI扮演两种不同角色：开发者 + 审查员。

换角色能换视角：在生成代码后，用新的Prompt让AI切换到“代码审查员”模式，它会用不同的角度分析实现。
多轮交互更安全：第一轮让AI生成实现，第二轮专门审查逻辑、性能和安全，降低错误率。
AI擅长模式检查：模型能快速发现异常的命名、重复的逻辑、不必要的计算等结构性问题。

3. 最佳实践清单

✅ 在AI生成代码后，让它再审查一次实现逻辑
✅ 提示AI检查异常分支、性能瓶颈、安全漏洞
✅ 在Prompt中提供你的团队规范，请AI标出不符合的地方
✅ 如果AI指出问题，要求它提供优化后的实现或改进建议
❌ 不要只让AI一次性写完，不做任何检查
❌ 不要假设AI输出的代码天然安全可靠
❌ 不要只做人工Review，而忽略AI的结构化检查能力

4. 扩展思考

4.1 常用提问模板

“请检查这段代码是否符合我们现有的异常处理规范。”
“帮我找出下面代码中的潜在安全隐患，尤其是Web3验签逻辑。”
“请检查这段Mapper是否存在N+1问题或性能瓶颈。”
“请分析这段Controller是否处理了所有异常分支。”

4.2 双轮AI审查策略

第一轮：功能正确性
1. 检查是否实现了需求
2. 确保逻辑完整
3. 验证数据流与接口约定一致
第二轮：安全与性能
1. 检查签名、私钥、回调逻辑
2. 查找潜在的高耗时查询或多余计算
3. 确认幂等性、事务一致性

5. 本章总结

核心观点：
“AI既是写代码的助手，也是审查代码的助手。让AI二次Review，是提高代码质量的关键。”
一句话记忆：
“第一次生成，第二次审查；双轮交互，降低风险。”

第11条：拆解大段代码，逐模块验证

核心原则：当AI一次性生成“大块实现”时，先把代码按职责切分为若干小模块（控制器、服务、仓储、工具、配置等），分别校验与落盘，通过“小步可控”的方式获得对整体逻辑的真正掌控。

在 Java + Web3 支付场景里，AI常会一次生成包含控制器、业务逻辑、签名/验签、数据库访问、回调处理在内的“巨型代码块”。直接粘贴使用风险极高：难以阅读、难以定位问题、缺少清晰边界，且隐含安全与幂等隐患。

1. 为什么要“拆解大段代码，逐模块验证”

降低复杂度：把一个 800 行的“巨型类”拆成 5–8 个职责单一的类，认知和改造成本明显下降。
快速定位问题：每个模块独立编译、独立跑通，出错时范围明确，修复更迅速。
对齐分层规范：强制把控制器、服务、仓储、Crypto/验签、DTO/转换器分层，实现与团队架构一致。
安全与合规更易检查：签名/验签、回调幂等、权限校验独立成模块后，更容易做针对性审查。

2. 背后逻辑

可验证性来自“边界清晰”。

边界→契约：拆分后的模块通过清晰的接口契约交互（入参、出参、异常语义），可单点验证正确性。
层次→稳定：分层后的系统，变动只在本层内扩散，减少牵一发而动全身的风险。
小步→安全：每一步只修改/验证一个模块，失败可回滚，成功可累积，整体风险受控。

3. 最佳实践清单

✅ 先画“职责切分草图”，将大块代码按控制器、服务、仓储、Crypto/验签、回调处理、DTO/Assembler、配置等拆分。
✅ 为每个模块定义最小可用接口：输入/输出模型、异常与错误码、幂等/事务边界。
✅ 逐模块“落盘—编译—跑通”：每次只引入一个模块的代码与依赖，跑通后再引入下一个。
✅ 对高风险模块（签名/验签、回调幂等、权限/限流）优先拆出与验证。
✅ 为每个模块建立最小化的自测（可从断言/日志与最小单测开始），锁定基本行为。
❌ 不要把 AI 生成的巨型类原封不动塞进项目再慢慢“补救”。
❌ 不要让控制器直接操作数据库或直接拼装签名逻辑，避免“跨层耦合”。
❌ 不要在未定义接口契约的情况下，随意在模块之间传递 Map/任意对象。

4. 扩展思考

4.1 建议的拆分维度（可按需取舍）

表层交互：Controller（鉴权、请求校验、DTO编解码、统一返回）
领域服务：Service（业务编排、事务边界、错误语义）
资源访问：Repository/Mapper（仅做数据读写，遵循 MyBatis XML 规范）
加密与验签：CryptoService（私钥管理、签名算法、回放防护、时间戳/nonce 校验）
回调与幂等：CallbackHandler（验签、去重、重试、补偿）
DTO/Assembler：对象转换、字段校验、避免在控制器里散落转换逻辑
日志与审计：AuditLogService（统一日志格式、落库/落 ES、敏感信息脱敏）

4.2 逐模块验证的技巧

从“最稳定的纯函数”开始拆（如签名/验签、格式化器、转换器），先获取确定性模块的信心。
为模块添加“特性探针”：关键路径加日志/断言，验证输入输出与边界条件是否如设计。
采用“表征测试”（characterization test）给不熟悉的大段逻辑先定行为，再安全重构与拆分。
提前定义错误码与异常映射表，拆分后各层统一抛/接规范，避免异常语义混乱。
提交粒度小：一次只引入或改动一个模块，配合分支与 PR 让差异清晰可审。

5. 本章总结

核心观点：把“大块黑箱”切成“可验证的小块”，用清晰契约与小步验证来重建对代码的掌控力。
一句话记忆：先切块，再验证；先定边界，再谈优化。

第12条：对照官方文档、SDK与API，防止AI“幻觉”

核心原则：AI生成的代码并不保证正确性。在涉及第三方API、SDK、框架方法时，必须对照官方文档、源码或权威资料进行验证，避免因为AI“幻觉”导致的实现错误或安全漏洞。

在 Java + Web3 支付开发中，AI常会生成看似合理但实际不存在的API、字段或方法。例如，AI可能会使用错误的Web3签名方法、调用过时的Spring Boot API，或者假设不存在的MyBatis Mapper接口。如果不进行交叉验证，问题会在后期集成测试或线上环境暴露，代价极高。

1. 为什么要“对照官方文档、SDK与API”

防止AI幻觉
AI可能凭借统计规律“编造”方法、类、字段，尤其是在Web3 SDK或支付网关的API中。
保证实现符合标准
支付、签名、验签等敏感功能有严格的接口规范与安全要求，必须与官方设计一致。
避免过时API
框架版本更新频繁，AI可能生成旧版本写法，比如Spring Security、Spring Boot、JJWT、Web3J等。
确保与SDK行为一致
Web3 SDK在交易签名、区块查询、回调处理等方面常有特定用法，不对照文档容易用错。

2. 背后逻辑

AI擅长续写常见模式，但不会实时验证有效性。

统计假设≠真实实现：AI会根据训练数据中出现频率最高的写法生成实现，但并不知道这些方法是否在你的SDK或框架中真实存在。
权威性优先：官方文档、源码和维护者示例永远是最可信的信息源。
交叉验证思维：AI产出 → 对照文档 → 回到AI提问 → 最终锁定正确实现。

3. 最佳实践清单

✅ 遇到第三方API、SDK、框架方法，先用官方文档验证签名、参数、返回值
✅ 对照官方示例代码，确保生成实现与标准用法一致
✅ 当SDK文档不足时，直接阅读源码，理解真实可用的方法与字段
✅ 对AI生成的支付API、验签逻辑等高风险部分，必须在本地调试验证
✅ 当AI与文档冲突时，以官方文档为准
❌ 不要直接相信AI生成的任意方法名、类名、字段名
❌ 不要假设AI生成的写法能兼容你的框架版本
❌ 不要只在本地编译通过就认为是正确实现

4. 扩展思考

4.1 Web3支付中常见的AI“幻觉”场景

签名与验签方法名错误：AI常生成signTransaction()或verifySignature()等方法，但不同Web3 SDK的签名API完全不同。
交易回调字段缺失：某些支付回调返回status和txHash，AI可能假设存在isPaid字段导致逻辑错误。
安全校验被遗漏：例如，Web3交易结果验签的timestamp和nonce检查常常被AI漏掉。
Spring Boot注解失效：AI可能生成旧版本的@EnableWebSecurity配置，而你当前使用的Spring Security 6+版本可能已弃用。

4.2 高效交叉验证的技巧

在Cursor中，让AI直接生成所需API的官方文档链接
让AI帮你总结官方文档的关键字段和约束条件，再交叉核对生成代码
如果API复杂，可以让AI帮你生成最小可运行Demo，用来测试验证
对于Web3支付SDK，直接下载源码，用IDE定位核心方法，避免依赖不可靠描述

5. 本章总结

核心观点：
“AI生成的写法只是参考，最终以官方文档、源码与SDK为准。”
一句话记忆：
“AI能写，但文档能证；先查官方，再信AI。”

第13条：构造最小可重现场景

核心原则：当AI生成的代码出现异常、逻辑错误或性能问题时，第一步不是盲目调试，而是先构造“最小可重现场景”，用最少的代码、最小的数据集和最清晰的输入输出重现问题，从而高效定位原因。

在 Java + Web3 支付开发中，业务链路通常涉及签名、交易上链、回调处理、数据库更新、日志落盘等多个步骤。如果不缩小问题范围，直接在大规模真实场景中调试，成本极高且难以定位根因。

1. 为什么要“构造最小可重现场景”

快速锁定问题来源
将问题抽离到最小化场景，避免被复杂业务依赖干扰。
减少无效信息噪音
如果在全链路场景下调试，日志量大、调用链长，很容易被无关信息掩盖。
提高与AI协作效率
最小可重现场景更容易描述给AI，帮助AI更精准地分析问题原因。
避免高风险操作
在最小化环境下重现问题，避免直接在生产环境或真实交易中调试带来的资金和数据风险。

2. 背后逻辑

缩小问题空间 → 降低排查成本 → 提高定位精度。

模块化问题验证：通过最小化输入、最小化依赖、最小化调用链，精准判断问题是否出在当前模块还是外部依赖。
可迭代测试：小场景可快速多次运行，形成高效验证循环。
更高可理解性：通过对核心问题的抽象提炼，提升你和AI对代码行为的掌控力。

3. 最佳实践清单

✅ 使用最少的依赖与代码，构造独立可运行的最小场景
✅ 使用固定、可控的输入数据，避免干扰结果
✅ 在独立环境（如本地容器、沙箱环境）中重现问题
✅ 构造场景后，结合日志、断点和AI分析逐步定位问题
✅ 对于复杂交易或支付接口，模拟请求并固定签名与回调数据
❌ 不要在全链路大场景中盲目调试，避免被噪音淹没
❌ 不要在生产环境直接试验高风险代码
❌ 不要让AI分析含大量无关信息的日志，否则输出不准确

4. 扩展思考

4.1 构造最小可重现场景的三步法

抽离核心逻辑：从大模块中剥离关键代码，比如验签、交易提交、回调解析等。
创建最小输入：比如只保留最少的字段、最短的交易数据、最小的区块高度。
运行与验证：在本地或沙箱中运行最小场景，确保问题稳定复现。

4.2 在Cursor和AI中的结合使用

让AI分析“最小重现代码”而不是整段复杂实现，输出更精准
将精简的报错日志和关键调用栈片段交给AI，而非完整长日志
在Cursor里用“文件选择”方式传递上下文，让AI精准对齐问题范围

4.3 Web3支付场景示例

问题：交易回调偶尔验签失败
最小可重现场景：

独立提取签名算法与验签逻辑
固定输入回调数据包与签名
本地运行对比AI生成的验签逻辑与官方SDK方法
用固定测试数据观察签名计算是否稳定

5. 本章总结

核心观点：
“调试从最小化开始，只有在可控范围内重现问题，才能高效定位根因。”
一句话记忆：
“先缩小，再排查；小场景，大洞察。”

第14条：用IDE断点调试，掌握真实运行逻辑

核心原则：AI生成的代码看起来正确并不代表它实际能正确运行。通过在IDE中使用断点调试，跟踪真实的变量状态、数据流与方法调用链，才能彻底掌握AI代码的行为并发现隐藏问题。

在Java + Web3支付开发中，业务逻辑涉及交易签名、KYB验证、回调处理、数据库更新等多环节。仅靠阅读代码或依赖AI解释很容易遗漏真实运行时的状态变化，唯有断点调试才能直观验证每一步是否按预期执行。

1. 为什么要“用断点调试掌握真实逻辑”

代码≠运行行为
即使AI生成的代码在语法层面正确，实际执行时也可能因为上下文、依赖、SDK版本等导致不同的结果。
捕捉隐藏Bug
很多问题无法通过静态阅读发现，比如空指针、API返回null、交易状态错乱等。
理解复杂流程
Web3支付常涉及签名计算、区块确认、幂等控制等，断点能帮助你跟踪真实数据流。
验证AI假设
AI生成的调用链、API参数、返回值必须通过运行时断点验证是否与文档或SDK一致。

2. 背后逻辑

AI生成的是“假设”，IDE断点验证“事实”。

实时状态洞察：通过调试器观察变量状态、线程栈、HTTP请求与响应，获得真实运行行为。
数据驱动理解：在断点时分析请求参数、签名计算、回调Payload，比AI讲解更可靠。
交互式验证：断点能结合日志、异常栈、控制台结果快速定位与修正问题。

3. 最佳实践清单

✅ 在核心方法和高风险逻辑上设置断点，如签名生成、回调处理、交易状态更新
✅ 结合条件断点（Conditional Breakpoint），只在特定数据触发时中断，提高调试效率
✅ 使用IDE的Evaluate Expression功能，随时计算变量或表达式结果
✅ 在异常捕获处加断点，实时分析错误栈与数据状态
✅ 配合日志检查，确认请求、响应、数据库操作是否与预期一致
❌ 不要仅靠AI解释判断运行时行为
❌ 不要在未理解真实数据流的情况下直接修改逻辑
❌ 不要在生产环境直接调试高风险支付逻辑

4. 扩展思考

4.1 Web3支付中的断点调试场景

交易签名：断点验证私钥生成签名是否与SDK一致
回调验签：断点观察回调Payload、签名字段、nonce，确保逻辑安全
幂等控制：调试重复回调时的行为，验证幂等锁或数据库状态
多线程并发：断点跟踪Web3支付场景中的异步回调、事件监听和并发事务

4.2 在Cursor和IDEA中的结合

Cursor：让AI帮忙定位可疑逻辑，标出建议断点位置
IDEA：配合断点查看调用栈、变量值、网络请求，验证AI假设
双向反馈：将断点观察到的异常状态反馈给AI，获得针对性优化建议

5. 本章总结

核心观点：
“代码是AI写的，行为是运行时验证的；调试是掌握主动权的唯一方式。”
一句话记忆：
“用AI生成，用断点求证；真实状态，尽在掌控。”

第15条：批量插入日志，跟踪数据流

核心原则：在AI生成的代码中，通过批量插入高价值日志，构建可追踪的数据流视图，帮助你快速定位问题、验证逻辑，并掌握系统在运行时的真实状态。

在Java + Web3支付开发中，支付链路常常包含交易签名、链上广播、回调处理、数据库更新、幂等控制等环节。如果只依赖断点调试，很难完整跟踪跨线程、跨接口、跨模块的数据流。通过高质量日志策略，配合AI生成的代码，可以高效排查问题和验证设计。

1. 为什么要“批量插入日志，跟踪数据流”

掌握真实数据流
AI生成的代码逻辑可能看似正确，但数据在方法、线程、异步回调之间传递时，状态可能早已被篡改或丢失。
快速锁定问题位置
日志是定位数据错乱、签名失败、交易丢失等问题的唯一全局手段。
提升AI代码可控性
在使用AI生成的新逻辑时，日志能帮助你判断它是否按预期执行，防止隐藏Bug。
构建可审计系统
Web3支付场景对资金安全要求极高，日志是审计、合规、回溯的基础。

2. 背后逻辑

日志 = 行为真相的最小快照。

增强可观测性：日志把动态执行路径固定下来，让你在不调试的情况下回溯历史。
与AI互补：AI生成逻辑 → 插入日志 → 根据日志验证 → 反馈给AI优化，实现正反馈循环。
分层设计：日志应按模块（Controller/Service/Repository/Crypto）分类，避免全局日志噪音。

3. 最佳实践清单

✅ 在每个核心逻辑入口与出口插入日志，包括：请求参数、关键计算结果、返回值
✅ 在异常、回调、签名校验、事务提交等高风险位置重点记录
✅ 使用统一日志工具（如AuditLogService），保持日志格式一致
✅ 日志内容要结构化，避免简单字符串拼接，便于后续用ELK/OpenSearch分析
✅ 在Cursor中生成日志模板，让AI自动批量插入高价值日志
❌ 不要无选择地记录全部数据，导致日志泛滥
❌ 不要打印明文敏感数据（如私钥、完整签名、用户隐私信息）
❌ 不要在日志中暴露数据库密码、Web3密钥或JWT Token

4. 扩展思考

4.1 Web3支付场景的日志重点

交易创建：记录请求参数、交易Hash、预期Gas
签名计算：只记录算法版本与结果摘要，避免日志中暴露私钥
回调处理：记录回调Payload、签名验签结果、幂等锁状态
异常分支：交易失败、签名不匹配、接口超时等要有明确的错误码与上下文
审计要求：为KYB/KYC场景保留必要审计字段，比如商户ID、交易ID、回调来源

4.2 在Cursor中自动插入日志

选中高风险代码 → 右键 “Ask Cursor” → “在这些方法中按我们现有日志规范插入日志”
在Prompt中提供现有AuditLogService示例，确保风格与项目一致
让AI在关键节点生成结构化日志，减少人工修改工作量

4.3 日志策略的进阶优化

TraceID/RequestID：给每个交易或请求打上唯一ID，支持跨模块追踪
统一日志规范：在团队内固定日志字段，如[traceId] [merchantId] [txHash] [status]
OpenSearch/ELK集成：将日志推送到搜索平台，快速定位交易异常或签名问题

