第十九章: Vibe Coding 与 AI 工具生态

传统：程序员: 写 function fetchUserData() { ... }Vibe Coding：人类: "帮我写一个获取用户数据的函数，从 /api/users 接口获取，需要错误处理"AI: [生成代码]人类: "加上 loading 状态的处理"AI: [修改代码]人类: "好，看起来没问题"

┌─────────────────────────────────────────────────────────────────┐│                      Harness Engineering                        │├─────────────────────────────────────────────────────────────────┤│                                                                 ││    马 (Horse)          缰绳 (Harness)          骑手 (Rider)    ││    ┌─────┐             ┌──────────┐            ┌───────┐       ││    │ AI  │◄───────────►│ 系统约束 │◄──────────►│ 工程师 │       ││    │模型 │   执行任务    │ 安全边界 │   设计/监控   │       │       ││    └─────┘             └──────────┘            └───────┘       ││       │                     │                       │          ││       │                     │                       │          ││       ▼                     ▼                       ▼          ││   强大的能力            可控的边界               明智的决策      ││   指数级产出            防止失控                 价值判断        ││                                                                 │└─────────────────────────────────────────────────────────────────┘

2025 ───────────────────────────────────────────────────► 2026Vibe Coding              Spec Coding              Harness Engineering(氛围编程)                (规范编程)                 (缰绳工程)    │                        │                          │    │ "让 AI 写代码"          │ "让 AI 按规范写代码"       │ "让 AI 安全地自主运行"    │                        │                          │    ▼                        ▼                          ▼• 单次对话生成代码        • 结构化需求文档            • 完整的 Agent 基础设施• 人工审查后使用          • 明确的验收标准            • 自动化的约束与反馈• 适合原型开发            • 适合迭代开发              • 适合生产环境自主运行

# tool-manifest.yaml 示例agent_id: production-deployertools:  - name: git_operations    allowed_commands:      - "git status"      - "git diff"      - "git log --oneline -20"    forbidden_commands:      - "git push --force"      - "git reset --hard"  - name: file_operations    allowed_paths:      - "/app/src/**"      - "/app/config/**"    forbidden_paths:      - "/etc/**"      - "/var/secrets/**"  - name: api_calls    allowed_endpoints:      - "https://api.staging.company.com/**"    forbidden_endpoints:      - "https://api.production.company.com/**"

┌─────────────────────────────────────────────────────────────────┐│                     Guardrails 层级架构                         │├─────────────────────────────────────────────────────────────────┤│                                                                 ││  Level 1: 权限边界 (Permission Boundaries)                      ││  ├─ 文件系统访问限制                                            ││  ├─ 网络请求白名单                                              ││  └─ 命令执行沙箱                                                ││                                                                 ││  Level 2: 输出验证 (Output Validation)                          ││  ├─ 代码静态分析                                                ││  ├─ 敏感信息扫描                                                ││  └─ 合规性检查                                                  ││                                                                 ││  Level 3: 架构约束 (Architecture Constraints)                   ││  ├─ 禁止直接操作生产数据库                                       ││  ├─ 必须通过 CI/CD 流水线部署                                   ││  └─ 关键操作需双人确认                                          ││                                                                 ││  Level 4: 速率限制 (Rate Limiting)                              ││  ├─ API 调用频率控制                                            ││  ├─ 文件修改数量限制                                            ││  └─ 连续运行时间限制                                            ││                                                                 │└─────────────────────────────────────────────────────────────────┘

# 反馈循环示例：自验证 Agentclass SelfValidatingAgent:    def execute_task(self, task):        max_attempts = 3        for attempt in range(max_attempts):            # 1. 执行任务            result = self.agent.run(task)            # 2. 自我验证            validation = self.validator.check(result)            if validation.passed:                return result            # 3. 根据反馈调整            task = self.refine_task(task, validation.feedback)        # 4. 多次失败后人工介入        return self.escalate_to_human(task)

