在上一第 4 章"和 AI 一起做"里,能跑的东西做出来了。从这里起,就是阶段 4"发布"——用测试确认会不会坏、堵上安全的窟窿,然后公开到世界上。别满足于"跑起来了",要把它带到让别人能安心上手的状态。听着难,但这里 AI 同样会做你的搭档。
"未完成也行。先安全地,送到 1 个人手里"
"做出来了"和"能发出去"是两回事
在自己电脑上能跑的东西,和别人上手也不出问题的东西,是两码事。你知道"正确的用法",会照预想去操作。但一旦公开,就会飞来你没预想到的输入、操作、恶意。有人留空就提交、有人粘贴一大堆符号、有人想窥探别人的数据——。
但也不必如临大敌。个人开发最先要做的,只有极其基础的 3 点:"会不会坏""秘密会不会漏""他人的数据是否被守住"。本章就是和 AI 一起过掉这个最低限度、好让你堂堂正正公开的一章。
只按正确步骤操作。出了错也能自己修。秘密信息显示在屏幕上也不在意。
会来预料外的输入。内部信息从错误页面泄露。一不小心公开的密钥,还可能招来天价账单或信息外泄。
把测试和评审交给 AI
"一个人开发,没有前辈帮忙评审代码"——这个角色,正好交给 AI。把你写的(或让 AI 写的)代码,换个视角再让 AI 检查一遍。写的人(无论是人还是 AI)都难以察觉自己的错。所以立一个"审查者"很奏效。
做法很简单。把代码贴上去,只需这样拜托:"列出这段代码的 Bug、危险输入、遗漏的测试。"于是,自己没注意到的窟窿会以列表返回。之后就一个个来,从优先级高的开始修。别想一次全改完,改一条就验证一下动作,再改下一条,这是诀窍。
请 AI 做审查时,明确指出下面这些观点,精度会更高。
"什么时候会崩?""传空值或零会怎样?"让 AI 去找会坏的条件。
恶意字符串、超大数据、非法文件。问它"如果是攻击者,会怎么下手?"
"该确认却没确认的情况有哪些?"让它把边界值和异常情形都挖出来。
"有没有把 API 密钥或密码直接写进代码里?"把泄露的苗头先掐掉。
💡 测试就是"自动确认的机制"。 实战路线的话,让 AI 连测试代码也写了。拜托它"给这个函数写测试。要有正常情形,也要有空值、异常值的情形",那么下次改动后有没有弄坏,就能一键复查。入门路线的话,用手"故意做些奇怪操作",也是很够用的一步。
安全的最低限度三条
安全是门很深的领域,但个人开发公开时,请先务必记住必守的 3 点。漏掉这 3 条,金钱、信誉、他人的信息都可能一下子失掉。反过来,只要守住这里,作为第一次公开就足够了。
API 密钥、密码、令牌不要直接写进代码。让它们躲进 .env 这类环境变量文件,并把该文件排除出公开范围(加进 .gitignore)。
若有登录功能,就要让A 看不到除自己以外的数据。"这条数据真的属于这个人吗?"这样的归属检查,让 AI 帮你确认后务必加上。
外部服务的密钥和数据库权限只给够用的那份。别发"什么都能干"的密钥。一次性密钥、只读密钥等,按用途收窄了再签发。
🚨 绝对不要公开密钥。 这是个人开发里最常见、也最烧钱的事故。把 API 密钥直接写进代码、就这样公开到 GitHub 等平台,几分钟到几小时内就会被自动扒出并滥用。付费 API 的话,等你察觉时已是几十万日元的账单——这真实发生过。公开前,务必让 AI 检查"密钥有没有残留在代码里"。而一旦有过一次被公开的密钥,删除并不够,务必将其作废、重新签发新密钥。
觉得"好像很难"的话,问 AI 就没问题:"公开这段代码之前,安全上该做的事,用面向新手的方式教我。"它会返回一份贴合你代码的具体清单。
让自动化安全地跑起来(面向实战)
这里主要是给🔧实战路线的内容。把文件操作、命令执行自动交给 Claude Code 这类 AI 智能体,开发会一下子提速。另一方面,"擅自删掉重要文件""跑起意料之外的命令"这类失控风险,也并非为零。
于是重要的,就是"隔离(沙箱)"的思路。给 AI 强权限时,让它在即便出事也无所谓的箱子里运行。具体说,就是把它关进专用的工作文件夹或容器,让它碰不到生产数据和秘密信息。这样,就能放心把自动化交给 AI。
📦 "要试就在箱子里,生产要慢慢来" 是原则。别一上来就让 AI 的自动执行跑在生产环境或重要数据上。隔离的具体做法,在Claude Code 的沙箱设置指南里有详解。入门路线的人,本节只要知道"原来有这样一层安全措施"就够了。
公开 —— 从代码到上网发布
终于要公开了。所谓"公开",就是把你电脑里的东西放到网上,让任何人都能用 URL 打开。这叫部署(deploy)。听着挺唬人,如今用免费服务点几下就能放上去。
大致流程是下面 3 步。个人开发的第一次公开,全用免费额度就足够应付。花钱这事,等用的人多起来了再说也不迟。
把代码保存到 GitHub 等。别忘了排除秘密文件(.env)。这是公开的地基。
把 GitHub 连到 Vercel 等免费托管。秘密信息从管理界面作为环境变量登记。
它会自动在网上构建,签发一个公开 URL。之后只需把这个 URL 递给 1 个人。
✅ 未完成也好,公开出去给 1 个人看。 "功能还不够""设计有点勉强"——带着这份心情一再拖延公开,正是个人开发消失的头号原因。60 分就行。把公开 URL 发给身边的 1 个人,把这件事做到底。那个人一句"这里不好用",胜过你 100 小时的空想。
具体步骤——从保存到 GitHub、到在 Vercel 上公开、再到设置环境变量——在用 Claude Code / Cursor 做好再发布到 Vercel 的步骤里有带图详解。卡住了,直接问 AI"这个界面报错了,怎么办?",多半就能脱身。
- 一个人也能让 AI 当评审者。用"列出 Bug、危险输入、遗漏的测试"来审查,一个个修。
- 安全最低限度三条:秘密放进环境变量/守住他人数据/权限降到最小。
- 密钥绝不公开。泄露了不是删除而是作废并重签。公开前用 AI 检查。
- 公开(部署)用免费额度就 OK。未完成也把 URL 递给 1 个人,做到底。
至此,我们走到了"做出来、并安全地发出去"。但真正的较量从这里开始。让人用起来、去改进、做成可持续的形态,才是最终阶段。进入下一第 6 章"培育 —— 获客与变现"吧。