5. 本章总结

核心观点：
“日志是可观测性工具链的基石，能帮助你掌握AI生成代码的真实行为和潜在风险。”
一句话记忆：
“日志是运行时的证据；好日志，让问题无处隐藏。”

第16条：用假设验证法缩小问题范围

核心原则：当AI生成的代码报错或行为异常时，不要盲目大范围调试，而是先提出具体假设，再逐步验证，通过“缩小问题空间”快速定位根因。

在Java + Web3支付开发中，业务链路涉及签名、回调、数据库更新、KYB校验等多个模块。如果在出现Bug时不做假设，直接调试全链路，不仅耗时长，还可能陷入无效尝试。假设验证法可以帮助你聚焦问题所在，尤其适合处理AI生成的新逻辑。

1. 为什么要“用假设验证法缩小问题范围”

降低调试成本
在复杂支付链路中，全量排查等于“大海捞针”，效率极低。
避免重复试错
没有假设直接改代码，很容易在无关模块反复消耗时间。
提升与AI协作效率
明确假设后，给AI的Prompt更精准，AI也能更高效帮你验证原因。
减少误判
假设验证的过程能帮你区分“AI实现Bug”与“环境配置问题”或“依赖版本不一致”。

2. 背后逻辑

缩小问题空间 = 提出假设 + 验证数据 + 排除干扰。

可控性：把复杂问题切分成可验证的最小单元，每个单元要么通过，要么失败。
高反馈频率：小假设验证快，几分钟内即可得知对错，不会陷入长时间探索。
正反馈循环：不断验证假设 → 缩小范围 → 确认问题 → 快速解决。

3. 最佳实践清单

✅ 提出一个最可能的原因假设（比如签名错误、SDK参数不一致、回调缺字段）
✅ 设计最小验证方法，避免牵涉不相关模块
✅ 一次只验证一个假设，不要混合测试多个假设
✅ 结合日志、断点、AI分析一起收敛问题范围
✅ 当假设被否定时，记录结论并继续下一个假设
❌ 不要在没有任何假设的情况下大规模修改代码
❌ 不要跳过验证，直接依赖AI给出的解决方案
❌ 不要一次测试过多变量，容易陷入歧义

4. 扩展思考

4.1 Web3支付的假设验证示例

问题：交易回调验签失败
可能假设：

签名算法不一致：AI生成的签名方法与SDK不兼容
回调Payload缺字段：回调数据少了nonce或timestamp
测试网私钥错误：签名私钥与发起交易的账户不一致

验证策略：

单独提取签名方法，对比AI代码与官方SDK结果
打印完整回调Payload，确认字段是否缺失
固定私钥重新签名，验证本地计算结果与区块链数据是否一致

4.2 借助AI提高验证效率

向AI描述你的假设，附上报错信息，让AI帮忙分析可行性
提问示例：
- “回调验签失败，是否可能是签名算法不一致？帮我对比这段代码与官方SDK的实现。”
- “这个错误栈是否说明API参数缺失？哪些字段最可能导致失败？”
根据AI建议构造最小测试代码，快速验证核心假设

5. 本章总结

核心观点：
“复杂问题必须先提假设，再做验证；缩小问题空间才能高效定位根因。”
一句话记忆：
“不猜测，不乱试；先假设，再验证。”

第17条：结合单元测试与AI生成用例，锁定问题边界

核心原则：通过结合手写关键单元测试与AI自动生成测试用例，构建足够覆盖的验证体系，帮助你快速定位问题边界，确保AI生成代码的行为符合预期。

在Java + Web3支付开发中，AI生成的逻辑往往涉及签名、验签、回调、数据库更新、KYB认证等多模块交互。单靠阅读或断点调试很难覆盖所有场景，而结合单元测试与AI生成测试用例，可以系统性验证每条路径的正确性。

1. 为什么要“结合单元测试与AI生成用例”

锁定问题边界
单元测试能帮助你明确问题出在签名逻辑、回调处理还是数据库写入。
提高回归效率
当你修改AI生成的代码时，测试能确保其他功能不被破坏。
验证AI实现是否可靠
自动生成的用例可以帮你发现遗漏的边界条件或不符合规范的返回值。
覆盖高风险分支
Web3支付链路中涉及私钥、签名、幂等控制的部分必须通过测试保障。

2. 背后逻辑

单元测试是“事实验证器”，AI生成代码只是“假设”。

行为锁定：通过测试固定每个函数的预期输入、输出和状态变化，帮助快速发现偏差。
边界收敛：用针对性的测试用例围住高风险逻辑，避免AI生成的“假设”代码突破安全边界。
AI辅助：让AI帮忙生成常见和边界场景测试，开发者只需验证其正确性，而不是从零开始编写。

3. 最佳实践清单

✅ 为AI生成的重要逻辑撰写最小化关键单元测试
✅ 用AI生成覆盖正常、异常、边界三类场景的测试用例
✅ 为签名、回调、KYB等高风险逻辑写独立断言
✅ 使用固定Mock数据，避免依赖真实链上环境或支付网关
✅ 将单元测试结果与日志、断点结合分析，验证AI实现是否可靠
❌ 不要完全依赖AI自动生成的测试，必须人工验证正确性
❌ 不要跳过高风险模块的测试，尤其是验签和幂等控制
❌ 不要只写“Happy Path”测试，异常分支必须覆盖

4. 扩展思考

4.1 Web3支付场景下的测试重点

签名与验签：验证生成的签名与官方SDK一致
回调处理：模拟回调Payload、时间戳、nonce，确保幂等性正确
交易状态更新：测试成功与失败的事务一致性
KYB/KYC流程：用Mock数据验证认证接口返回逻辑
安全性断言：验证日志中是否脱敏敏感字段，如私钥、签名明文

4.2 在AI中生成高价值测试用例

示例Prompt：
- “根据以下签名算法代码，生成JUnit单元测试，覆盖正常、签名失败和异常Payload三种情况。”
- “请帮我基于以下回调处理逻辑，生成5个高价值测试用例，包括重复回调、签名过期、缺失字段等场景。”
在Cursor中可以直接选中方法 → Ask Cursor → “生成完整单测”
在Prompt中提供DTO、异常类、日志规范，让AI生成的用例直接与项目风格对齐

4.3 提高测试有效性的技巧

先手写12个最关键的断言测试，确保AI生成用例参考正确
用Mock工具（如Mockito）隔离外部依赖，锁定问题边界
让AI帮你生成覆盖率报告解读，快速识别未覆盖的路径

5. 本章总结

核心观点：
“AI生成代码只是起点，单元测试才是保障代码行为正确性的终点。”
一句话记忆：
“AI写实现，测试定边界；用例越全，Bug越少。”

第18条：让AI分析日志与调用栈，加速故障定位

核心原则：当遇到复杂错误日志或长调用栈时，让AI帮忙解析日志结构、提取关键信息、缩小问题范围，从而更高效地定位故障原因。

在Java + Web3支付开发中，支付链路跨多个系统：交易签名、广播区块链、支付网关回调、数据库更新、日志落盘等。任何一个环节出错都会产生大量日志与调用栈信息。AI可以帮助快速解析这些日志，找到问题根源，尤其适合排查AI生成的新逻辑。

1. 为什么要“让AI分析日志与调用栈”

节省排查时间
当错误日志成百上千行时，让AI帮你提取关键异常与上下文，避免逐行手工分析。
识别关键调用路径
AI能从调用栈中梳理出最重要的触发路径，快速锁定问题模块。
适配AI生成的逻辑
如果错误出现在AI生成的代码中，AI可以结合自身上下文理解，提供更精准的优化建议。
降低心理负担
大量日志常让人无从下手，AI可以先帮你“扫雷”，避免陷入信息过载。

2. 背后逻辑

日志分析的本质是噪声过滤
让AI充当“智能筛选器”，从长日志中提取真正有价值的信息。

模式识别：AI擅长从大量重复日志中识别异常模式和核心错误。
定位根因：通过分析调用栈、错误堆栈与上下文，AI能帮你缩小问题范围。
辅助优化：让AI分析日志后，它可以基于症状给出解决方案和测试建议。

3. 最佳实践清单

✅ 将错误日志、调用栈分段贴给AI，让它提取核心异常信息
✅ 在Prompt中明确告诉AI你要的结果：根因分析、可疑模块、优化建议
✅ 当日志过长时，先让AI总结日志结构，再深入分析关键段落
✅ 结合Cursor或IDEA，定位日志对应的代码行，验证AI分析
✅ 如果日志涉及Web3 SDK或第三方API，提供相关文档或方法签名，提高分析准确度
❌ 不要直接把数千行日志一次性喂给AI，效果会大幅下降
❌ 不要只依赖AI结论，最终需要结合断点与文档验证
❌ 不要忽略上下文，例如环境信息、框架版本、支付链路配置等

4. 扩展思考

4.1 AI辅助日志分析的常用Prompt

“这是交易回调失败的日志，请提取导致验签失败的原因。”
“帮我从这段日志中找到第一个抛出异常的方法和模块。”
“请分析这段调用栈，按执行顺序列出关键方法。”
“结合日志内容，判断是签名算法实现问题还是SDK配置问题。”

4.2 Web3支付场景中的日志分析

签名验签失败：日志中通常会有signature mismatch或invalid signature字段
交易广播异常：需检查Gas配置、区块链节点响应、SDK版本
回调幂等冲突：分析重复回调日志，确认幂等锁是否生效
数据库一致性问题：通过日志追踪事务边界，确认写入是否回滚

4.3 提高日志分析效率的技巧

在AI中让它先生成日志索引，快速定位问题时间段和模块
利用AI生成问题定位表格，标明时间戳、调用路径、异常堆栈、可能原因
将日志关键字段（traceId、txHash、merchantId等）放入Prompt，帮助AI做精准分析

5. 本章总结

核心观点：
“让AI帮你分析日志与调用栈，它是信息筛选器，不是最终结论。”
一句话记忆：
“AI扫雷找关键，你验证定根因。”

第19条：利用AI辅助生成调试脚本，快速验证假设

核心原则：当AI生成的代码存在Bug或不确定性时，可以让AI帮忙生成最小化的调试脚本，通过快速复现场景、验证假设和定位问题，缩短故障排查周期。

在Java + Web3支付开发中，交易链路通常涉及签名、验签、回调处理、数据库更新、区块链SDK调用等。传统调试依赖全链路环境，效率低且易被噪音干扰。让AI帮你生成最小可运行调试脚本，可以更高效地验证单点问题。

1. 为什么要“利用AI辅助生成调试脚本”

快速验证假设
在调试过程中，先构造一个精简的测试脚本验证签名算法、回调逻辑等单点假设，避免陷入复杂链路。
复现问题场景
调试脚本可以固定参数、去除多余依赖，确保问题在可控条件下稳定复现。
辅助优化AI生成代码
通过调试脚本，你可以快速发现AI生成的实现与预期结果不一致的地方。
解耦调试环境
不依赖全链路支付网关或区块链节点，最小化脚本可独立在本地验证。

2. 背后逻辑

最小化验证 → 缩短反馈周期 → 加速迭代优化。

可控性：通过剥离复杂上下文，确保测试环境稳定可控。
高反馈率：调试脚本执行快，能在几分钟内验证假设，而非部署后等待长链路反馈。
AI辅助生成：AI擅长根据你的上下文，快速写出小而精的调试脚本，比手工搭建更高效。

3. 最佳实践清单

✅ 向AI描述问题场景，并要求生成最小化可运行的调试脚本
✅ 固定输入数据，避免脚本行为受外部环境波动影响
✅ 在脚本中打印关键中间结果，比如签名、交易哈希、回调Payload
✅ 对接官方SDK时，使用Mock或本地测试节点，避免操作真实账户
✅ 验证完成后，将调试逻辑总结为单元测试，沉淀为回归保障
❌ 不要直接在生产环境运行调试脚本
❌ 不要使用AI生成的未验证私钥或真实签名数据
❌ 不要跳过日志与断言，避免脚本失去验证价值

4. 扩展思考

4.1 Web3支付场景的调试脚本示例

问题：回调验签偶尔失败
AI生成调试脚本思路：

独立提取签名算法，固定私钥和Payload
打印本地生成的签名与回调签名对比
模拟不同时间戳与nonce，检查防重放逻辑
如果签名不同，让AI分析两段代码的算法差异并优化

4.2 高效Prompt示例

“请基于以下签名逻辑，生成一个最小可运行的Java调试脚本，打印签名计算结果并与官方SDK比对。”
“根据下面的回调处理代码，生成本地调试脚本，固定回调Payload和签名，帮助验证验签失败原因。”
“请帮我写一个Mock Web3节点的调试脚本，用于本地重现回调异常场景。”

4.3 提升验证效率的技巧

逐步扩展：先验证核心算法，再扩展到完整业务链路
结合AI分析：把脚本运行日志交给AI，让它帮忙解析中间值与异常原因
自动生成更多场景：让AI基于脚本生成多组不同输入的验证用例

5. 本章总结

核心观点：
“用AI生成调试脚本，把复杂问题拆解为最小可控场景，快速验证假设并锁定问题。”
一句话记忆：
“调试靠最小化，验证靠自动化。”

第20条：在沙箱环境模拟全链路，确保上线安全

核心原则：在上线前，利用沙箱环境、Mock数据和AI生成的调试脚本，完整模拟支付全链路，提前发现潜在问题，避免在生产环境中暴露风险。

在Java + Web3支付开发中，支付链路涉及签名、交易广播、区块确认、回调处理、幂等控制、数据库写入等多个系统与环节。AI生成的代码即使局部可运行，也不能直接推到生产环境。通过在沙箱中模拟全链路，结合AI辅助工具，可以大幅降低故障与安全风险。

1. 为什么要“在沙箱环境模拟全链路”

避免线上事故
支付涉及真实资金流动，一旦Bug出现在生产环境，可能导致直接经济损失。
验证AI生成逻辑
AI写的代码未必覆盖异常场景，沙箱全链路模拟可以暴露缺陷。
提前发现依赖问题
在沙箱中可以验证区块链SDK、Web3支付网关、数据库、回调API等外部依赖是否正常。
验证安全策略
在真实流量上线前，通过沙箱测试验签、防重放、幂等性等逻辑，防止资金风险。

2. 背后逻辑

真实闭环验证 = 模拟真实输入 + 模拟完整交互 + 验证预期输出

隔离风险：在不影响生产数据的情况下，真实重现链路行为。
端到端覆盖：通过模拟请求、签名、广播、回调和数据库写入，确保完整性。
AI辅助生成：AI可以快速帮你生成Mock请求、测试数据和脚本，让测试闭环更高效。

3. 最佳实践清单

✅ 在沙箱环境中完整模拟支付链路，包括请求、签名、广播、回调与幂等处理
✅ 使用AI生成的Mock交易数据、签名Payload和回调包
✅ 验证回调签名、防重放、事务一致性、幂等锁等关键安全点
✅ 打通沙箱链路到数据库和日志，检查状态与记录是否符合预期
✅ 结合AI生成的断言脚本，在每个关键节点校验结果
❌ 不要直接在生产环境调试AI生成的新逻辑
❌ 不要依赖单一接口测试，必须验证端到端交互
❌ 不要在沙箱日志中打印明文私钥或真实签名

4. 扩展思考

4.1 Web3支付沙箱测试策略

签名与广播：生成Mock私钥与交易Payload，验证签名与SDK一致性
回调验签：模拟回调请求，测试验签逻辑与防重放机制
异常路径验证：交易失败、回调超时、区块回滚等异常场景必须覆盖
幂等与一致性：模拟重复回调与网络抖动，验证幂等锁和数据库状态是否正确
日志与审计：检查AuditLog是否记录所有关键操作并脱敏敏感数据

4.2 借助AI提高沙箱效率

让AI生成端到端的支付链路模拟脚本，涵盖支付发起、签名、回调、验签
提供Web3 SDK文档给AI，让它自动生成Mock交易与完整签名用例
让AI帮助解析沙箱日志与错误栈，定位异常原因
用AI生成全链路测试报告，自动标注关键路径与风险点

4.3 实用Prompt示例

“请生成一个Java调试脚本，模拟从支付请求到回调处理的完整Web3支付链路。”
“根据下面的回调验签逻辑，生成一组沙箱测试数据，验证多次重复回调幂等性。”
“请帮我分析沙箱日志中签名失败的原因，结合调用栈定位问题。”

5. 本章总结

核心观点：
“在沙箱中提前完成全链路验证，是将AI生成代码安全推向生产的最后一道保险。”
一句话记忆：
“沙箱先演练，线上才安全。”

第21条：基于AI生成代码进行可控重构

核心原则：AI生成的代码通常能跑，但未必可维护。在投入生产前，应结合AI辅助与人工审查，对代码进行可控重构：统一风格、消除冗余、分离职责、提高可测试性，从而确保后续迭代的稳定性与扩展性。

在Java + Web3支付开发中，AI生成的逻辑往往跨越多层，例如签名/验签、回调处理、幂等控制、数据库更新等。如果不经过重构，可能出现方法过长、命名不一致、模块耦合、可测试性差等问题，后期维护成本会急剧升高。

1. 为什么要“基于AI生成代码进行可控重构”

提升可维护性
AI可能会一次性生成巨型方法或控制器，重构后按职责拆分，后续修改更安全。
消除重复与冗余
AI常会在不同方法中重复生成同样的签名校验、日志输出或异常处理逻辑。
增强可测试性
重构后的模块具有清晰边界，可单独进行Mock与单元测试。
对齐团队规范
通过重构，把AI输出调整到统一的命名规则、DTO结构、日志格式。

2. 背后逻辑

AI代码可运行，但未必可演进；重构的本质是让代码可预测、可维护、可扩展。

风险最小化：通过小步重构、逐步验证，确保不破坏原有功能。
可读性优先：重构的第一目标是让人类能轻松理解代码，而不仅仅是让机器能运行。
AI辅助升级：让AI基于现有代码提出重构建议，而不是完全推翻已有实现。