┌─────────────────────────────────────────────────────────────────┐│                    Agent 可观测性体系                           │├─────────────────────────────────────────────────────────────────┤│                                                                 ││  关键日志 (Critical Logs)                                       ││  ├── 决策日志：Agent 为什么做出这个选择？                        ││  ├── 工具调用日志：调用了什么工具，参数是什么？                  ││  ├── 上下文日志：Agent 看到了什么上下文信息？                    ││  └── 错误日志：失败时的完整堆栈和状态                           ││                                                                 ││  监控指标 (Key Metrics)                                         ││  ├── 任务成功率 / 失败率                                        ││  ├── 平均执行时间 / Token 消耗                                  ││  ├── 工具调用频率分布                                           ││  └── 人工介入率                                                 ││                                                                 ││  异常检测 (Anomaly Detection)                                   ││  ├── 异常行为模式识别                                           ││  ├── 偏离基线的操作序列                                         ││  └── 敏感操作实时告警                                           ││                                                                 │└─────────────────────────────────────────────────────────────────┘

// .cursor/rules 示例{  "rules": [    {      "name": "禁止直接修改生产配置",      "pattern": "**/production/**",      "action": "warn",      "message": "生产环境配置修改需要双人确认"    },    {      "name": "强制测试覆盖",      "pattern": "**/*.py",      "condition": "new_file",      "require": "test_file_exists",      "action": "block"    },    {      "name": "SQL 注入检查",      "pattern": "execute.*\\+.*format",      "action": "error",      "message": "检测到潜在 SQL 注入风险，请使用参数化查询"    }  ]}

# Agent 权限清单模板## 身份与职责- Agent 名称：_________________- 主要职责：_________________- 运行环境：开发 / 测试 / 生产## 允许的操作- [ ] 读取代码文件- [ ] 修改代码文件- [ ] 执行测试命令- [ ] 部署到测试环境- [ ] 部署到生产环境- [ ] 访问数据库- [ ] 调用外部 API## 禁止的操作- [ ] 直接修改生产数据库- [ ] 删除关键配置文件- [ ] 绕过代码审查直接合并- [ ] 访问用户隐私数据

配置方式选择：├── OpenAI Codex → AGENTS.md├── Anthropic Claude → CLAUDE.md  ├── Cursor → .cursorrules 或 .cursor/rules/└── 自定义 Agent → 自定义 YAML/JSON

# 最小可行反馈循环示例class AgentHarness:    def run_with_feedback(self, task):        # 1. 执行前记录        self.logger.log_start(task)        try:            # 2. 执行任务            result = self.agent.execute(task)            # 3. 自动验证            validation = self.validate(result)            if not validation.success:                # 4. 自动修复或人工介入                if validation.can_auto_fix:                    result = self.auto_fix(result, validation.issues)                else:                    result = self.escalate(task, validation.issues)            # 5. 记录结果            self.logger.log_complete(task, result)            return result        except Exception as e:            # 6. 异常处理            self.logger.log_error(task, e)            return self.handle_error(task, e)

防护栏实施优先级：P0 (立即实施)├── 文件系统沙箱（限制可访问路径）├── 命令白名单（只允许安全命令）└── 敏感信息扫描（防止泄露密钥）P1 (本周实施)├── 代码静态分析集成├── 网络请求限制└── 操作频率限制P2 (本月实施)├── 架构约束检查├── 合规性自动审计└── 异常行为检测

# 最小可观测性配置observability:  logging:    level: INFO    format: "[{timestamp}] [{level}] [Agent:{agent_id}] {message}"    output: ["file", "stdout", "otel"]  metrics:    - name: task_success_rate      type: counter      labels: [agent_id, task_type]    - name: task_duration      type: histogram      labels: [agent_id, task_type]    - name: tool_call_count      type: counter      labels: [agent_id, tool_name]  alerting:    - condition: "task_success_rate < 0.95"      severity: warning      channel: slack    - condition: "sensitive_operation_detected"      severity: critical      channel: pagerduty