3. 最佳实践清单

✅ 从高复杂度、高风险、高复用的方法开始重构
✅ 让AI帮你识别重复逻辑、长方法、可提取工具类
✅ 在重构前先编写单元测试，锁定现有行为
✅ 将控制器、服务、加密、回调等逻辑分层，降低耦合度
✅ 在重构后统一命名、日志、异常与返回结构
❌ 不要一次性大规模重构AI生成的所有模块
❌ 不要在没有测试保护的情况下替换签名算法或交易逻辑
❌ 不要过度依赖AI自动重构，而忽略人工验证

4. 扩展思考

4.1 Web3支付代码重构重点

签名与验签逻辑
- 单独抽离CryptoService，避免在控制器或Service中散落加密实现
回调与幂等性控制
- 将回调逻辑封装在CallbackHandler中，集中管理重放保护与幂等锁
事务与一致性
- 在Service层内实现事务边界，不让控制器直接操作数据库
日志与审计
- 用统一的AuditLogService，避免散落的System.out.println

4.2 AI辅助重构的策略

提示AI识别问题
- Prompt示例：“请找出这段代码中可重构的地方，并列出优先级最高的三个点。”
让AI生成重构方案
- Prompt示例：“帮我把签名逻辑抽取到独立的CryptoService，保持原有方法签名不变。”
分阶段验证
- 重构一部分 → 跑单测 → 提交 → 再重构下一部分

4.3 提升可控性的技巧

结合Cursor代码对比，AI可以直接帮你生成Diff
利用IDE的重构工具（如IntelliJ IDEA的Extract Method/Extract Class）与AI方案结合
保留原始AI生成的代码版本，确保回退路径清晰

5. 本章总结

核心观点：
“AI能写出可运行的代码，但可维护性需要开发者掌控。通过小步、可控的重构，让代码既能跑，又能演进。”
一句话记忆：
“先锁定行为，再小步重构；让AI出方案，由你定取舍。”

第22条：让AI辅助识别性能瓶颈并优化关键路径

核心原则：利用AI快速分析日志、调用链和SQL执行情况，找出性能瓶颈所在的关键路径，并结合本地调试和监控工具验证结果，从而有针对性地优化Web3支付系统的高耗时环节。

在Java + Web3支付开发中，常见性能瓶颈包括：签名/验签计算耗时过长、链上交易提交延迟、回调处理阻塞、数据库慢查询、幂等锁冲突等。AI可以帮助识别瓶颈位置、分析原因，并生成优化方案。

1. 为什么要“让AI辅助识别性能瓶颈”

快速定位高耗时点
AI可分析调用栈、日志和Profile结果，直接列出最耗时的方法。
优化测试闭环
AI能帮你生成JMeter或JUnit性能测试用例，验证优化效果。
提升跨模块可视化能力
在Web3支付链路中，瓶颈可能在签名算法、回调接口或第三方SDK，AI能帮你梳理完整调用关系。
与日志策略结合
通过AI生成高价值Trace日志，可更精确地分析请求延迟原因。

2. 背后逻辑

AI=性能分析助手，而不是最终结论。

模式识别：AI擅长解析Profile数据和堆栈日志，从中提炼出耗时模式。
跨层次分析：结合Controller、Service、Repository、Crypto模块的调用链，帮你定位瓶颈。
优化建议：AI可以生成改造思路，包括缓存策略、批量写入、异步化处理等。

3. 最佳实践清单

✅ 将JVM Profile日志、OpenSearch慢查询日志等贴给AI分析
✅ 在Prompt中明确目标：“找出最耗时的函数和可能原因”
✅ 用AI生成针对性的性能测试用例，验证问题是否复现
✅ 针对数据库慢查询，让AI优化SQL并评估索引策略
✅ 在AI生成优化方案后，本地用JProfiler或Arthas等工具验证
❌ 不要只依赖AI判断性能瓶颈，必须结合实际运行数据
❌ 不要盲目优化低频逻辑，应优先关注高QPS与高延迟路径
❌ 不要忽略第三方依赖导致的瓶颈，比如区块链节点响应慢

4. 扩展思考

4.1 Web3支付链路中常见性能瓶颈

签名/验签耗时
- 检查是否使用了低效算法或未启用本地缓存
链上交易广播慢
- 可能因区块链节点配置不当或Gas估算错误
回调处理阻塞
- 如果回调接口同步写数据库，可能导致接口超时
数据库锁竞争
- 幂等锁、事务冲突导致高并发下性能骤降
不必要的全链路串行
- 缺乏异步化设计，支付状态轮询与回调写数据库串行执行

4.2 AI辅助性能优化的示例Prompt

“请帮我分析这段JProfiler调用链，找出最耗时的三个方法。”
“根据下面的SQL日志，优化慢查询并推荐合适的索引。”
“帮我生成一个JUnit压力测试，模拟500并发调用支付回调接口。”
“请对以下Web3交易签名算法进行性能分析并提出优化建议。”

4.3 最佳组合策略

AI分析：定位瓶颈 → 提出初步优化建议
本地验证：用Arthas/JProfiler/JMeter复现与验证瓶颈
再交给AI优化：让AI根据实际运行数据调整策略
测试回归：生成高并发测试，验证优化后的性能改善

5. 本章总结

核心观点：
“AI可以帮你找到性能瓶颈，但不能替代数据驱动的验证与优化。”
一句话记忆：
“AI找瓶颈，数据定结论，优化靠验证。”

第23条：结合AI与安全审计，强化支付链路防御

核心原则：AI生成的代码能跑，但不代表安全。通过结合AI分析、人工安全审计和官方文档交叉验证，对Web3支付链路进行全方位的安全检查，避免因实现缺陷导致资金风险或数据泄露。

在Java + Web3支付开发中，签名、验签、回调、幂等性、权限验证是最容易被忽视的高风险点。AI生成的逻辑即使能工作，也可能遗漏关键的安全措施，比如防重放、防篡改、数据脱敏等，因此需要系统化的安全审计。

1. 为什么要“结合AI与安全审计”

AI生成代码未必安全
AI只会生成“最常见”的实现，但支付逻辑往往有独特的安全要求。
提前发现风险
让AI辅助扫描潜在安全漏洞，比上线后处理代价更低。
覆盖边界场景
AI容易忽略异常回调、重复调用、非法Payload等安全边界条件。
降低人工审查压力
通过AI初步分析，把精力集中在最有可能出问题的高风险逻辑。

2. 背后逻辑

“功能正确”不等于“安全可靠”。

AI偏向生成Happy Path：缺少防御性编程思想，易遗漏异常处理与安全策略。
多层验证思路：让AI帮你识别可疑点，再通过人工检查与官方文档交叉确认。
主动安全设计：在代码写好之前，就明确所有安全要求，让AI生成的逻辑天然具备安全边界。

3. 最佳实践清单

✅ 用AI分析核心逻辑是否缺失安全校验，例如签名验证、防重放、幂等锁
✅ 在Prompt中附上安全策略，让AI检查实现是否符合规范
✅ 检查异常分支与回调逻辑是否覆盖非法Payload、重复请求、时间戳过期等场景
✅ 要求AI生成最小化安全单元测试，用固定数据验证签名、验签与回调幂等
✅ 对涉及私钥、Token、JWT等敏感数据的代码，要求AI生成数据脱敏日志模板
❌ 不要盲目信任AI自动生成的验签、加密与权限控制逻辑
❌ 不要在日志中打印明文密钥、签名、用户信息
❌ 不要把安全校验交给前端或调用方，所有校验必须在后端完成

4. 扩展思考

4.1 Web3支付安全审计重点

签名与验签
- 验签逻辑必须使用官方SDK或权威算法
- 所有签名计算必须严格固定字段顺序
防重放与幂等性
- 检查回调Payload中的timestamp和nonce
- 在数据库或Redis中存储签名ID，防止重复回调造成资金损失
权限与认证
- 校验回调来源IP、域名与签名一致性
- 禁止跳过商户白名单与接口权限控制
敏感数据保护
- 所有私钥、签名值、JWT Token必须加密存储
- 日志与报错信息必须脱敏，避免泄露敏感信息

4.2 AI辅助安全审查的Prompt示例

“请分析下面的回调处理逻辑，列出缺失的安全验证点。”
“根据官方Web3 SDK文档，检查这段签名与验签代码是否正确实现。”
“帮我生成一组恶意Payload测试数据，用于验证回调防重放与防篡改逻辑。”
“请检查这段支付接口代码中是否可能导致资金重复扣款。”

4.3 安全闭环策略

AI扫描：找出潜在风险点
人工验证：结合官方文档确认风险
单元测试：验证签名、验签、幂等等关键逻辑
沙箱验证：在全链路沙箱中模拟攻击场景
持续监控：结合日志与AI生成的安全报告，跟踪异常行为

5. 本章总结

核心观点：
“AI写功能快，但安全需要双重把关。让AI辅助安全审查，再用人工确认，才能放心上线。”
一句话记忆：
“AI能写代码，人要保安全。”

第24条：统一异常处理与错误码，让AI输出可控

核心原则：在使用AI生成代码时，必须先制定统一的异常处理与错误码策略，并让AI严格遵循。这样可以避免异常风暴、日志混乱、返回结构不一致的问题，使Web3支付链路的可观测性和可维护性显著提升。

在Java + Web3支付开发中，支付链路涉及签名、交易、回调、数据库、幂等、KYB/KYC等多个模块。如果AI生成的代码没有统一的异常处理策略，可能导致：

错误信息不可追踪
回调异常无法区分
数据库状态不一致
上游系统收到模糊的返回状态

因此，必须提前设计异常策略，让AI生成的代码在异常抛出、日志记录、错误返回等方面保持一致。

1. 为什么要“统一异常处理与错误码”

减少异常风暴
如果没有统一策略，AI可能在每个方法中随意抛出RuntimeException，导致链路中断。
提升可观测性
错误码统一，便于日志检索、调用链追踪与问题定位。
支持AI对齐风格
在Prompt中给AI提供现有异常体系，让它直接生成与项目一致的处理逻辑。
降低安全风险
避免在错误信息中直接暴露私钥、签名原文等敏感数据。

2. 背后逻辑

异常策略 = 语言 + 契约 + 日志 + 错误码

语言：所有AI生成的代码必须用一致的异常类型，区分业务异常、系统异常和第三方依赖异常。
契约：每一个Controller、Service、Callback接口必须返回统一的DTO或错误码格式，避免出现“同一类错误多个返回风格”的问题。
日志：所有异常必须落AuditLog或OpenSearch，保证问题可追踪。
错误码：错误码规则应固定在Prompt中，让AI在生成时严格遵循。

3. 最佳实践清单

✅ 在Prompt中给AI提供GlobalExceptionHandler的示例，让AI生成的代码自动接入全局异常体系
✅ 制定统一的错误码规则（如 PAY_001、SIGN_002、CALLBACK_003），并附在Prompt中
✅ 业务异常与系统异常分离，避免RuntimeException混用
✅ 在错误日志中记录traceId、merchantId、txHash等关键信息，方便后续排查
✅ 在AI生成的回调处理、签名校验逻辑中，明确要求它返回统一格式
❌ 不要在不同方法中使用不同风格的返回DTO
❌ 不要将原始异常堆栈直接抛给前端
❌ 不要在异常信息中打印私钥、JWT、签名原文等敏感信息

4. 扩展思考

4.1 Web3支付中的异常策略重点

签名与验签异常
- 错误码示例：SIGN_001（签名失败）、SIGN_002（验签失败）
回调处理异常
- 错误码示例：CALLBACK_001（回调Payload缺失）、CALLBACK_002（回调重复）
幂等与事务异常
- 错误码示例：IDEMPOTENT_001（幂等锁失效）、TX_001（事务回滚）
第三方依赖异常
- 错误码示例：BLOCKCHAIN_001（区块链节点超时）、GATEWAY_002（支付网关不可用）

4.2 AI辅助生成异常体系

Prompt示例1：

“根据以下GlobalExceptionHandler代码，帮我在新生成的回调处理逻辑中统一接入异常策略。”
Prompt示例2：

“根据以下错误码设计规范，帮我为这段支付签名逻辑生成标准的异常返回和日志记录。”

4.3 与日志策略的结合

使用traceId+merchantId+txHash统一标识一笔交易，方便跨模块追踪
用AI帮忙在关键异常节点插入统一格式的AuditLog日志
自动生成错误报告，将错误码与日志内容关联，提升可观测性

5. 本章总结

核心观点：
“统一异常体系，让AI生成的代码更可控、更安全、更易追踪。”
一句话记忆：
“异常有规范，错误可追踪；AI按规写，系统更可控。”

第25条：让AI生成数据库一致性检查与修复脚本

核心原则：在使用AI生成Web3支付逻辑时，数据库一致性风险极高。借助AI自动生成一致性检查与修复脚本，提前发现数据错乱、幂等失效、回调丢失等问题，并快速修复，避免影响资金结算与交易状态。

在Java + Web3支付开发中，交易链路涉及签名、回调、幂等锁、交易状态更新、日志审计等。当AI生成的逻辑上线后，最常见的隐患是：

回调未写库导致状态缺失
交易重复回调导致状态异常
多次更新覆盖真实状态
账实不符导致资金风险

通过AI辅助生成的检查与修复脚本，可以在上线前、回归测试和日常巡检中，确保数据一致性。

1. 为什么要“让AI生成数据库一致性检查与修复脚本”

提前发现数据错乱
在幂等控制、回调、交易状态同步等场景下，AI代码可能遗漏某些更新逻辑。
快速修复历史异常
利用AI生成的脚本可以补齐漏数据、修复错误状态，避免大面积人工干预。
沉淀巡检体系
将AI生成的检查脚本沉淀到日常运维工具中，形成持续监控闭环。
降低金融风险
资金相关数据一旦出错，修复成本巨大。提前检测能把风险降低到最小。

2. 背后逻辑

一致性策略 = 检查 + 校验 + 补偿 + 自动化

检查：通过AI生成SQL脚本，检查数据是否缺失、重复、状态异常。
校验：结合交易日志、回调Payload与链上状态，确认数据库与真实交易一致。
补偿：针对漏写、写错的状态，AI生成修复脚本，批量更新。
自动化：将这些脚本沉淀为定时巡检任务，防止重复问题。

3. 最佳实践清单

✅ 用AI生成关键交易表的巡检SQL，检测缺失记录、重复记录、非法状态
✅ 在Prompt中附上表结构与字段说明，让AI生成准确的SQL
✅ 要求AI根据日志、回调Payload和链上状态生成对账SQL
✅ 对于缺失或异常数据，让AI生成可回滚的修复脚本
✅ 对高风险表（交易、签名、回调、幂等锁）开启每日自动巡检
❌ 不要盲目执行AI生成的SQL，必须先在沙箱验证
❌ 不要直接修改交易状态，需与日志、签名、区块链状态交叉校验
❌ 不要在生产环境直接运行未验证的批量更新脚本

4. 扩展思考

4.1 Web3支付一致性巡检重点

回调状态检查
- 检查已上链交易是否有缺失回调
- 检查重复回调是否被幂等锁正确处理
交易状态对账
- 数据库中的交易状态 vs 链上区块确认状态
- 回调状态 vs 日志落盘状态
幂等锁验证
- 检查重复请求是否产生多条相同交易记录
- 检查回调失败后是否产生孤立锁记录
资金对账
- 商户余额、链上金额、日志流水三者是否一致

4.2 AI辅助生成检查脚本的Prompt示例

“根据以下表结构，生成检测交易表t_tx_record中重复交易的SQL。”
“请生成对账脚本，校验t_tx_record中的回调状态与t_audit_log中的记录是否一致。”
“根据以下字段规则，生成修复缺失交易状态的SQL，并附带可回滚方案。”
“帮我生成检测幂等锁表t_idempotent_lock的脚本，列出未释放的锁记录。”

4.3 最佳组合策略

AI生成SQL：生成检查、对账、修复脚本
在沙箱验证：避免直接影响生产数据
AI生成修复报告：自动标记高风险交易与修复计划
沉淀自动化巡检：用AI生成的SQL，接入定时巡检平台或CI/CD流水线

5. 本章总结

核心观点：
“AI写代码快，但数据一致性必须自己守住底线。让AI生成检查与修复脚本，是降低资金风险的最佳实践。”
一句话记忆：
“先检查，再修复；用AI生成SQL，让一致性可控。”

第26条：利用AI生成代码审查清单，建立可维护性保障

核心原则：AI生成的代码能跑，但未必符合可维护性、可扩展性和安全性标准。通过让AI自动生成高价值的代码审查（Code Review）清单，结合人工检查，确保每一行代码在性能、安全、可读性、可扩展性等方面都达到上线要求。

在Java + Web3支付开发中，交易签名、回调处理、幂等控制、区块链交互等逻辑复杂，AI生成的实现可能可用，但经常存在：

命名风格不一致
缺少边界条件处理
重复逻辑和长方法
潜在性能瓶颈
弱安全防护

通过AI辅助生成的审查清单，可以系统化发现这些问题，让团队在上线前建立可维护性保障。

1. 为什么要“用AI生成代码审查清单”

减少人工盲区
AI能快速扫描项目结构，找到最可能出问题的点，比如异常处理缺失、幂等锁冲突。
提高审查效率
审查人员不需要从零列清单，而是基于AI建议聚焦关键风险点。
建立统一标准
让AI基于团队的命名规范、日志格式、异常策略，自动生成统一的Review Checklist。
降低长期维护成本
有了可复用的审查清单，后续AI生成代码的可控性大幅提升。

2. 背后逻辑

AI = 审查助手 + 规范执行器

自动化发现：AI能快速标记重复逻辑、潜在安全隐患、性能热点。
人机协作：AI给出初步清单，人工进行深度分析与决策。
可持续优化：把审查清单沉淀下来，让未来AI生成的代码一次成型，更符合项目规范。

3. 最佳实践清单

✅ 向AI提供团队现有的开发规范（命名规则、异常策略、日志要求），让它生成针对性清单
✅ 把AI生成的审查清单和Cursor的代码Diff功能结合，直接标注可疑行
✅ 让AI对AI生成的代码先自查，找出命名、日志、错误码、安全校验等不一致的地方
✅ 用AI生成安全、性能、可读性三个维度的审查清单，按模块分发给不同审查人
✅ 把最终Review清单版本沉淀下来，复用到下次AI生成代码的Prompt中
❌ 不要让AI完全取代人工审查，高风险逻辑必须人工过一遍
❌ 不要忽略Web3支付特有的安全要求，如签名算法、回调幂等、区块链交易验证
❌ 不要只关注语法正确性，代码可维护性和可扩展性更重要

4. 扩展思考

4.1 Web3支付场景的审查重点

安全性
- 验签算法是否符合官方SDK标准
- 回调幂等锁是否正确使用
- 日志是否脱敏私钥、签名、JWT等敏感字段
性能
- 检查高并发场景下锁竞争是否合理
- 慢SQL、重复区块查询、无必要的全量遍历
可维护性
- 控制器是否过重，是否应下沉到Service
- 是否存在重复逻辑，能否抽取公共方法
一致性
- 错误码、DTO、日志格式是否遵循统一规范
- 事务处理与数据库状态回写是否一致

4.2 AI辅助生成审查清单的Prompt示例

“请根据以下Java代码和我们的团队规范，生成一份针对安全、性能、日志、异常的Review清单。”
“结合Web3支付回调场景，生成一份代码审查Checklist，重点检查幂等性、防重放和验签逻辑。”
“根据我们的异常策略，帮我分析这段代码是否缺少错误码与日志记录，并列出需要补充的地方。”

4.3 建立可持续审查体系

AI扫描：用AI生成初步清单
人工补充：针对AI没覆盖到的边界场景进行补充
提交评审：结合Cursor或Git的Diff Review功能逐行检查
沉淀模板：把高价值清单模板化，供下次AI生成代码复用

5. 本章总结

核心观点：
“AI可以加速生成代码，也可以加速代码审查；结合人工审查，才能建立高质量的可维护性保障。”
一句话记忆：
“AI先审查，人工再把关；清单先固化，未来更高效。”

第27条：用AI生成安全基线检查，防止隐性漏洞

核心原则：在Web3支付开发中，AI生成的代码即使功能正确，也可能埋下隐性安全漏洞。借助AI生成安全基线检查清单和自动化测试脚本，结合人工审查，确保整个支付链路具备足够的防御能力。

在Java + Web3支付开发中，签名、验签、回调、幂等性、防重放、权限校验等都是高风险点。如果缺乏系统化的安全检查，AI生成的逻辑可能在测试时表现正常，但在高并发或恶意攻击场景下失效，导致资金损失或数据泄露。

1. 为什么要“用AI生成安全基线检查”

发现隐性漏洞
AI可能生成能跑通的代码，但缺少安全校验，比如验签遗漏、幂等锁失效等。
建立一致的安全标准
将安全要求写入Prompt，让AI生成符合规范的实现与检查脚本。
补足人工审查盲区
AI可以扫描代码模式，找出潜在风险点，比如明文日志、过时的加密算法。
降低长期风险
AI生成的安全检查脚本可以沉淀到CI/CD流程中，实现持续防御。

2. 背后逻辑

安全设计 = 主动防御 + 自动化检查 + 持续验证

主动防御：在开发初期就明确安全边界，让AI生成的代码天然具备防御措施。
自动化检查：AI生成安全基线清单和测试脚本，降低人工维护成本。
持续验证：将安全检查接入CI/CD，让每次发布自动校验关键安全点。

3. 最佳实践清单

✅ 向AI提供安全策略，让它生成支付链路的安全基线清单
✅ 检查签名、验签、防重放、幂等锁是否在关键环节严格实现
✅ 要求AI生成高价值的安全单元测试和Mock攻击用例
✅ 对涉及私钥、Token、JWT的敏感数据，要求AI生成脱敏日志模板
✅ 将AI生成的安全检查清单纳入代码评审流程
❌ 不要假设AI默认会实现所有安全防护逻辑
❌ 不要在日志中打印明文私钥、完整签名或区块链账户信息
❌ 不要忽略Web3支付链路中与区块链SDK交互的签名与防重放机制

4. 扩展思考

4.1 Web3支付安全基线检查重点

签名与验签
- 检查签名算法是否符合官方SDK标准
- 验证签名字段顺序与链上交易一致
防重放攻击
- 检查nonce、timestamp等字段是否严格校验
- 在幂等锁或Redis中记录唯一请求ID
回调幂等性
- 验证回调请求重复到达时，状态是否被正确拦截
- 确保交易状态不可被恶意覆盖
敏感信息保护
- 所有私钥、JWT、签名必须加密存储
- 审计日志只记录摘要，不打印明文
第三方依赖风险
- 验证区块链节点配置、支付网关API调用安全策略
- 检查外部依赖超时、异常返回的处理逻辑

4.2 AI辅助安全基线的Prompt示例

“请根据以下代码生成一份安全检查清单，重点检查签名、回调、幂等、权限控制。”
“帮我分析这段支付回调逻辑，找出缺失的安全校验点，并生成Mock攻击用例。”
“根据Web3官方SDK文档，验证这段签名实现是否正确，哪些字段需要强制校验？”
“请生成一个安全单元测试，验证防重放、幂等锁和签名验签逻辑的有效性。”

4.3 最佳组合策略

AI扫描代码：生成高价值安全检查清单
人工验证：结合SDK文档、支付安全规范交叉审查
AI生成测试：基于风险点生成Mock攻击与回调重放测试
持续集成：在CI/CD中接入AI生成的安全检查脚本

5. 本章总结

核心观点：
“AI写功能快，但安全要靠基线防御。结合AI生成检查清单与人工审查，才能有效避免隐性漏洞。”
一句话记忆：
“AI扫风险，人来兜底；安全基线先固化。”

第28条：用AI生成架构图与数据流图，提升全局可控性

核心原则：在使用AI生成方案和代码时，不仅要关注单个函数或模块，还必须掌握全局架构与数据流。通过让AI生成可编辑的架构图、时序图、数据流图，帮助你理解代码之间的依赖关系、业务链路和安全边界，从而实现对系统的全局可控。

在Java + Web3支付开发中，AI生成的实现往往跨越多个模块：控制器、服务、回调处理、签名验签、数据库更新、区块链SDK交互等。如果没有一份可视化的架构图和数据流图，很容易陷入“只懂一小块”的状态，导致无法发现逻辑缺口或潜在安全风险。

1. 为什么要“用AI生成架构图与数据流图”

建立全局可见性
清楚知道每个模块、接口、服务之间的依赖和数据交互。
降低维护难度
在重构、排查Bug、引入新功能时，架构图帮助你快速理解上下游影响。
验证AI输出正确性
如果AI生成的方案与你的现有架构不一致，通过可视化图表能快速发现偏差。
辅助团队协作
统一的架构与数据流图方便团队评审与跨职能协作。

2. 背后逻辑

可视化=全局掌控 + 局部优化的前提。

AI提供图形化输出能力：借助AI生成的可编辑架构图，结合实际代码和数据库模型，让系统形态一目了然。
跨模块依赖清晰化：通过AI生成的数据流图，明确哪些服务调用哪些接口，哪些模块依赖哪些外部系统。
风险点可视化：签名、验签、回调、幂等等安全关键点一旦直观展示，缺陷更易被发现。

3. 最佳实践清单

✅ 向AI提供核心代码结构、表结构与接口列表，让它生成架构图
✅ 让AI生成可编辑的Draw.io、Mermaid、PlantUML格式的架构图和时序图
✅ 使用数据流图展示回调、签名、数据库更新等链路的关键数据点
✅ 在安全敏感点（签名、幂等锁、区块链交易）标注安全检查流程
✅ 将AI生成的图表纳入设计文档和评审流程
❌ 不要让AI随意推测依赖关系，必须提供真实上下文
❌ 不要只生成单一的静态架构图，应包含动态交互和时序细节
❌ 不要忽略数据库与SDK的交互路径，否则无法覆盖支付全链路

4. 扩展思考

4.1 Web3支付架构图示例

高层架构图
- Controller → Service → CryptoService → BlockchainSDK → CallbackHandler
- 标出安全检查点、事务边界和幂等锁
数据流图
- 显示交易数据从请求到区块链再到回调的全链路
- 明确Payload、签名、nonce、回调状态、数据库更新路径
时序图
- 展示支付请求、签名、广播、回调、幂等验证的时间顺序

4.2 AI生成可视化图表的Prompt示例

“根据以下服务和方法结构，帮我生成一个Mermaid架构图，标出Controller、Service、Repository、Crypto模块之间的调用关系。”
“请根据以下Web3支付链路，生成数据流图，显示交易发起、签名、广播、回调、数据库更新的全流程。”
“根据回调逻辑，画出时序图，标出幂等锁的生效时机与回滚条件。”

4.3 实用工具推荐

Mermaid：适合生成Markdown内可嵌入架构图
PlantUML：支持类图、时序图和状态图
Draw.io：AI可生成可导入的JSON文件，支持二次编辑
Cursor集成：直接选中代码块让AI生成架构依赖图

5. 本章总结

核心观点：
“全局架构可视化，是掌控AI生成代码质量的关键。图越清晰，Bug越可控。”
一句话记忆：
“先画图，再优化；先全局，再局部。”

第29条：利用AI自动生成集成测试，验证跨模块行为

核心原则：在AI生成的代码上线前，必须通过端到端集成测试验证跨模块行为。借助AI自动生成高覆盖率的集成测试，确保支付全链路在真实环境中按预期工作，避免逻辑缺陷和安全漏洞。

在Java + Web3支付开发中，支付链路常涉及：交易发起 → 签名计算 → 区块链广播 → 回调处理 → 数据库写入 → 幂等控制 → 日志审计。如果只靠单元测试，难以发现跨模块依赖问题。通过AI生成的集成测试，可以模拟真实链路，验证端到端正确性。

1. 为什么要“利用AI自动生成集成测试”

覆盖全链路
集成测试可以同时验证交易发起、签名、回调、数据库更新等多个模块的协同工作。
验证AI生成逻辑
AI生成的代码局部可用，但可能遗漏幂等性校验、回调签名验证等全局约束。
模拟真实环境
集成测试能在沙箱中验证区块链SDK、Web3网关、支付回调接口等外部依赖。
提前发现异常交互
检测数据库事务边界、幂等锁冲突、签名字段顺序等潜在问题。

2. 背后逻辑

集成测试是验证跨模块协作的唯一有效手段。

多模块交互不可预测：即使单元测试通过，不同模块之间的数据依赖可能导致意料之外的错误。
AI生成代码更需要闭环验证：尤其在签名验签、防重放、回调处理等高风险点上。
Mock + 实测结合：AI生成Mock回调数据与测试脚本，再结合沙箱环境，提升测试效率。

3. 最佳实践清单

✅ 向AI提供支付链路的架构图，让它生成针对性测试用例
✅ 模拟真实请求，包括交易发起、签名计算、回调Payload
✅ 在Prompt中要求AI生成基于JUnit + MockMVC的端到端测试
✅ 对回调幂等性、防重放、数据库写入等高风险路径写断言
✅ 集成测试应运行在沙箱环境，避免影响生产数据
❌ 不要只验证“Happy Path”，异常场景必须覆盖
❌ 不要依赖单元测试代替集成测试
❌ 不要忽略第三方依赖，例如区块链SDK、支付网关接口超时等情况

4. 扩展思考

4.1 Web3支付集成测试的关键场景

签名一致性验证
- 验证AI生成的签名计算与官方SDK输出是否一致
回调幂等控制
- 模拟重复回调，检查幂等锁是否正确拦截
交易状态一致性
- 模拟链上广播成功和失败两种情况，验证数据库状态是否回滚
异常场景覆盖
- 模拟回调Payload缺失字段、签名过期、区块链超时等场景
安全策略校验
- 验证AI生成的逻辑是否正确处理防重放、签名字段排序、权限白名单

4.2 AI辅助生成集成测试的Prompt示例

“根据以下支付链路描述，生成JUnit 5集成测试，模拟从交易发起到回调处理的全流程。”
“请帮我生成Mock回调Payload，包括成功、签名错误、重复回调三种情况。”
“根据签名算法实现，生成一个验证签名一致性的集成测试，使用固定Payload和私钥。”
“请写一个基于SpringBootTest的测试类，验证交易广播失败时数据库状态是否回滚。”

4.3 测试提升策略

AI生成测试骨架 → 自动化快速创建高价值用例
手工补充断言 → 确保覆盖幂等性、安全策略等关键场景
接入CI/CD → 每次提交代码自动执行集成测试
结合沙箱 → 用AI生成的Mock数据跑沙箱，确保测试数据与真实链路对齐

5. 本章总结

核心观点：
“单元测试只能验证局部正确性，集成测试才能验证AI生成代码在全链路的可靠性。”
一句话记忆：
“AI写代码，集成测闭环；模拟真实链路，确保系统可控。”

第30条：建立AI+人工的持续改进闭环，让方案可演进

核心原则：AI生成的方案和代码只是起点，最终落地需要“AI生成 → 人工验证 → 数据反馈 → Prompt优化 → 再次生成”的持续改进闭环。通过构建可迭代的AI协作体系，确保系统在可控、可维护、可扩展的基础上不断演进。

在Java + Web3支付开发中，AI能高效生成设计方案、业务逻辑、测试用例和调试脚本，但AI并不理解你的特定业务背景。只有建立AI+人工双向反馈的机制，才能让生成的代码在质量、安全性、性能和可维护性之间取得平衡。

1. 为什么要“建立AI+人工的持续改进闭环”

AI无法替代业务判断
AI可以写出通用实现，但对你项目的业务规则、支付风控要求和安全边界缺乏上下文。
避免重复犯错
没有反馈的AI会在每次生成中重复相同的问题，比如签名字段顺序错误或回调幂等缺失。
提升生成质量
把人工审查与沙箱测试的结论反哺到Prompt中，下一次生成的代码会更贴近你的要求。
促进团队共识
通过共享的AI交互日志、审查清单、优化策略，确保团队对AI生成的成果保持一致理解。

2. 背后逻辑

闭环=生成→验证→优化→再生成

AI驱动：初版方案和代码交给AI快速产出，提高开发效率。
人工验证：结合单测、集成测试、沙箱链路和安全审计验证AI生成的实现是否可靠。
数据反馈：把问题点、改进点、失败案例输入AI，让它学习并优化Prompt。
持续演进：新Prompt + 新上下文 → 更高质量的输出 → 逐步积累项目知识库。

3. 最佳实践清单

✅ 在每次AI生成代码后，记录可改进点并沉淀到Prompt模板
✅ 把日志、测试报告、错误分析结果反馈给AI，形成针对性优化
✅ 在团队内部维护共享Prompt与交互记录，避免重复试错
✅ 将AI生成的安全基线、测试脚本、架构图持续整合到文档中
✅ 定期复盘AI的使用成果，总结经验并更新策略
❌ 不要一次性给AI极长上下文，先拆解问题逐步迭代
❌ 不要只依赖AI输出，不经过验证直接推生产
❌ 不要让每个人自己独立探索AI使用方式，容易分散经验

4. 扩展思考

4.1 Web3支付闭环优化示例

初次生成

AI生成交易签名、验签、回调处理逻辑
输出方案、时序图、单测用例

人工验证

在沙箱中发现签名验签字段顺序有误
回调幂等缺失，重复通知导致数据库状态错乱

数据反馈

将报错日志、SDK文档、签名规则输入AI
更新Prompt，明确签名字段固定顺序、幂等控制策略

二次生成

AI根据新Prompt生成符合要求的签名与回调逻辑
新增安全测试与幂等验证，Bug减少90%+

4.2 提升闭环效率的技巧

Prompt模板化
- 固定AI生成方案的结构：背景 → 约束条件 → 成果要求 → 输出格式
知识库沉淀
- 把AI对话中验证过的有效逻辑整理到Wiki或文档，后续直接复用
反馈闭环自动化
- 把测试报告和日志自动导入AI上下文，由它生成下一轮优化建议
团队共享经验
- 定期同步AI使用方法、最佳Prompt、已解决问题案例

5. 本章总结

核心观点：
“AI生成只是起点，闭环优化才是长期可演进的关键。把AI当成‘辅助开发者’，而不是‘最终答案’。”
一句话记忆：
“AI产出，人工验证；数据反馈，持续进化。”

总结：让AI生成的代码真正“可控、可懂、可负责”

在AI时代，代码的生产方式正在发生根本性变化。我们不再是“独立写代码的人”，而是与AI共同设计、共同实现的协作者。然而，AI生成的方案和代码只是“起点”，而不是“答案”。如果我们想真正为AI生成的代码负全责，就必须从 清晰输入 → 审慎验证 → 安全防御 → 性能优化 → 可持续演进 五个维度，构建一套完整的实践方法论。

这三十条最佳实践，正是围绕这五个核心维度展开。

一、清晰输入：掌握问题，控制AI输出方向

（对应第1～4条）

如果你希望AI帮你生成可用、可控的代码，首先必须从输入做起。

明确需求：在第1条中，我们强调要向AI提供完整的上下文，包括功能目标、技术栈、框架版本、依赖约束、已有接口和业务规则。输入越具体，输出越精准。
精确提问：第2～3条提出“分层式Prompt”策略，从高层架构到具体实现逐步引导AI，而不是一次性要求它给出全部方案。
上下文可视化：第4条提醒我们善用Cursor和IDE，把已有代码、表结构、SDK接口等上下文喂给AI，让它更精准对齐你的项目环境。

核心结论：
好的输出，始于好的输入。你不是在“提问”，而是在“设计AI的工作流”。

二、审慎验证：让AI产出可被信任

（对应第5～12条）

AI生成的代码“能跑”不等于“正确”，更不等于“可靠”。

代码审查（第10条）：让AI担任二次Review角色，从逻辑、性能、安全等角度审查自己的产出。
逐步拆解（第11条）：大块实现要按模块切分，分Controller、Service、Crypto、回调处理等独立验证。
对照权威（第12条）：凡涉及第三方SDK、支付API、Web3签名算法，必须回到官方文档、源码和示例交叉验证。
最小场景验证（第13条）：构造可重现问题的最小化脚本，把定位范围缩小到可控维度。