产品经理角色演进：传统 PM                    Vibe Coding PM              Harness PM    │                           │                          │    │ 定义需求                  │ 与 AI 协作生成方案        │ 设计 Agent 系统架构    │ 等待开发                  │ 快速原型验证              │ 定义约束与检查点    │ 验收成果                  │ 迭代优化                  │ 监督 Agent 运行    │                           │                          │    ▼                           ▼                          ▼  被动等待                  主动参与                     系统设计  周期长                    周期短                       可持续扩展

传统团队扩展：1 个 PM 管理 5-8 个工程师（沟通成本高，难以扩展）Harness Engineering 团队：1 个 PM 管理 3 个工程师 + 5 个 AI Agent├── Agent 1: 负责竞品监控和报告├── Agent 2: 负责数据分析和洞察├── Agent 3: 负责原型生成和测试├── Agent 4: 负责文档撰写和更新└── Agent 5: 负责用户反馈分析

竞争力维度转变：以前：谁的 AI 能力更强？现在：谁能更安全地发挥 AI 能力？Harness Engineering 成熟度 = 竞争优势├── 更高的自动化程度├── 更低的故障率├── 更快的问题恢复└── 更好的合规性

# 你输入：def calculate_order_total(items):# AI 预测并建议（灰色显示）：    total = 0    for item in items:        total += item.price * item.quantity    return total# 按 Tab 采纳，按 Esc 忽略

# 选中这段代码：def get_user(id):    return db.query(User).filter_by(id=id).first()# 按 Cmd+K，输入："加上缓存，用 Redis"# AI 生成：def get_user(id):    cache_key = f"user:{id}"    cached = redis.get(cache_key)    if cached:        return json.loads(cached)    user = db.query(User).filter_by(id=id).first()    if user:        redis.setex(cache_key, 3600, json.dumps(user.to_dict()))    return user

# 启动 Claude Code$ claude# 和 Claude 对话You: 帮我创建一个新的 React 项目，包含用户认证功能Claude: 好的，我来帮你创建。让我先执行几个步骤...[Claude 自动执行]$ npx create-react-app my-app$ cd my-app$ npm install firebase react-router-dom[创建多个文件][修改配置]Claude: 项目已创建完成。我做了以下事情：1. 创建了 React 项目2. 安装了 Firebase 和 React Router3. 创建了 Login、Register、Dashboard 组件4. 配置了路由和 Auth Context需要我启动开发服务器吗？

传统 AI 编程工具：一个 AI 干所有事情Qoder：多个专业 Agent 分工协作：- PM Agent：分析需求，拆解任务- Architect Agent：设计架构- Developer Agent：编写代码- Reviewer Agent：代码审查- Tester Agent：测试验证

用户："帮我开发一个博客系统"PM Agent：- 分析需求，拆解为用户故事- 确定 MVP 范围- 创建任务列表Architect Agent：- 选择技术栈- 设计系统架构- 定义接口规范Developer Agent：- 根据任务列表编写代码- 遇到问题向 PM 确认Reviewer Agent：- 审查代码质量- 提出改进建议Tester Agent：- 编写测试用例- 运行测试

风险场景：1. 代码上传到云端 AI 服务，可能被存储或用于训练2. 核心业务逻辑、专有算法被发送到第三方3. 代码中包含的 API Key、数据库密码等敏感信息泄露真实案例：某企业开发者将包含客户数据处理逻辑的代码发送给 AI，代码中包含真实数据库连接信息和客户数据样例，导致客户数据安全事件。