核心结论：
不要盲目信任AI，把它当“初稿助手”，再用多重验证手段重建信任。

三、安全防御：避免AI生成隐性漏洞

（对应第23～27条）

在Web3支付场景中，资金链路和敏感数据的安全是底线。

AI不懂安全：第23条强调，AI只会写“常见实现”，但不会主动覆盖所有防御措施，比如回调防重放、签名字段顺序、幂等锁等。
安全基线检查（第27条）：让AI生成安全检查清单和自动化攻击脚本，验证签名验签、防重放、防数据篡改的有效性。
异常统一处理（第24条）：通过统一的异常体系和错误码，让安全风险可被观测、可被控制。
数据一致性巡检（第25条）：AI生成的SQL脚本帮助我们每日巡检交易表、幂等锁、回调状态，防止资金错账。

核心结论：
AI能写代码，但安全需要我们兜底；AI能扫描风险，但安全闭环要靠人机协作。

四、性能优化：用AI发现瓶颈，靠验证保证结论

（对应第22、28、29条）

AI生成的逻辑未必是高效的，尤其是Web3支付链路涉及签名计算、链上交互、回调处理、多线程并发，稍有不慎就会出现性能瓶颈。

识别瓶颈（第22条）：让AI解析JProfiler报告、慢SQL日志、OpenSearch链路日志，自动标注高耗时方法。
架构可视化（第28条）：AI生成的Mermaid、PlantUML、Draw.io架构图帮助我们看清数据流，找出不必要的同步依赖与性能热点。
端到端集成测试（第29条）：用AI生成全链路测试，验证交易签名、广播、回调、幂等锁、数据库写入等关键路径的性能表现。

核心结论：
性能分析要数据驱动，AI给线索，人来验证，闭环才可控。

五、可持续演进：构建AI+人工的闭环体系

（对应第26、30条）

最后，我们不仅要让AI生成的代码“能跑”，更要让它“可演进”。

审查模板沉淀（第26条）：让AI生成安全、性能、可维护性三维度的代码审查清单，并不断迭代优化，形成团队统一规范。
持续反馈闭环（第30条）：
- AI生成 → 人工验证 → 数据反馈 → Prompt优化 → 再生成
- 通过共享Prompt、交互日志和优化方案，让AI越来越懂你的系统与规范。

核心结论：
AI是“副驾驶”，不是“自动驾驶”。闭环优化，才能让系统长期健康演进。

最终感悟：人机协作的新范式

这三十条实践不是一份“规定动作”，而是一套可演进的操作系统。

AI是生产力：它让我们写方案更快、写代码更快、写测试更快。
人是控制力：我们负责上下文、验证、安全、架构和可持续性。
闭环是护城河：把经验沉淀为可复用Prompt和可自动执行的策略，才能形成长期优势。

如果说AI让我们写代码的效率提升了10倍，那么这三十条方法的目标，是确保 “高效”不以“失控”为代价，让我们既能快，又能对每一行代码、每一次上线、每一次链路安全 负全责。

一句话总结：
“AI写得快，人要看得透；建立可控的闭环，让速度与安全并存，让效率与责任共生。”

《Cursor AI 编程助手最佳实践》

发表于 2025/08/15 | 分类于 AIGC

特别说明：此文由ChatGPT生成，后续由我本人编辑、修改而成。

Cursor 作为 AI 驱动的代码编辑器，在正确使用下可以显著提升开发效率和代码质量。开发者的经验表明，使用 Cursor 后开发效率确实有明显提升；有资深用户甚至反馈它相较传统工具带来了 2 倍以上的提效。但要充分发挥 Cursor 的优势，同时避免潜在风险，我们还需要遵循一系列最佳实践。下文总结了 20 条针对 Java 后端项目的 Cursor 使用建议，并对个人与团队场景分别做出说明。

1. 启用代码库索引提升上下文理解

• 操作建议：确保打开项目后让 Cursor 自动索引代码库。初次使用时，Cursor 会扫描项目文件生成嵌入向量，以便后续 AI 更好地理解您的代码。在设置中开启“自动索引新仓库”的选项，并根据需要调整忽略某些文件的配置（见下一条）。
• 背后理由：通过代码索引，AI 模型对项目的上下文掌握更全面。当您询问代码问题或让 AI 生成代码时，它可以参考已索引的文件内容，从而给出更准确、有针对性的答案。“让 AI 熟悉代码库”是 Cursor 提效的基础功能之一。
• Java 项目适配：对于 Spring Boot 等大型 Java 项目，索引可以帮助 AI 理解项目结构（如控制层、服务层、仓库层的划分）并回答关于代码的具体问题。个人使用时，可直接依赖 Cursor 自动索引；团队项目中，建议所有成员在各自环境中打开索引，并统一忽略不必要的文件（下一条详述），以避免无关内容干扰 AI 理解。

2. 定义 Cursor 规则以指导 AI 输出

• 操作建议：充分利用 Cursor Rules 功能，在项目中创建规则文件来约束和指导 AI。将项目的编码规范、架构模式和领域约定写入 .cursor/rules/ 目录下的规则文件中，并在 Cursor 设置中配置必要的全局 User Rules。例如，可以建立规则要求“Repository 接口命名以 Repository 结尾”、“Service 层需使用 @Transactional”等。这些规则都可以在Cursor的帮助下自动生成。
• 背后理由：规则相当于对 AI 的持续性系统提示，能让 AI 在每次生成代码时遵守指定的风格和约束。通过项目规则可以编码领域特定知识、自动套用项目模板、统一风格和架构决策。例如，您可以用规则规定领域术语或框架用法，让 AI 明白在您的项目中应遵循的准则。这样减少反复提示同一规范的需要，提高协作一致性。
• Java 项目适配：在个人项目中，您可定义 User Rules 作为自己偏好的编码指南（例如代码风格、日志格式等）。对于团队项目，将规则文件纳入版本控制，使所有成员的 Cursor 都应用相同规则，确保生成代码风格一致。如针对 Spring Boot 项目，可编写规则规范：“Controller 层只调用 Service，不直接访问 Repository”，或 JPA 实体命名规范等，以此来标准化团队代码。请注意将规则聚焦于具体可行的要求，并提供示例，规则应精确且可操作以发挥最大效力。

3. 针对敏感代码启用隐私模式

• 操作建议：当处理公司私有代码或敏感项目时，启用 Cursor 的隐私模式。具体做法是：在设置中将 allowAiService 设为 false、关闭遥测上报等。隐私模式开启后，每次与 AI 的交互都不会将代码长期存储在云端。
• 背后理由：启用隐私模式可以防止源码片段未经允许上传到远程服务器。Cursor 官方强调，在隐私模式下，您的代码不会被远端存储，每次请求处理完后数据即被删除。这对企业代码尤为重要，可降低泄漏机密的风险。需要注意的是，关闭 AI 服务访问可能会禁用某些基于云端模型的功能，因此要在安全与功能之间权衡。
• Java 项目适配：个人开源或练习项目如果不涉及机密，可视情况决定是否打开隐私模式；但对于企业 Java 后端项目（包含公司业务逻辑、数据库密码等），强烈建议开启。在团队场景下，可以将隐私模式作为开发规范的一部分，并提醒成员不要在提示中粘贴敏感凭据或个人数据（即使开启了隐私模式，也应遵循最小披露原则）。将 API 密钥、密码等以环境变量或占位符形式与 AI 讨论，避免直接暴露真实机密信息。

4. 配置索引忽略规则，聚焦有效内容

• 操作建议：使用 .cursorignore 或项目已有的 .gitignore 来忽略不必要的文件，避免将日志、大型二进制、依赖库等无关内容纳入索引。Cursor 默认会遵循 .gitignore 中的模式，您也可以在 Cursor 设置的“Indexing & Docs”中查看和调整忽略文件列表。这些规则都可以在Cursor的帮助下自动生成。
• 背后理由：精简索引范围可以提高 AI 答复的准确性。忽略大型文件或编译输出，可减少向量数据库干扰，让 AI 更专注于源代码本身。同时这还有利于性能，因为跳过庞大文件意味着索引更快、占用更少资源。
• Java 项目适配：建议忽略 target/、*.class、*.jar 等编译产物目录和文件（这些内容既不需要AI理解，又可能极大增加索引规模）。如果项目使用 Lombok 等生成代码的库，也可忽略自动生成的源码目录，转而索引生成前的源文件。个人用户可以根据项目情况手动调整；团队应在项目仓库根目录提供统一的忽略配置（例如 .cursorignore 文件），确保大家的 Cursor 索引行为一致。同时注意忽略包含敏感信息的文件（如包含密码的配置文件），以进一步降低泄密风险。

5. 调优编辑器设置以适配 Java 开发

• 操作建议：像配置 VS Code 一样配置 Cursor。设置统一的 JDK 路径、编码风格和性能优化选项。例如，在工作区的 .vscode/settings.json 中指定团队的 JDK 安装路径 (java.jdt.ls.java.home)、缩进为4空格、保存时自动格式化和优化 imports，以及关闭针对生成文件的文件监视等。同时，提供调试配置 launch.json 方便一键启动 Spring Boot 应用或运行测试。
• 背后理由：良好的编辑器配置能提升 AI 建议与实际项目环境的契合度。Java 项目通常对缩进、编码、构建有特定要求，预先设置好这些选项可减少 AI 生成代码与项目规范不符的情况。另外，Cursor 本质是 VS Code 衍生版，对大型项目的性能取决于配置优化。例如忽略编译目录的文件监视可避免编辑器卡顿。一位作者指出，影响开发效率的主要因素就是恰当的设置和配置 ——准备好这些有助于 AI 功能流畅发挥。
• Java 项目适配：对于个人开发者，请根据自己项目需要在 Cursor 中配置好 Java 扩展的设置（如 Maven 本地仓库镜像、编码格式UTF-8、行尾处理等）。若网络不佳，可以像常规配置 VS Code 那样更换 Maven 仓库为国内源以提升依赖下载速度。团队使用时，应在项目仓库中提供标准的 VS Code 设置（如通过 .vscode/ 目录共享 settings.json、launch.json、tasks.json 等）。这些配置应包含格式化规则、编译和调试命令，以及推荐安装的插件列表。通过统一配置，团队所有成员的 Cursor 环境将保持一致，从而减少“因环境导致的AI建议差异”，整体提升协作效率和开发体验。

6. 安装必要的 Java 扩展插件

• 操作建议：由于 Cursor 基于 VS Code，许多 Java 功能需要插件支持。安装官方的 “Extension Pack for Java” 扩展包，它包含 Java 语言支持、Maven/Gradle 工具、调试器等 7 个子插件，可一次性满足 Java 开发所需。根据项目需求，还可以安装 Lombok、Spring Boot Tools、Docker 等插件。若界面语言需要中文，也可安装 VS Code 中文语言包。
• 背后理由： VS Code 本身对 Java 的支持较弱，大部分功能（如代码补全、重构、调试）依赖语言服务器等扩展来实现。安装 Java 扩展包能提供与 IntelliJ 类似的基础能力。这些插件确保 Cursor 能正确识别 Java 语法和项目结构，例如提供 IDE 必要的语法高亮、错误标注、自动导包等。如果缺少它们，AI 生成的代码可能因为编辑器无法解析依赖而出现假警告或不完善的地方。
• Java 项目适配：个人用户第一次使用 Cursor 写 Java 时，务必先装好 Java 扩展包，否则会感觉“什么都不好用”。对于团队，在内部文档或项目 README 中注明Cursor 开发环境的插件要求。可以利用 VS Code 提供的 extensions.json 推荐列表，让团队成员打开项目时获得安装提示。例如，推荐安装红帽的 Java 扩展、Debugger for Java、Test Runner for Java 以及 Spring Boot Extension Pack 等。通过统一插件集，保证每个人的 AI 助手都有可靠的基础知识库，减少因为本地环境差异导致的 AI 行为不一致。

7. 区分使用 Chat 对话和内联编辑两种模式

• 操作建议：根据场景选择 Cursor 的不同 AI 交互模式：使用 Chat 模式（快捷键 Cmd+L）与 AI 进行对话求解复杂问题；使用 Composer/Inline Edit 模式（快捷键 Cmd+K 或编辑器右键“Insert AI Suggestion”）对现有代码进行定向修改或生成新代码。Chat 窗口中的回复不会自动应用到代码，而 Composer 模式下 AI 生成的代码片段可以直接插入/替换到编辑器。在 Chat 得到满意答案后，可按 Cmd+I 将提议的代码移动到 Composer 区域进行应用。
• 背后理由：两种模式各有适用场景：Chat 模式更适合开放式讨论、让 AI 解释代码、规划架构或回答非代码问题，其回复您可以先阅读斟酌，然后决定是否手动采用。而 Inline/Composer 模式适合具体的代码生成功能，如“在此文件插入某方法实现”——AI 会直接给出修改方案并高亮预览，更直观地查看改动效果。将不同任务用合适的模式处理，可以提高效率并降低出错几率。例如，Chat 模式下可以反复追问直到答案令人满意，再通过 Composer 应用变更，从而避免不必要的错误修改。
• Java 项目适配：在日常开发中，可以用 Chat 模式让 AI 帮忙梳理业务逻辑或排查 bug，例如“请解释下为何我的 Spring Bean 没有被注入？”。AI 会利用索引过的代码给出推理，并可能提供解决建议。而当需要批量修改代码（比如重构某个类名、添加日志语句等），可以在编辑器中选中相关代码片段，直接让 Cursor 执行 Inline Edit 指令。个人使用时多练习切换这两种工作流以找到最佳节奏；团队使用时，可以分享对不同模式的使用心得，使新人尽快上手。例如，可以在团队wiki中记录：“使用 Chat 模式做设计讨论，用 Composer 模式做代码生成”，帮助大家充分利用各模式优点。

8. 精心设计提示词并将任务拆解

• 操作建议：练习编写清晰的提示（Prompt）。在向 Cursor 请求帮助时，尽量明确说明需求、提供足够的背景，并避免一次性提出过于庞杂的要求。将复杂任务拆分为多个小步骤，让 AI 分步完成。例如，先让 AI 生成 DAO 接口，再生成 Service 实现，最后编写 Controller，而非一口气要求“生成整个模块的所有代码”。如果 AI 未理解意图，可通过逐步追问或重述来引导。
• 背后理由：良好的提示工程（Prompt Engineering）对充分发挥 Cursor 至关重要。清晰具体的指令就像给模型指路的线索，使其更容易“猜中”你想要的结果。研究表明，让模型逐步推理、分段输出往往比一次输出大段代码更可靠。这在实践中也得到验证：有用户发现 Cursor 擅长小范围的代码重构或生成，例如修改一个函数的逻辑，效果很好；但如果一次涉及过多文件或复杂上下文，AI 可能会“思路混乱” 。通过聚焦于单一功能点，AI 可以给出更准确的响应，减少胡乱臆测。
• Java 项目适配：例如，与其让 AI “生成一个完整的Spring MVC三层架构模块”，不如先提问：“在 Spring Boot 中创建一个 Repository 接口，包含根据 email 查找 User 的方法”，待 AI 给出代码后，再继续：“为上一步的 Repository 实现 Service 层逻辑”。这样逐步细化，AI 每次处理的信息量更可控，也更贴近实际开发流程。个人使用时可以积累一些常用提示模板（如请求生成单元测试、优化某段代码性能等）；团队则可在内部分享高质量的 Prompt 案例。当同事设计出有效的提示词解决了某类问题时，不妨在团队文档中记录下来，方便他人参考借鉴，从而整体提升 AI 使用水平。

9. 巧用 “@引用” 提供上下文

• 操作建议：当询问AI有关某段代码的问题或让其修改代码时，显式引用相关文件或片段。在聊天或指令中使用“@文件名”引用项目中的文件，或在对话中通过“Add Context”按钮添加当前文件，这会将文件内容纳入 AI 上下文。Cursor 还支持用特殊语法引用 Pull Request 编号、提交哈希等（如 @PR123 引用特定PR的diff）。引用添加后，可直接对AI说“请优化上述代码的性能”，它会基于提供的代码进行分析。
• 背后理由：主动提供所需的上下文，能显著提高 AI 回答的准确度。Cursor 支持通过 @ 符号引用多个文件且不会重复添加已经包含的内容。这意味着如果您的提问涉及跨模块逻辑，引用相关源文件能让 AI 更全面地理解问题，而不是让模型凭记忆或不完整的信息瞎猜。例如，在一个大型项目中，询问“函数X为什么输出错误结果”时，至少应把函数X所在文件和相关的配置文件通过 @ 提供给 AI。否则模型可能由于缺少关键上下文而给出偏颇的答案。
• Java 项目适配：在个人项目中，这一做法可用来让 AI 理解特定框架设置。比如，如果请 AI 协助配置 Spring Security，最好 @ 引用安全配置类，AI 才能基于实际配置提出修改建议。对于团队协作，Cursor 还能引用 Git 仓库的历史记录帮助回答问题——如通过 @commit哈希引用某次提交内容。这样当新人问“为什么上月改动后某功能出错”时，AI 可以调取对应PR的改动来分析原因。合理地使用 @ 引用，相当于把相关资料附在提问中，既减少来回澄清，又让 AI 解答更具依据。

10. 充分利用 Tab 补全加速编码

• 操作建议：在编写代码时，留意 Cursor 提示的自动补全（通常以灰色文字显示），并大胆按下 Tab 键接受合理的建议。Cursor 的多行智能补全能根据当前上下文猜测您想写的代码。当需要编写模板化或重复性的代码时，不妨先输入几个字母让 Cursor 猜，如觉得提示合适直接补全。这种按 Tab 驱动的写码方式需要一点练习，但一旦习惯可以大幅提升速度。
• 背后理由： Cursor 的实时补全功能被许多开发者称道，其智能程度经常让人惊叹。有使用者反馈，大约四分之一时间 Cursor 几乎能精准预测他们下一步要写什么。当上下文越充分（比如定义了相关变量、导入了库），补全越贴合需求。这种体验就像与一位熟悉项目的搭档共同编程——很多样板代码只需一按 Tab 就自动写好。与其手动敲出重复代码，不如让 AI 来“读你的心思”，帮助填充剩余部分，从而把精力留给更具创造性的工作。
• Java 项目适配：在 Java 后端开发中有大量模板式代码可借助补全：如常见的 getter/setter、构造函数、日志语句、JUnit 测试样板、Spring 注解等。Cursor 往往能根据类名和属性猜出你要生成这些成员。比如，当您定义了实体类字段后，下一行就可能自动出现 public <Type> get<Field>() {…} 的补全建议。再比如，在写 DAO 接口方法时，Cursor 可能会基于方法签名直接补全@Repository注解或 JPQL 查询语句。如果团队内普遍使用 Cursor，大家会发现人肉重复劳动显著减少，代码形成初稿的速度快了许多。当然，请始终Review 补全的代码，确保符合预期后再保存提交。

11. 仔细审核并测试 AI 生成的代码

• 操作建议：永远不要直接相信 AI 给出的代码，就算它语法正确，也需经过人工检查和运行测试后再并入主分支。将 AI 编写的代码当作初稿，对其进行代码审查（Code Review）和本地调试。特别是核心逻辑，要写单元测试或集成测试加以验证。如果 Cursor 提供的代码无法通过编译或测试，及时纠正并反馈给 AI（通过对话澄清要求）或自行修复。
• 背后理由： AI 代码辅助的本质是一种概率预测模型，有时可能生成不正确或不健全的代码。在多人经验交流中，有人反映 Cursor 对复杂 Java 项目输出的代码甚至无法编译，可能出现低级语法错误。因此，对 AI 产出进行严格的质量控制是必要的。通过测试来检验功能正确性，可以捕获 AI 可能遗漏的边界情况或逻辑漏洞。同时，借助测试结果您还能反过来指导 AI 改进代码（比如将失败的测试描述给 AI，让它修正代码）。正如一篇社区文章总结的那样：AI 工具确实能提高效率和代码质量，但开发者需谨慎使用，避免过度依赖，并结合单元测试和持续学习等手段来保证代码的安全性与完整性。
• Java 项目适配：在 Java 后端中，更要关注 AI 代码的类型正确性和业务逻辑严谨性。举例来说，AI 可能会在未充分理解线程安全要求时就给出并发代码，实现上存在竞态条件；或在处理数据库事务时忽略了必要的回滚逻辑。这些问题必须通过测试和代码走查发现。个人项目中，应养成对 AI 代码跑通所有单元测试再使用的习惯；团队项目中，更应将AI 代码的Review纳入常规流程。可以规定每个成员在提交 AI 辅助生成的代码前至少运行基本测试，同时鼓励大家对可疑的 AI 产出提出质疑。通过这样的把关，利用 AI 提速的同时也确保代码质量不打折扣。

12. 了解 Cursor 在 Java 方面的局限性

• 操作建议：认识到当前 Cursor (VS Code 内核) 对 Java 项目支持的不足之处，并采取相应对策加以弥补。具体来说，要留意：① VS Code 的 Java 语言服务器相较 IntelliJ 有差距，可能无法解析复杂的注解处理器、生成代码或提供高级重构；② Cursor 对大型 Java 项目（成千上万行代码）可能出现性能瓶颈或上下文遗漏；③ 某些场景下AI给出的代码不符合 Java 规范，需要人工纠正。针对这些限制，可以选择在需要时配合传统 IDE 使用，或提前为 Cursor 创建必要的“支撑”，如生成源代码、添加类型定义等。
• 背后理由：正如部分资深用户所指出的，Cursor 基于 VS Code，在 Java 开发体验上与 IntelliJ 等成熟IDE存在差距。例如，Cursor 对项目依赖和引用的理解不如 IntelliJ 深入，有开发者反馈使用 Cursor 时经常需要手动导入包，自动引用功能不完善。又比如，Cursor 对 Java GUI 或服务器容器（如 Tomcat）的集成不如 IntelliJ 顺滑。认清这些短板可以避免我们对 Cursor 抱有不切实际的期望——它并非万能。当遇到 AI 或编辑器无法解决的问题时，切换回熟悉的工具是务实的选择。
• Java 项目适配：如果您的项目大量使用 Lombok、MapStruct 等注解处理器，建议预先运行构建以生成所需代码，这样 Cursor 才能在索引时看到完整的类型信息。中提到某用户在 Cursor 中无法使用 MapStruct，就属于这类情况，可以通过在构建过程中让注解处理生成源码来缓解。此外，对于超大型的 Java 单体应用（例如包含数百个类的大项目），Cursor 可能在上下文相关性上力不从心。这种情况下，可以考虑将项目拆分成多个子模块分别在 Cursor 中打开，或利用 multi-root workspace 功能分区索引。团队内部也应讨论并达成共识：在哪些工作内容上适合用 Cursor，在哪些情况下仍然需要借助 IntelliJ 等传统IDE。比如，可以约定用 Cursor 编写业务代码，但用 IntelliJ 进行复杂重构和性能分析，以取长补短。

13. 明智选择模型并关注调用成本

• 操作建议：根据任务需要选择合适的 AI 大模型，并留意模型使用的计费和性能差异。Cursor 支持 OpenAI（如 GPT-4）、Anthropic（Claude）、Google 等多种模型，您可以在设置中指定默认模型或使用 “Auto” 模式让 Cursor 自动挑选。在使用过程中，密切关注编辑器状态栏显示的 token 消耗或费用估算，防止超出预算。对于简单补全任务可用速度快、成本低的模型，如需高准确度可以切换更强大的模型，但要记住更强模型通常意味着更高费用。
• 背后理由：不同模型在编程任务上的效果和开销差异很大。以 OpenAI API 为例，GPT-4 的效果往往优于 GPT-3.5，但费用也昂贵数倍。Cursor 的订阅计划中会附带一定额度的 API 调用金额，然后超出部分需要自费。如果不加以控制，频繁调用复杂模型可能在不知不觉中花费不少。因此需要智慧地分配模型使用：能用小模型解决的就没必要用大的。Cursor 的 “Auto 模式” 虽能根据任务自动切换模型，但它可能为了追求高质量而调用价格高的模型，这时开发者要有成本意识。如果发现模型性能过剩，可以手动降级模型以节省费用。
• Java 项目适配：对于个人开发者来说，API 调用的费用是真金白银，应当精打细算。例如，在编写简单 POJO 类或重复性代码时，可以暂时将模型切换为 GPT-3.5 等经济型模型；在让 AI 优化复杂算法或审查代码时，再切换到 GPT-4 等高性能模型，以确保关键场景的质量。Cursor 界面会提示您的用量和剩余额度，请定期检查避免发生超额扣费。团队使用时，建议统一模型使用策略：比如免费账户开发者统一使用某模型，重要代码评审统一使用更高级模型等，并提前预估成本。对于预算宽裕的团队，引入 Cursor 时可以将其API费用计入项目成本，并通过内部监控（如每月统计调用量）来优化模型使用。总之，“用对模型做对事”，才能既发挥 AI 威力又不致成本失控。

14. 谨慎使用 Max 模式加载超大上下文

• 操作建议：当需要 AI 处理超长文件或大段代码时，可考虑启用 Cursor 的 “Max Mode”（上下文扩展模式），但要在必要时才使用。Max Mode 会将支持的模型上下文窗口扩展至最大（例如 GPT-4.1 提供超过20万 Token 的上下文）。在 Chat 窗口中通过 /max mode 命令或设置面板启用后，可以一次性让 AI 考虑更多文件内容。不过请在完成大任务后及时关闭或恢复默认模式，因为 Max 模式运行速度较慢且每次请求消耗的 Token 量巨大。
• 背后理由：普通模式下，Cursor 限制上下文在约 200k Token（约相当于15,000行代码）的范围。这对于绝大多数文件已经足够，但某些情况下（比如分析庞大的日志、处理多个文件间复杂关系）可能还嫌不够。Max 模式利用支持特大上下文的前沿模型，将限制放宽到当前模型的极限。这确保 AI 有尽可能完整的信息来回答问题。但副作用也很明显：响应变慢（因为处理文本量成倍增加），费用变高（因为计费按 Token 计）。因此，Max 模式像“涡轮增压”，需要时开一下，不要全程一直开。
• Java 项目适配：在个人开发中，可能很少需要 Max 模式——除非你要 AI 阅读一个几十万行的日志文件找问题。这种任务下 Max 模式确实方便，因为普通模式下可能截断重要信息。但更可取的办法也许是借助日志分析工具先缩小范围，再让 AI 查看摘要。对团队而言，如果有大型代码审计或跨服务调用链梳理的需求，Max 模式可以派上用场。不过要注意通知同事在使用时段控制请求频率，以免占用过多团队共享的 API 额度。一旦超大文本分析完毕，应关闭 Max 模式恢复正常，以保持 Cursor 运行的经济高效。

15. 利用 “Memories” 保持跨会话的上下文

• 操作建议：善用 Cursor 的记忆功能（Memories），在需要时将重要信息固化为“记忆”。当您在 Chat 模式中与 AI 反复讨论某项约定（例如某个变量含义或某种架构决策），Cursor 可能会提示提取为 Memory。经您的确认，这些内容会保存为项目范围的规则，下次开启新对话也能自动应用。您也可以通过在对话中明确要求 “请记住XX”，让 Cursor 主动将其记录为 Memory 。记忆内容可在设置的规则列表中查看和管理。
• 背后理由： Memory 实质上是特殊形式的规则，用于跨会话保持关键背景。由于大语言模型对话默认不记前情，每次对话上下文需要重新提供。而通过记忆，Cursor 能在每次新对话时自动加载那些持久化的提示，仿佛 AI 已经“知道”之前讨论的结论。这样开发者无需每次重复解释同一件事，提高了效率和一致性。当然，Cursor 设计了人工确认步骤以确保存入记忆的内容正确且必要。合理使用记忆，可以让 AI 更好地融入您的项目背景，提供更贴合的建议。
• Java 项目适配：举例来说，您曾与 AI 约定“我们项目使用 DDD 分层架构，所有数据库操作都通过 Repository 完成，不在 Service 编写 SQL”。如果将此作为 Memory 保存，那么以后无论谁在 Chat 模式下请求数据库相关代码，AI 都会遵循这一约定答复。在团队环境中，Memory 甚至可以帮助新成员迅速共享团队约定：当多人在同一项目使用 Cursor 时，如果每个人都确认相同的 Memory 文件（经版本控制共享），AI 就像融入团队文化一样工作。不过请谨慎添加记忆——不要把随意的对话内容存为记忆，以免污染后续回答。确保记忆条目简洁明确，并定期Review它们是否仍适用当前项目。

16. 借助 AI 快速生成文档和注释

• 操作建议：让 Cursor 不仅为你写代码，也为你写文档。当功能编码完成后，可以请 AI 帮忙生成 README、API 文档或关键代码的注释说明。例如，在 Chat 模式对整个项目说“请根据代码生成一份项目简介和使用说明”，或者在某个类文件中要求 “为此类的公共方法添加详细注释”。Cursor 读取代码后，会给出相应的文档草稿。您可以编辑润色后发布，而不必从零开始撰写。
• 背后理由： AI 模型擅长语言生成，用于撰写文档和注释再合适不过。许多开发者已经体验到这种便利：只需一条指令，Cursor 就能分析整个代码库并生成 README，往往一次就能成型。相比人工编写，AI 能自动罗列代码的功能点、使用方法，甚至举例说明，节省大量时间。当然，初稿质量取决于代码自描述信息的丰富程度，但总体而言 AI 能捕捉代码结构并输出连贯的文字描述。让 AI 参与文档工作，不仅减轻了负担，还可促进您检查代码（审视AI总结是否正确，从而发现代码中的不清晰之处）。
• Java 项目适配：在 Java 后端项目中，这一技巧有广泛用途：可以请 AI 生成 REST API 的接口文档草稿，根据 Controller 方法和注解来推断每个接口的用途和参数说明；也可以让它撰写 JavaDoc，为公共类和方法补充文档注释。如果项目需要对外提供使用文档，比如 SDK 的 README、部署指南等，AI 也能快速给出初稿。团队合作时，这甚至可以纳入流程：由开发者写完代码后使用 Cursor 生成或更新文档，然后交由技术文档人员或高级工程师review润色。这样确保代码和文档同步演进，又把人力从机械描述中解放出来去关注文档的准确性和易懂性。

17. 用 AI 自动化样板代码，保持人为掌控

• 操作建议：针对样板化、重复性的编码任务，尽量交给 Cursor 处理，例如生成类似的 DAO 实现、重复的 DTO/实体映射代码、或批量的getter/setter。这类任务AI往往能一次完成。但要记住，您仍然是驾驶员——AI 输出后，您需要审查确认，然后再让其正式修改代码或插入结果。对 AI 自动生成的大段重复代码，人工迅速过目有助于发现有没有遗漏某些字段或不符合特殊要求的地方。
• 背后理由：很多后端开发工作属于“增量式”机械劳动，比如为数据库每张新表编写一套增删改查代码、为每个业务对象编写类似的转换函数等。利用 AI，可在极短时间内产出这些模板化代码，从而让开发者专注于业务逻辑本身。然而，AI 毕竟对业务细节不了解，可能忽略某些约定（如字段命名特殊规则、异常处理需求）。因此需要人在循环中监督：把 AI 当作劳动力而非决策者。这样既能保证效率（AI 代劳重复劳动），又能确保质量（人把关调整细节）。
• Java 项目适配： Java 企业开发中充满了模板代码场景。例如，使用 MyBatis 或 JPA 时，为每个实体创建 DAO 类、写 XML 或 Repository 接口其实格式都类似。您可以通过一句 prompt 让 Cursor 生成这些重复代码的框架。在并发处理方面，如果需要为每个任务写类似的线程管理逻辑，也可以让 AI 给出通用方案然后手工调整。团队协作时，AI 的这种批量生成能力还可以用来统一风格：比如统一生成所有 Controller 的基础响应封装，而不是每人手写一套。关键在于，尽管Cursor 批量生成很快，团队也要制定规约，哪些场景下可以直接采用 AI 输出，哪些地方必须人工检查修改，以免集体无意识地引入不合适的代码。

18. 始终强调安全和最佳实践

• 操作建议：将安全性放在首位，无论 AI 建议还是人工编写，都要检视代码的安全隐患。使用 Cursor 时，可以编写规则或提示让 AI 注意常见安全问题，例如：“所有输入参数需校验避免SQL注入”“敏感操作要有权限检查”。如果对安全有更高要求，考虑使用 Cursor 的 Bugbot 或类似工具来审查AI生成的代码是否违反安全基线（见下一条）。另外，切勿让 AI 生成或访问您不清楚来源的代码片段，以免引入恶意逻辑。
• 背后理由： AI 并不天然具备安全意识，除非我们提醒它。举例来说，如果不加提示，AI 可能会生成直接拼接字符串的 SQL 查询（存在注入隐患）、或忽略对用户输入的校验。这些都是后端开发中的致命问题。为此，我们需要在提示里明确安全要求，或者借助 Cursor 规则/插件来强化。例如 Cursor 提供的 Bugbot 审查规则示例中，就特别列出了“验证API端点的用户输入”“检查数据库查询的SQL注入漏洞”等重点。这表明即使 AI 工具官方也意识到安全审查的重要性。我們应该主动把关，将这种最佳实践融入AI使用流程中。
• Java 项目适配： Java 后端涉及大量安全考虑：输入验证、认证授权、敏感数据保护等等。开发者在运用 AI 时，可以提前提供项目的安全指南给 AI，例如：“我们使用 Spring Security，请确保所有控制器方法都有正确的鉴权注解”。同时，AI 生成代码后，要特别检查诸如：数据库操作是否使用了参数绑定（而非字符串拼接SQL）？多线程代码是否正确加锁避免并发问题？反序列化操作是否存在漏洞？异常处理是否记录了必要日志？这些都是 AI 容易疏漏的点。团队可制定一张AI代码安全检查清单，供每位开发者在接受AI代码时逐条对照。当然，养成编写单元测试（尤其是针对边界条件和异常流程）的习惯，也是确保安全稳健的有效手段。

19. 持续关注社区动态和自我提升

• 操作建议：将 Cursor 当作一门技能，不断从官方文档和开发者社区获取新知。定期查阅 Cursor 官方博客/发布说明以了解新特性，浏览社区论坛、Reddit 板块中的经验分享和问题解答。在团队内部组织分享会或讨论群，交流使用 AI 编程助手的心得教训。针对工作中遇到的复杂问题，不妨搜一下是否有其他开发者提供的解决方案或提示技巧。
• 背后理由：Cursor 作为新兴工具，更新迭代非常快，几乎每隔几周就有新功能或改进。只有保持学习，才能用好新推出的强大功能（例如近期新增的多模态支持、Slack 集成等）。同时，每个团队、开发者的用法千差万别，在社区中取经可以少走很多弯路。很多高手会分享自己的 prompt 模板、Cursor Rules 配置、以及踩过的坑。例如，您可能从社区帖子中得知如何在 Cursor 上配置某框架的特殊支持，或者看到别人总结的一份“AI 帮助重构中提高成功率的方法”。这些一旦吸收消化，将极大提升您使用 Cursor 的水平。
• Java 项目适配：对于 Java 开发者而言，建议特别关注Cursor 官方文档中的 Java 指南、以及国内技术博客（如 CSDN、掘金）上关于 Cursor 与 Spring、MyBatis 等技术结合的文章。Stack Overflow 和 Reddit 上关于 “Cursor Java” 的问答也可能提供问题解决思路（比如有人问Cursor对大型Java项目的支持情况，就有 Cursor 开发团队成员亲自回复给予指导）。团队可以每隔一段时间收集这些资料，在内部分享“AI 编程助手最佳实践清单”（本指南即属于此类文档）。通过持续的社区互动和内部知识沉淀，团队会逐步形成最适合自身业务特点的 AI 开发流程，确保每个人都从 Cursor 中受益并减少踩坑。