# AI 编码工具使用规范（模板）## 1. 工具准入- 只允许使用 IT 部门审批的 AI 编码工具- 优先选择提供企业版、数据不用于训练的工具- 涉密项目考虑本地化部署方案## 2. 数据安全- 禁止将生产环境数据、密钥、凭证发送给 AI- 禁止将客户数据、个人信息发送给 AI- 检查代码中的敏感信息后再发送## 3. 版权合规- AI 生成的代码需要进行原创性检查- 关键代码片段需要经过代码查重- 记录 AI 辅助开发的部分，便于源代码审计## 4. 使用培训- 所有开发者必须完成 AI 工具安全使用培训- 定期更新培训内容，覆盖新风险和最佳实践

传统方式：Claude: "这是一个按钮组件的代码：```jsxfunction Button() { return <button>Click</button> }```"用户：只能看代码，看不到效果Artifacts 方式：Claude: [生成 Artifact]用户：直接在右侧面板看到渲染后的按钮，可以点击交互

用户："帮我设计一个产品定价页面，有三个套餐"Claude 生成 Artifact：[右侧面板直接显示一个完整的定价页面]- 三列卡片布局- 推荐套餐高亮- 价格和功能对比- 可点击的"立即购买"按钮用户："中间那个套餐改成深蓝色"Claude 更新 Artifact：[页面实时更新]

没有 Projects 时：每次对话你都要重新解释：- "我们在做一个电商项目"- "使用 React + Node.js"- "设计风格是简约风"- "文档用中文写"...有了 Projects：一次配置，永久生效Claude 自动了解所有背景

# 项目：电商后台管理系统## 技术栈- 前端：React 18 + TypeScript + Ant Design- 后端：Node.js + Nest.js- 数据库：PostgreSQL## 代码规范- 使用 ESLint + Prettier- 组件使用函数式写法- 变量命名用 camelCase- 文件命名用 kebab-case## 文档规范- 注释用中文- README 用中文- 接口文档用 OpenAPI 格式## 上传文件- 产品需求文档.pdf- 数据库设计.sql- API 接口定义.yaml

场景：产品团队使用 Claude Projects项目配置：- 上传：PRD、设计稿、竞品分析- 指令：使用公司文档模板，输出用中文团队成员 A（PM）："帮我写一下这个功能的用户故事"Claude：[基于 PRD 内容生成用户故事]团队成员 B（设计师）："帮我分析一下这个竞品的设计特点"Claude：[基于上传的竞品分析生成设计洞察]团队成员 C（开发）："根据 PRD，帮我设计数据库表结构"Claude：[基于需求文档生成表结构]

能做的事情：✓ 打开网页，浏览和搜索✓ 填写表单✓ 操作办公软件（Excel、Word）✓ 执行简单的重复性任务示例：用户："帮我在 Excel 里整理这个数据，按日期排序，然后生成图表"Claude：[自动打开 Excel，选中数据，排序，插入图表]

做不好的事情：✗ 复杂的多步骤任务（容易中途出错）✗ 需要精确点击的操作（可能点错位置）✗ 实时变化的界面（网页动态加载）✗ 需要等待的操作（不确定等多久）典型问题：- 弹窗挡住了目标按钮，AI 不知道怎么处理- 网页加载慢，AI 以为加载完了就点击- 多个相似按钮，AI 可能点错

进化路径：第一阶段：AI 生成内容- "帮我写一封邮件" → 输出文本第二阶段：AI 生成可执行代码- "帮我写个脚本" → 输出代码，用户执行第三阶段：AI 直接执行- "帮我发一封邮件" → AI 直接操作邮件客户端发送

Prompt 示例："帮我设计一个移动端的待办事项 App 原型，包含以下功能：1. 任务列表页面：显示待办和已完成2. 添加任务：输入框 + 日期选择3. 任务详情：可编辑标题、描述、截止日期4. 底部导航：首页、日历、设置风格：简约风，主色调蓝色请用 React 生成可交互的原型"Claude 会生成一个完整的可交互原型，你可以：- 直接在 Artifact 中点击操作- 复制代码在本地运行- 继续对话修改细节