20. 将 AI 评审纳入团队流程（Bugbot 等）

• 操作建议：在团队协作中，考虑引入 AI 驱动的代码审查工具（如 Cursor 的 Bugbot）。当有人提交 Pull Request 时，Bugbot 会自动分析代码差异，指出其中的 bug、潜在安全问题和代码风格问题，并直接在 PR 上留下评论解释问题、给出修改建议。团队管理员只需在 Cursor 仪表盘连接 GitHub 并启用相应仓库即可开始使用。对于个人开发者，也可以在重要改动时主动让 AI 过一遍：例如将代码变更贴给 Chat GPT-4，请它指出有无明显漏洞或优化空间。
• 背后理由：让 AI 参与 Code Review 可以作为人工审查的有益补充。Bugbot 等工具能够持续监控每次 PR 更新，快速反馈问题。它不仅检查语法错误，还关注安全和质量方面，例如未处理的异常、资源泄漏等。更棒的是，它可以提供修复提示，节省开发者自己查找改正的时间。对于新成员提交的代码，AI 审查可以充当第一道筛子，帮助他们及时了解团队规范（比如变量命名不规范、项目禁止使用的 API 等）。值得注意的是，这类服务通常是增值功能，有额外费用。以 Bugbot 为例，个人版订阅约 $40/月可审查最多200个PR 。团队在引入前需权衡成本，并将其视为工程效率工具投入的一部分。
• Java 项目适配：Java 企业项目往往对代码审查要求严格，在这种场景下 AI 审查尤其适用。您可以编写 .cursor/BUGBOT.md 文件为 Bugbot 提供更准确的检查规则，例如列出本项目特有的安全关注点、架构规范和常见错误清单。这样 AI 审查会结合这些规则给出更贴切的反馈。举例来说，在 BUGBOT.md 里注明“确保所有数据库查询使用参数化，禁止字符串拼接SQL”，则 AI 将针对此类改动重点审视并提醒开发者遵守。个人开发者在没有团队强制要求的情况下，也可以尝试用 AI 审查提升自己的代码质量——把自己的代码当作PR交给 Cursor Chat，请它以审查员身份挑错，然后自行决定是否采纳。总之，在团队环境中，把 AI 融入 DevOps 工作流是未来趋势之一：从代码编写（AI辅助）到代码审查（AI监督）再到上线监控，AI 可以帮助我们在各环节做得更好。但团队也应明确：AI 建议是辅助而非绝对，一切改动最终还需人负责决策。

结语：以上 20 条最佳实践，涵盖了使用 Cursor AI 编程助手以提高效率、提升代码质量、保障安全以及面向团队规模化协作的各个方面。从个人开发者的角度，善用这些经验能让您的 Java 后端开发如虎添翼；而着眼团队，这些方法又为建立可扩展的 AI 开发流程打下基础。正如我们所见，AI 工具带来了前所未有的生产力提升，但唯有与良好实践相结合，才能将风险降至最低、将收益发挥到最大。希望本指南能够帮助您更好地驾驭 Cursor，在拥抱变化的浪潮中立于不败之地！

看书107个月

发表于 2025/08/09 | 分类于每月报告

1

七月阅读不及预期。原定目标看书350小时，实际读了320.5小时。

冥想还是不理想。七月冥想了24小时，远低于每月平均45小时。前七个月的平均每天冥想时间为1.3小时，明显低于全年目标的每天1.5小时。我在考虑放弃这个全年目标。

这个月唯一做得比较好的是健身。

2

健身渐入佳境。过去一个月，我一共健身了18天。

中间有一段时间，我其实在健身完之后都没做有氧训练。有的时候是身体累，做完力量训练就不想用跑步机爬坡。有的时候是觉得没意思，爬坡很无聊。

我用了两个技巧改善有氧训练。第一，在爬坡的过程中从慢速到中速，再从中速到慢速。也就是说，让速度的变化刺激身体和大脑。

第二，听歌。我听周杰伦的专辑，从2000年的开始听，打算一直听到最近发行的专辑。一张专辑时长大概是40多分钟，刚好是我一次有氧训练的时间。

改善之后，我发现自己不会觉得有氧训练会很无聊。每次做完力量就会做有氧，出完一身汗，整个人都感觉很舒畅，效果能持续24到48小时。

3

这次健身之所以能坚持两个月，归功于阅读带给我的经验。

经验一：先积累量，不寻求快速的质变。

我从2016年开始积累阅读量，一直到2019年才有明显的变化。三年的量变，才能带来质变。所以我在健身这件事上，不会特别着急。能坚持下来，能持续积累次数，就是成功。

经验二：享受过程，避免进入恐慌区。

大部分时间里，我都会挑比较好读的书。每一次阅读的体验都不差，这样容易坚持。我跟健身教练强调，我的首要诉求是让自己不排斥锻炼，所以不要快速加大训练强度。

经验三：敢于投入，不要因小失大。

我买书、买线上课程和买ChatGPT会员，都很舍得花钱。每年花费的金额，都在五位数。无论是健身房的月卡，还是私教课，都对我有很大的好处。所以我会毫不犹豫把钱花在自己身上。

4

要想长久地坚持做一件事情，必须要对未来有愿景。

我现在坚持健身了两个月，身心状态好了很多。

我希望坚持健身两年后，我可以做到每天睡够7.5小时。心率变异度能到50ms以上。体脂率降到20%以下。

我希望坚持健身二十年后，我可以让自己的身体年龄比实际年龄小5到10岁。

5

八月份有事情要忙，所以目标会定得低一些。

截至2025年7月31日，我一共阅读了17929小时。预计会在2026年4月20日，完成第二个10000小时，也就是总共20000小时的阅读目标。

八月份的阅读目标是600个番茄时间，也就是300个小时。

看书106个月

发表于 2025/07/09 | 分类于每月报告

1

六月份阅读不及预期。原定目标看书360小时，实际读了297小时。上一次单月低于300小时还是在2023年7月，也就是整整两年前。

冥想也不理想。六月份一共才冥想了27.75小时，大幅度低于每月平均45小时。前六个月的平均冥想时间已经低于每天1.5小时，这样下去全年的目标要完不成。

然而，六月份却是我在过去一年里收获最大的一个月。上个月制定的其中一个探索目标有远远超出预期的收益。

2

这个给我惊喜的探索目标是力量训练，也就是健身。

我很不喜欢健身这个词，它给我的感觉就是要练出一副八块腹肌的完美身材才算是达标。我更喜欢力量训练这个说法。

我在6月3号办了卡，连续去了两天健身房。我自己练不明白，看网上的教学视频也摸不着门道。每次待一个小时，举了举铁，用一用跑步机这样。

6月5号开始请私教。乐刻的私教挺便宜的，一节课220元。

以前我听两个有健身经验的同学说，请教练是浪费钱，很多健身教练都不专业，而且会临时换人什么的。因此，在我的刻板印象里，请私教不靠谱。

这次，我却没有遇到这种情况。我感觉教我的这个教练挺专业负责的，并且从来没有换过人，也没有临时无理由迟到或者缺席。

我在6月份一共上了17节私教课，每节课一个小时。私教课以力量训练为主，结束后我都会加练30分钟的有氧，也就是跑步机爬坡。

训练的效果非常好，远远超出我的预期。每次练完，我感觉身心都特别舒畅，能持续一到两天。我的静息心率从原来每分钟77次，下降到66次。我的心率变异度从原来的31ms，上升到42ms。

3

为什么我做力量训练的效果会这么好呢？原因有以下三点：

第一，起点低。从2018年因为跑步导致膝盖受伤开始，我已经有7年时间没有过规律的运动。常年久坐不动的办公室工作已经让我的身体有了很多小毛病。

第二，有人教。健身还是需要知识的。一个动作怎么做才标准，做多少才有效果，需要有专业人士的在场指导。

第三，有人陪。一个人健身真的很无聊，健身教练可以陪着你聊聊天，跟你沟通动作的调整等等，时间会过得快很多。跟教练约定好哪一天要训练，几点要训练，会有一个督促和事前约定的助推效果。

当然，即便乐刻的私教课相对比较便宜，像我这样一周四练的话，一个月要上20节课左右。算下来，一个月要4400块，不是一个小数目。

然而跟健康的重要性相比，我觉得这笔钱花得值。

4

力量训练效果这么好，当然是要继续坚持。接下来的一个月时间，我还要把睡眠调整好，以及把冥想时间提上去。

我要如何坚持力量训练呢？除了继续买课，继续坚持一周上四次课之外，我计划这个月要开始学会如何自己做力量训练。一周自己加练一天，逐渐学会自己训练。

私教课从一个月20节课，可以减少到一个月10节课，减少到一月5节课这样。向“自己练习为主，教练指导为辅”转变。

我要怎么调整好睡眠呢？避免日夜颠倒，半夜醒来就是做冥想，午睡尽可能避免超过30分钟。

我要怎样把冥想时间提上去呢？每天上午至少冥想30分钟，每天中午饭后至少冥想30分钟，每天睡前至少冥想30分钟。在阅读间隙，尽可能穿插5分钟或15分钟的冥想。

做好这些，我的各项身体指标应该还会有一个明显的提升。

5

即便力量训练给我带来那么多的收获，我还是不能把基本盘给丢掉。

月报延迟了一周，阅读和冥想目标都没完成，文章也没写。这些事情都要好好反省一下，把干扰因素都排除掉，把积极因素引进来。

截至2025年6月30日，我一共阅读了17608.5小时。预计会在2026年5月1日，完成第二个10000小时，也就是总共20000小时的阅读目标。

7月份的阅读目标是700个番茄时间，也就是350个小时。

AI专题：如何借助DeepSeek提防AI诈骗

发表于 2025/06/03 | 分类于 AI专题1

1

近期，AI圈的大佬们不断地提醒人们要提防AI的滥用。

获得2024年诺贝尔物理学奖的“AI教父”杰弗里·辛顿，在接受专访时指出，AI引发“人类失控”的概率已经高达10%-20%，深度伪造技术是近期最现实的恶意场景。

OpenAI的CEO山姆·奥尔特曼在出席美国参议院听证会的时候，强调生成式模型可被用于“大规模定向虚假信息、网络攻击与生物威胁设计”，主张建立“全球AI安全机构以及许可证制度”。

发明阿尔法狗的Google DeepMind CEO，获得2024年诺贝尔化学奖的戴密斯·哈萨比斯在2025年5月剑桥大学演讲中发出提醒：AGI可能会在10年内出现，“其积极潜力与恶意滥用都被低估”。

那么，我们普通人从现在开始最应该警惕哪些迫在眉睫的AI滥用场景呢？

2

在日常网络生活中，我们要警惕别有用心的人使用AI来影响我们的想法。

为了验证AI的说服力有多强，康奈尔大学和哈佛大学的研究者找了一群最难被说服的人来做实验。这些人就是阴谋论信徒。他们相信诸如“疫苗里有纳米追踪芯片”之类的阴谋论，身边的人怎么劝都不听。

实验内容是让受试者与AI进行对话，对话一共有两轮。第一轮对话先是受试者自述自己相信的阴谋论，GPT-4罗列官方证据并指出其逻辑错误。第二轮对话是受试者再辩，AI最终回应。

实验结果显示，他们只需要跟GPT-4进行两轮对话，平均用时6分钟，对阴谋论的相信程度就会下降20%。

如果再提供一些对话者的背景信息，GPT-4的说服力会变得更加强大。在另一个辩论实验中，GPT-4让对方改变观点的概率比人类辩手高出82%。AI之所以能达到这么好的效果，是因为它会根据每个人量身定制辩论策略和针对性地找论据。

在美国版百度贴吧Reddit网站上，有人做了一项备受争议的实验。苏黎世大学的研究者注册了多个AI账户，这些账户都预设了虚假人格背景。也就是说，他们用AI来假装人类用户。在说服力排行榜上，这些AI账户进入全站前1%-2%。

在了解到这些研究之后，我们很自然会想到用AI来做“健康习惯教练”，帮助我们养成健康的生活习惯，变得更加自律；我们还可以让孩子们使用AI做“人工智能学习伙伴”，提高他们的学习兴趣，掌握更科学的学习方法。

然而，面对同一个工具，好人会用它做好事，而坏人则会用它做坏事，例如“杀猪盘”诈骗。

3

所谓“杀猪盘”诈骗，就是在网络上以恋爱的名义博得受害者的信任，然后用假投资平台来骗取金钱的诈骗套路。

传统杀猪盘套路分为三步。第一步，引流或放饲料。通过各种社交平台等网络手段跟潜在受害者加上好友。

第二步，养猪。犯罪分子会通过建立虚假的高大上人设和营造暧昧的恋爱氛围，让受害者误以为自己找到了真爱，进而信任对方。

第三步，杀猪。在确保取得了受害者的信任之后，对方会假装不经意地透露自己有一个好的投资渠道，诱使受害者加入，最终骗取金钱。

在AI工具出现之后，坏人对这个套路做了新一轮升级。

首先是剧本自动生成。犯罪分子会使用从暗网购买的AI工具，批量生成情感剧本。以前这样的工作是由专门的“编剧”来做，成本高，效率低。

然后是私人定制剧本。针对特定受害者，犯罪分子会结合他们的画像信息编写提示词，生成专属的情感剧本。以前一个剧本或几个剧本，会用在很多的受害者身上，针对性远远没有私人定制那么强。

最后是半/全自动聊天。在“养猪”过程中，犯罪分子要花大量时间跟受害者聊天，还要记住不同受害者的各种信息，很容易把不同聊天对象的事情弄混。有了AI工具之后，他们会使用半自动聊天，通过复制粘贴把AI生成的回复发给受害者；或者是全自动聊天，让受害者跟AI“直接聊”。

有人可能以为这只是设想，但现实中已经有犯罪分子在实施这样的AI杀猪盘。早在2023年8月份，一份网络威胁分析报告就从受害者提供的截图取得证据，骗子不小心贴出一句典型的系统回复——“As a language model …I don’t have feelings”，直接暴露他们正把AI工具当作聊天脚本生成器。

2024年5月，澳大利亚 ABC 深度报道援引联合国毒罪署和多位业内人士，指出东南亚大型诈骗园区已经开始使用 LLM + 实时翻译。这意味着，诈骗分子现在哪怕完全不懂另一门语言，也可以进行跨语言诈骗。

面对这样严峻的现实，我们除了提高防诈意识之外，还可以使用DeepSeek来保护自己。

如果我们在网络上遇到一个人，产生了“世界上没人比对方更懂我”的想法，这就要引起我们的警觉了。我们可以把自己跟这个人的聊天记录发给DeepSeek，让它来帮我们分析。尤其是涉及金钱转账和现实见面等决定时，一定要听一听DeepSeek的看法和建议。

有人可能会说，我不会在网上找对象，或者我已经结婚了，这类杀猪盘根本骗不到我头上。接下来要揭示的一类骗局，则是每一个人都有可能会上当的。

4

有一种俗称“爷爷奶奶，我出车祸了”的骗局。骗子会打电话给老年人，谎称是其孙子孙女，出了车祸在医院需要立刻转账接受治疗。因为情况紧急，老年人可能会辨识不出对方声音其实一点都不像。哪怕受害者指出这一点，骗子也会假装自己受伤了身体虚弱导致声音变了。

还有一种骗局我自己都遇到过，就是仿冒公司领导，然后让受害者（大多是公司财务人员）转账。几年前，我接到一个电话，对方开口第一句话就是：“李文业，明天来一趟我的办公室。”我愣了一下，然后问：“请问你是谁？”

对方笑了笑说：“你听不出来我是谁吗？”我说：“听不出来。”对方就把电话挂了。

有了AI工具模拟声音之后，骗子已经可以补上声音不像的漏洞。骗子会事先从社交媒体上获取一小段受害者亲属的声音样本，喂给AI后立刻就能模拟出以假乱真的说话声音。

这样的技术并不高深。你现在就可以点击页面最上方的“听全文”。我用公众号后台的工具录了我一段10秒左右的语音，就已经可以模拟得非常像了。

除了声音之外，AI还可以伪造视频。2023年5月，内蒙古包头市警方通报了一起利用AI换脸的惊人诈骗案。一名商人接到自称是朋友的视频通话，请求帮忙垫付投标保证金。他没想到通话中的“朋友”竟然是骗子用AI人脸替换技术假扮的。受害人信以为真，当场转账430万元人民币。事后他联系到朋友本人才发现被骗。

面对这样的骗局，我们可以怎么办呢？一方面，我们可以跟亲友约定safe word“安全词”。在涉及大额转账时，我们要验证对方是否能说出之前约定的某个词或者某句话。哪怕不约定安全词，起码也要问一两个只有你们两个人才知道的小问题。

另一方面，我们要保持冷静，让DeepSeek给我们注入理性。面对紧急情况，我们不免关心则乱。即使自己已经难以分析当前的局面，我们还是可以把现在遇到的问题发给DeepSeek，让它帮助我们分析情况，并且给出建议和处理方案。

5

AI的发展越迅速，AI的滥用就越值得我们警惕。

我们要警惕在网络上看到的信息。以前网络水军可能只是通过调动我们的情绪，来起到带节奏的作用。现在，他们已经在利用AI工具根据我们每一个人的特点，量身定作各种各样的说服言论。

我们要警惕在网络上让我们怦然心动的人。以前杀猪盘只是用一个固定的剧本来骗那些特定的受众，并且因为聊天“养猪”需要花时间和精力，他们更愿意骗那些容易轻信的人。现在，他们已经在利用AI工具私人定制剧本，并且使用半/全自动聊天的方法，让每个人都有可能遭遇“杀猪盘”诈骗。

我们要警惕突然接到的求救、求助语音电话和视频通话。以前的骗局可能只能骗那些老人或者对声音不敏感的人。现在有了AI技术，他们可以轻松模拟任何人的声音和形象。

除了加强防诈骗意识之外，我们还需要更多的工具帮助我们不上当受骗。遇到任何惊喜或者惊吓的异常情形，我们都可以把情况告诉DeepSeek，让它来帮我们分析，给我们出主意。