访问 v0.dev，输入："Design a pricing page for a SaaS product with three tiers: Free, Pro ($29/month), and Enterprise (custom pricing).Include feature comparison and a FAQ section."v0 会生成多个设计方案，你可以：- 选择喜欢的方案- 继续迭代修改- 一键复制 React 代码

# 原型设计 Prompt 模板## 基本信息- 产品类型：[Web/移动端/桌面端]- 目标用户：[用户画像]- 核心场景：[主要使用场景]## 页面需求### 页面1：[页面名称]- 功能点1：[描述]- 功能点2：[描述]- 交互说明：[关键交互]### 页面2：[页面名称]...## 设计要求- 风格：[简约/商务/活泼/...]- 配色：[主色调]- 参考：[参考产品或设计]## 技术要求- 框架：React / HTML / Vue- 需要可交互：是/否- 需要响应式：是/否

Prompt："我要写一个[功能名称]的 PRD，目标用户是[用户画像]，核心场景是[场景描述]。请帮我生成 PRD 的大纲框架，包含：1. 背景与目标2. 用户故事3. 功能需求4. 非功能需求5. 数据埋点6. 风险与依赖"然后逐章让 AI 帮你填充内容。

Prompt："我在做[功能名称]的设计，竞品 A 是这样做的：[描述]，竞品 B 是这样做的：[描述]。请帮我分析：1. 各自的设计理念2. 优缺点对比3. 对我们产品的建议"

# PRD 撰写助手你是一位资深产品技术，请帮我撰写以下功能的 PRD。## 功能概述功能名称：智能客服机器人产品：XX 电商 App目标：降低人工客服压力，提升用户问题解决效率## 需求来源- 客服团队反馈：70% 问题是重复性问题- 用户调研：用户希望 7x24 小时服务- 竞品分析：主要竞品均已上线智能客服## 请输出以下内容### 1. 产品背景与目标[请补充]### 2. 用户故事与场景[请补充至少 5 个用户故事]### 3. 功能需求列表[请按优先级 P0/P1/P2 分类]### 4. 功能详细设计[请针对每个 P0 功能详细描述：- 功能说明- 交互流程- 异常处理- 验收标准]### 5. 数据埋点需求[请列出需要埋点的事件]### 6. 非功能需求[性能、安全、兼容性等]

Prompt："我有一张订单表 orders，字段包括：- order_id: 订单ID- user_id: 用户ID- amount: 金额- status: 状态（paid/pending/cancelled）- created_at: 创建时间请帮我写 SQL：1. 查询过去 30 天每天的订单量和 GMV2. 按支付状态分布统计3. 找出订单金额 TOP 100 的用户"

# 数据分析 Prompt 模板## 数据背景- 数据来源：[数据库/Excel/API]- 时间范围：[起止时间]- 数据维度：[用户/订单/行为]## 分析目标我想了解：[具体问题]## 数据结构表名：[表名]字段：- [字段1]：[类型]，[说明]- [字段2]：[类型]，[说明]...## 期望输出1. SQL 查询语句2. 数据解读3. 可视化图表4. 行动建议