面对汹涌而来的AI时代，有人会说，“我年纪大了”，或者“我只想躺平”，没必要了解AI，更不需要接触和使用AI。

然而，“害人之心不可有，防人之心不可无”这句话在AI时代同样适用。他们没有想到的是，坏人会用AI做坏事。如果我们不了解AI，对AI没有基本的常识和使用能力，那么就很有可能被坏人钻空子。

看书105个月

发表于 2025/06/01 | 分类于每月报告

1

五月份的阅读状态不错。原定目标是看书340小时，实际读了340.5小时，目标达成。

冥想却很糟糕。五月份一共才冥想了20.5小时，不仅低于每月平均45小时，甚至还低于上个月的38.5小时。

就像上个月说的那样，冥想的时长现在比阅读量更能反映我的整体状态。接下来跟大家聊聊我打算如何在六月份把自己从低潮期里拉出来。

2

有两个任务要恢复到我的固定日程里。一个是每天要走10000步，另一个是要使用ChatGPT里的每日行程助手。

参考埃隆·马斯克的五步工作法，我前段时间把每天走一万步和规划一天行程从每日任务里面删除。这段日子，我发现这两个任务对我的作用相当大，是不可或缺的。

每天走一万步的作用是让我有足够的基础运动量，以及不要总待在室内。虽然一万步的运动量并不算大，但是这保证了我能晒够太阳，晚上的睡眠也会变好。

规划一天行程的作用是确保我会使用ChatGPT做我的每日行程助手。每天起来做的第一件事就是做一个大概的规划，安排今天的行程。规划做好之后，我会发给ChatGPT，让它跟进我今天一天的行程。一天结束之后，我还能跟它一起做复盘。

总而言之，每天走一万步和规划一天行程是保证我良好状态的基本盘。做到这两点之后，我才会考虑制定更高的目标，以获得成就感。

3

只是完成基本的任务是不够，还需要制定更高的目标来获得成就感。我计划在六月份制定更高的阅读目标和写作目标。阅读目标我会在月报的最后给出，这里先说写作目标。

我最近在做AI专题的写作。不管是写作兴趣，还是写作质量，都保持得不错。唯一让我不够满意的就是产量。

我在五月份一共写了3篇专题文章，平均10天一篇。我打算在六月份写6篇文章，平均5天一篇。

如果六月份能够完成这两个高难度目标的话，六月份的状态就算调整好了。在此之余，我还有探索新目标的打算。

4

这个月制定两个探索目标，分别是力量训练和跑步。

研究表明，一周2到3次的力量训练有助于延缓肌肉流失，还能缓解焦虑和抑郁。我打算去健身房做力量训练。

有些连锁健身房可以办月卡，我打算办一张。就试一个月，效果好就继续，效果不好也损失不大。

我喜欢跑步，但是很久没好好地跑步了。七年前为了减肥，我狠狠地跑了一段时间，结果没把握好强度，把膝盖给跑伤了。最近我的体重又到了警戒线，想要重新跑步试试看。

这个月试着跑20公里到30公里。每周跑3到4次，中间休息的时候就去健身房做力量训练。

5

我非常庆幸自己养成了每个月写月报的习惯。

每个月固定做这么一件事情，其中的仪式感会让我整理好心态，计划好下一个月要做哪些事情。这就像是上学念书的时候，每个学期期末都会告诉自己：这个学期没好好学没关系，下个学期奋发图强就好了。

如果没有这样的仪式感，日子会过得越来越快，快到让人猝不及防。失去了时间感，就可能来不及总结过去，来不及珍惜现在，来不及计划未来。

截至2025年5月31日，我一共阅读了17311.5小时。预计会在2026年5月1日，完成第二个10000小时，也就是总共20000小时的阅读目标。

6月份的阅读目标是720个番茄时间，也就是360个小时。

AI专题：如何借助DeepSeek打造你的“第二大脑”

发表于 2025/05/29 | 分类于 AI专题1

1

随着AI工具的发展和普及，越来越多的人开始用上了AI对话App。然而，很多人觉得并不好用。

有人会把一些生活中的烦恼告诉AI，让AI给出一些建议。AI给出的建议往往很冗长，没有针对性。

有人会让AI帮助自己解决一些工作上的难题，让AI生成一个具体的方案。AI生成的方案总是天马行空，不能落地。

有人会想借助AI辅助学习知识和备战考试，让AI制定一份复习计划。AI制定的计划经常过于琐碎，无法执行。

之所以AI给出的答案不能让我们满意，是因为AI还不够了解我们，无法因人制宜。只有让AI对我们的价值取向、经验积累和知识背景有相当程度的了解，才更有可能让AI给我们提供有针对性的建议、有可行性的方案以及可执行的计划。

如何让AI足够地了解我们？这个问题的终极答案就是打造一个“第二大脑”。AI跟这个“第二大脑”交互，就跟和我们的大脑直接交流没有太大的区别。这样的交互可以让AI快速地读取我们的想法，就能快速地了解我们。

2

打造“第二大脑”无法一蹴而就。这个过程就像是修炼，有三层境界。第一层境界是学会跟DeepSeek进行多轮对话。

一些人在使用DeepSeek时有一个误区，就是急于在一个问答里得到完美的答案。如果DeepSeek给出的第一个回答让自己不满意，他们就不会再继续问下去。

其实还有更好的做法。我们大可以告诉DeepSeek为什么我们觉得这个答案不满意，并且让DeepSeek根据我们的反馈给出一个改进的回答。这就像是老板指挥员工干活，不能因为员工给出的初稿不满意就不让他们继续干了，而是要告诉他们改进方向，让他们改多几次，一直改到自己满意为止。

像这样的多轮对话是一种交流技巧，需要大量练习。最好每天都要跟DeepSeek对话30分钟以上。

我们都会跟人说话。跟AI对话虽然和跟人类对话类似，却有很多不尽相同的地方。因此，我们需要积累跟AI对话的经验。量变导致质变。有了足够的刻意练习，我们才更有可能在更少轮次的对话当中，让AI给出一个让我们满意的回答。

有一类AI通识叫“提示工程”。我建议大家可以找相关的课程听一听，会有一些帮助。然而，我认为提示工程的作用是有限的，真正关键的还是要有多轮对话的意识。

如果你修炼了第一层境界，学会了如何跟DeepSeek进行多轮对话，那么你就很有可能在几轮或者十几轮对话之后得到一个让你满意的答案。但是，如果只修炼到第一层，会有以下两个局限：

局限一，DeepSeek没有全局记忆，每次开始新的对话都要从头开始让AI了解自己。

局限二，即便某些AI对话App有全局记忆，如果我们切换账号或者转移到其他的AI对话App，这些“记忆”都无法迁移。

为了解决这两个问题，我们必须要有更深一层的修炼心法。

3

打造“第二大脑”的第二层境界，就是积累三个笔记本。有了这三个笔记本，就能让AI更快地对我们有一个全面的了解，并且这个过程是可重复的，不用我们每次都从头准备资料。

第一个笔记本是日记本。

日记记录的是重要的经历，以及其中的心路历程。我们认为哪些经历是重要的，还有心里是怎么想的，这些内容就反映了我们的价值取向。

所谓价值取向，就是我们常说的价值观。简单来说，就是判断“什么重要、什么不重要”的标准。

AI读了我们的日记本，就能在价值取向和过往经历这个层面上了解我们，才更可能有针对性地给我们提供建议。

第二个笔记本是作品集。

作品集用来展示我们曾经做成过哪些事情，有哪些作品。一名教师，她的作品集可以是她评过哪些职称，教过多少学生，这些学生考取了什么样的学校。一位工程师，他的作品集可以是他曾经设计过多少个方案，落地了多少个工程，这些工程有哪些突出的优点。一个网络博主，她的作品集可以是她发过哪些图文和视频，接过多少个商单，这些商单的转化率是多少。

这些作品集，展示了我们的经验积累和实践成果。也就是说，我们做过哪些事情，做成过哪些事情。

AI看了我们的作品集，就可以知道我们曾经积累过多少经验、有过怎样的实践成果。在这种情况下，给我们提供的设计方案才更有可执行的可能性。

第三个笔记本是读书笔记。

读书笔记，也就是学习笔记。学习笔记记录的是我们学过的知识，还有哪些地方薄弱、需要加强学习。这些笔记体现了我们的知识积累和学习方向。

AI读了我们的读书笔记，就知道我们都学过了什么，还要学哪些东西，以及有怎样的学习习惯。在此之后，AI给我们制定的学习计划才更有可能被成功执行。

第二层境界修炼成功之后，我们并非从此高枕无忧。因为这三个笔记本非常重要，不仅要做好资料管理，还要关注隐私性和安全性这两大风险点。

为了解决这三个问题，我们还需要修炼最后一层心法。

4

打造“第二大脑”的第三层境界，就是建立一个知识库管理系统，也就是“第二大脑”的最终形态。

第三层境界和第一、第二层境界不一样。前两层境界，都是我们普通人就可以做的，不需要有任何计算机或者人工智能的知识背景。目前市面上并没有提供给大众的“第二大脑”服务，所以我们需要学会使用一定的计算机技能和人工智能知识，才有可能修炼第三层境界。

虽然门槛有点高，但是我们可以看看第三层境界是怎样的。相信以后一定会出现易用便捷的“第二大脑”服务，即无须编程就可以打造专属自己的“第二大脑”。

“第二大脑”是一个知识库管理系统，管理的就是我们的日记本、作品集和读书笔记。它能满足的第一个需求是不需要我们费时费力去整理自己的资料。

我们只需要把每天重要的事情和心里的想法告诉“第二大脑”，它就会整理成一篇又一篇的日记。我们每次有了新的作品，就上传电子文件给“第二大脑”，它就会归纳进我们的作品集。我们在学习的时候，把好奇的问题和答案都传输给“第二大脑”，它就会记录到我们的读书笔记里。

“第二大脑”能满足的第二个需求是隐私性。

在与DeepSeek交互的时候，“第二大脑”不会把所有的资料都传给它，只会把对当前讨论问题有帮助的信息提供出去。其中那些提供出去的信息，“第二大脑”也会做好去隐私化的处理，保证我们的隐私不会被泄露。

“第二大脑”能满足的第三个需求是安全性。

“第二大脑”存储的信息对我们来说极其重要，安全性的要求甚至比银行卡密码还要高。“第二大脑”有完善的加密和防御黑客的功能，保证我们存储在“第二大脑”的重要信息不会被任何人所窃取。

在未来，我们每个人的手机里都会有一个“第二大脑”。在我们与DeepSeek交互的时候，“第二大脑”会帮助我们提供各种各样的附加信息，让我们能更好地使用AI工具。

5

古希腊神庙有一句箴言是“认识你自己”。在AI时代，这句话仍然没有过时。

为了“认识我自己”，我们要学会如何跟DeepSeek进行多轮对话。在对话中提供更多信息的前提，就是我们对自己要有一个足够的了解。

然后，我们要学会积累三个笔记本。日记本是我们的价值取向和过往经历，作品集是我们的经验积累和实践成果，读书笔记是我们的知识背景和学习方向。

最后，我们可以开始打造真正的“第二大脑”。它负责管理我们的重要信息，保障了隐私和安全。

如此这般，我们不仅是在认识自己，还是在创造自己。通过和AI的合作，不断追问和塑造自己的价值取向，积累和演绎我们的经历和经验，巩固和探索我们的知识学习和前沿关注。在不断地创造中，实现自我超越。

AI不会淘汰我们。AI只会帮助那些懂得如何使用AI进行自我超越的人获得竞争优势，去淘汰那些顽固不化和故步自封的人。

AI专题：如何把DeepSeek变成你的AI个人助手

发表于 2025/05/14 | 分类于 AI专题1

1

随着生活的节奏变得越来越快，我们的脑子越来越不够用。

我们要记住的东西很多。要记得健康饮食、规律作息，要记得一天的行程都要做哪些事，要记得另一半的生日、节日和各种纪念日。

我们要同时兼顾的事情很多。工作里往往有多个项目并行，还有各种各样的紧急任务临时插入，以及同事可能随时发来信息或打来电话。

我们还要时刻保持冷静、理性地思考。工作时我们不能情绪化，要塑造专业冷静的形象。与人接触要保持克制，不能随便发脾气。要做的决定很多，需要我们理性地思考，才能做出明智的决策。

认知负担、任务管理和理性决策，逐渐成为现代人大脑最常见的三类日常挑战。为了迎接挑战，DeepSeek等AI工具可以成为我们头脑的新武器。

2

DeepSeek做我们的私人事务助手，可以减轻我们的认知负担。

我们如果想要养成良好的喝水习惯，就跟DeepSeek说：“最近我要多喝水。你记得要提醒我每天至少喝够2500毫升”。

记录饮水量只要跟DeepSeek说一句话，DeepSeek会帮我们做统计。DeepSeek在统计之余，还会告诉我们已经喝了多少，还需要喝多少水，鼓励我们多喝水。

同样地，我们每天一开始就规划好大概要做哪些事情。有哪些新的好习惯要养成，让DeepSeek提醒我们多做；有哪些旧的坏习惯要戒掉，让DeepSeek提醒我们少做。

我们不需要一天到晚都记得这些事情，因为我们根本就记不住。研究表明，我们的工作记忆只能记住3到5件事情。超过这个范围，我们不可能全部记住，很容易丢三落四。

DeepSeek作为我们的私人事务助手，它能轻松记住几十甚至上百件事情，完全可以作为我们的外脑，分担我们的认知负荷。我们把脑子空出来，可以去做更重要的事情，例如专注地做一件事情。

3

在同一时间只做一件事情，对于现代职场人来说是一种奢望。DeepSeek可以做我们的任务管理助手，帮助我们在多项任务之间实现低损耗的切换。

每天开始工作之前，我们可以把今天要完成的任务项和优先级列出来，并告诉DeepSeek：“今天你要做我的任务管理助手。这些是我今天要完成的工作事项”。

完成了一件事项，我们就跟DeepSeek说：“我已经完成了某某事项”。DeepSeek会告诉我们已经从任务列表里面划掉了已完成的事项，并且建议我们在稍作休息之后去做剩余优先级最高的一件事。

如果临时有新的任务插入进来，我们可以跟DeepSeek说：“现在有一个任务插进来，你待会提醒我要完成”。DeepSeek会自动往任务列表里加入新的事项，并且在当前事项完成之后提醒我们。

假如当前事项做到一半就有新的任务插入进来，我们可以跟DeepSeek说：“某某事项我已经完成了65%，现在有一件更紧急的事情要做”。DeepSeek会记住你当前任务的进度，然后在我们完成紧急事项之后提醒我们之前的情况，我们可以从哪里重新开始这个任务。

有了DeepSeek作为我们的任务管理助手，我们不需要自己去管理任务列表，不需要在有新任务插入的时候比较任务的优先级，不需要在任务被打断时自己去记住进度。

我们只需要专注地做好DeepSeek告诉我们当前要做的事情，更少地在多任务切换中损耗我们的认知带宽，更少地被紧急事务和消息通知扰乱我们的情绪。我们可以有一个更稳定的情绪，更冷静地做出每一个理性的决定。

4

现代社会要求我们更多地使用理性来做决定，而不是任由情绪导致我们冲动拍板。

在公司里，我们要决定一个任务是否接手，接手之后又要怎么做。回到家里，我们要决定带爸妈去哪里看病，什么时候跟另一半结婚，以及小孩子该报哪些辅导班。一个人独处的时候，我们还需要决定要不要买一台昂贵的手机，考虑到大学里读个MBA学位，还有是否跳槽到另一家公司。

然而，快节奏生活留给我们的理性空间越来越少，短视频时代的碎片内容不断调动我们的情绪。这就形成了一对矛盾：越来越多的决策需要我们保持理性，避免过多受到情绪影响，但是快节奏生活逼迫我们必须快速做出决定，短视频时代的碎片内容则是片面地刺激和放大我们的情绪，让我们无法保持冷静。

在这种情况下，我们可以把DeepSeek变成我们的私人咨询顾问，帮助我们做出理性的决策。

在需要做决策的时候，我们可以把背景和想法告诉DeepSeek，让它来帮我们做分析。在这个整理决策背景和自身想法的过程，就是在让理性回归，让我们的脑子从情绪陷阱里跳出来。

DeepSeek在帮我们做分析之后，往往能够给我们一些很好的建议，甚至会提醒我们考虑一些之前没有考虑到的地方。在这方面，你的任何一个同事、朋友和亲人都不会做得比DeepSeek要好，因为DeepSeek和你没有利益冲突。

DeepSeek不会嫌我们烦，不会觉得我们的事情是小事、不值得多花精力。DeepSeek不用睡觉和吃饭，随时随地可以为我们服务，而且还是免费的。

在我们需要做出决定的时候，尤其是意识到我们明显受到情绪影响的时候，把自己需要做的决定告诉DeepSeek，让它来帮我们做分析和给建议。在综合考虑DeepSeek的分析和建议之后，我们自己再来做最后的决定。

我建议我们每个人都要训练自己有这么一个意识，以及学会如何跟DeepSeek讨论。这样我们做出的每个决策质量都会高得多，让我们的生活产生巨大的、良性的连锁反应。

5

在《未来简史》中，作者尤瓦尔·赫拉利预言未来每个人都会过度依赖自己的AI助手，个人不会再自己做决定。我并不赞同他的这种说法。

无论是把DeepSeek当作我们的私人事务助手，还是任务管理助手，又或者是私人决策顾问，我们都只是让AI辅助我们做决定。DeepSeek可以帮我们减轻认知负担，更轻松地做任务管理，以及更好地做出理性决策。

诺贝尔经济学奖得主丹尼尔·卡尼曼在《思考·快与慢》里提出了“窄框架”和“宽框架”理论，认为把多个决定放在一起考虑要比分开独立考虑要高效和正确得多。

使用DeepSeek作为我们的AI个人助手，就是把日常行程、任务管理和理性决策放在一个宽框架里面做决定。

这反映了AI时代的一个通用法则：AI来帮我们做琐碎的事情，我们去做更有意义的事情。在思考和决策这件事情上，也是如此。

在DeepSeek横空出世的2025年，我们不是太过依赖AI助手，而是依赖得还远远不够。