┌─────────────────────────────────────────────────────────────────────────┐│                        AI 工具五维评估模型                              │├─────────────────────────────────────────────────────────────────────────┤│                                                                         ││                           能力 Capability                               ││                                 ▲                                       ││                                /│\                                      ││                               / │ \                                     ││                              /  │  \                                    ││                             /   │   \                                   ││           数据安全 ◄────────────┼────────────► 成本 Cost               ││           Security              │                                       ││                             \   │   /                                   ││                              \  │  /                                    ││                               \ │ /                                     ││                                \│/                                      ││                                 ▼                                       ││            集成度 Integration ─────── 学习曲线 Learning                 ││                                                                         │└─────────────────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────────────────┐│                     AI 工具评估打分表                                   │├─────────────────────────────────────────────────────────────────────────┤│ 工具名称：________________    评估日期：________________               ││ 评估人：________________      使用场景：________________               │├─────────────────────────────────────────────────────────────────────────┤│                                                                         ││ 一、能力评估 (满分 25 分)                        小计：___/25          ││ ┌────────────────────────────────────────────────────────────────────┐││ │ 1. 能解决我的核心问题吗？                            ___/5         │││ │    说明：_________________________________________________        │││ │ 2. 输出质量满意吗？                                  ___/5         │││ │    说明：_________________________________________________        │││ │ 3. 准确性/错误率可接受吗？                           ___/5         │││ │    说明：_________________________________________________        │││ │ 4. 响应速度可接受吗？                                ___/5         │││ │    说明：_________________________________________________        │││ │ 5. 场景覆盖范围广吗？                                ___/5         │││ │    说明：_________________________________________________        │││ └────────────────────────────────────────────────────────────────────┘││                                                                         ││ 二、成本评估 (满分 25 分)                        小计：___/25          ││ ┌────────────────────────────────────────────────────────────────────┐││ │ 订阅费：___/月    按量费：___/调用    其他费：___                   │││ │ 预估月成本：___                                                     │││ │ 成本合理性评分：                                     ___/25         │││ └────────────────────────────────────────────────────────────────────┘││                                                                         ││ 三、集成度评估 (满分 20 分)                      小计：___/20          ││ ┌────────────────────────────────────────────────────────────────────┐││ │ 1. 与现有工作流的契合度                              ___/5         │││ │ 2. 与常用工具的集成度                                ___/5         │││ │ 3. 数据导入导出便捷性                                ___/5         │││ │ 4. API/自动化支持                                    ___/5         │││ └────────────────────────────────────────────────────────────────────┘││                                                                         ││ 四、学习成本评估 (满分 15 分)                    小计：___/15          ││ ┌────────────────────────────────────────────────────────────────────┐││ │ 1. 上手难度（1最难，5最易）                          ___/5         │││ │ 2. 文档和教程质量                                    ___/5         │││ │ 3. 社区/技术支持                                     ___/5         │││ └────────────────────────────────────────────────────────────────────┘││                                                                         ││ 五、安全评估 (满分 15 分)                        小计：___/15          ││ ┌────────────────────────────────────────────────────────────────────┐││ │ 1. 数据存储和隐私政策                                ___/5         │││ │ 2. 合规认证                                          ___/5         │││ │ 3. 企业级安全选项                                    ___/5         │││ └────────────────────────────────────────────────────────────────────┘││                                                                         │├─────────────────────────────────────────────────────────────────────────┤│ 总分：___/100                                                           ││                                                                         ││ 评估结论：                                                               ││ [ ] ≥80 分：强烈推荐                                                    ││ [ ] 60-79 分：可以使用，有一定限制                                      ││ [ ] 40-59 分：谨慎考虑，可能不适合                                      ││ [ ] <40 分：不推荐                                                       ││                                                                         ││ 综合建议：________________________________________________              │└─────────────────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────────────────┐│                     产品技术 AI 工具箱速查                              │├─────────────────────────────────────────────────────────────────────────┤│                                                                         ││  📝 文档写作                                                            ││  └─ Claude / ChatGPT + Notion AI                                       ││                                                                         ││  📊 数据分析                                                            ││  └─ ChatGPT Code Interpreter                                           ││                                                                         ││  🎨 原型设计                                                            ││  └─ Claude Artifacts + v0.dev                                          ││                                                                         ││  💻 快速编程                                                            ││  └─ Cursor / Replit                                                    ││                                                                         ││  📑 PPT 制作                                                            ││  └─ Gamma                                                              ││                                                                         ││  🔍 竞品研究                                                            ││  └─ Claude + Perplexity                                                ││                                                                         ││  🎙️ 会议纪要                                                            ││  └─ 飞书妙记 / Otter.ai                                                ││                                                                         ││  📧 邮件沟通                                                            ││  └─ ChatGPT + Grammarly                                                ││                                                                         │└─────────────────────────────────────────────────────────────────────────┘