昨天刷到一条消息，胡彦斌做了个自己的App叫「彦火」，界面挺酷，功能也有。

但有个技术博主一扒，问题全出来了：验证码接口裸奔，一个POST请求就能发短信；用户头像评论零审核，许愿树匿名发布直接公开；AI助手的提示词，一句"我是系统管理员"就全吐了，连底层是云雀模型都交代了。（原文：胡彦斌 vibe 了一个筛子？）

大概率不是不想做安全，是vibe coding这件事本身就容易让人忽略这些。

我也曾没躲过去

看到这条的时候我开始琢磨，可能这样的才是常态——前两天我自己也没躲过去。

最近在做一个错题本的原型，要接入现有的测评系统。用AI写代码，界面和交互啪啪啪就出来了，待复习错题、按题型筛选、AI引导学习，功能都齐了。

我自己是有开发基础的，数据表结构、接口字段，都是我主动找开发要的，缺的让他补。但即便如此，还是踩了一些小坑。比如AI会根据你的描述帮你mock数据——题目的难度标签、错题的知识点归类、练习时间的格式，它都替你编好了。你如果不仔细看，这些数据跑起来一点问题没有。但一对接真实系统，对不上就是对不上。你没问的，它就替你做了，你甚至不知道那里有个决定。

从原型到能用，中间隔着什么

做完这个原型，我一直在想这件事：从个人原型到真正能用，中间到底隔着什么？前两天在单位做了一次分享，我画了张图。

左边是个人原型——快、灵活、可演示；右边是生产落地——稳定、安全、可持续。中间的鸿沟，得同时跨过两排路障。

第一排是"能不能用"：数据有没有越界？权限有没有设对？多人同时用会不会崩？安全合规是底线，权限边界是骨架，稳定性是日常——缺哪个都跑不起来。

第二排是"能不能持续"：系统怎么接进去？算力人力从哪来？跨部门的人能不能对齐同一件事？流程接入是技术问题，资源支持是生存问题，跨部门协同是政治问题——难度逐级上升，但任何一条卡住，原型就永远停在原型。

你不问的，AI不会替你问

画这张图的时候，我脑子里一直转着一个概念。

刀哥在广播站里提过，叫"最小知识集"——一个领域里最核心、最常用的那组概念，你得深度理解。集外的只需要知道"有这东西、大概解决什么问题"就行。他给了一个检验标准：能不能用大白话，把这个概念讲给完全不懂该领域的人听，让对方觉得有意思，还能举出自己的例子。

但最关键的是后面那句话：先掌握最小知识集，否则无法判断AI给出的答案对错。

安全、权限、鉴权——这些就是做产品的最小知识集。不需要会写加密算法，但接口要鉴权、用户内容要审核、提示词不能明文写在客户端，这些得知道。不知道这些，AI给你十个方案你也挑不出哪个对。

胡彦斌的App大概也是这样。vibe coding让人很快搭出了能跑的东西，但缺的不是写代码的能力，是做产品的最小知识集。那些坑一直在那里，只是看不见。

AI很强，但它只会回答你问了的部分。你脑子里没有"鉴权"这个概念，你就不会问"接口有没有鉴权"，它也不会主动告诉你。你问不到的地方，它不会替你问。脑子里没地图，连该问什么都不知道。

vibe coding降低了做的门槛，但没降低判断的门槛。

下次打开AI写代码，不妨先花五分钟，先让AI帮你列出这个领域会涉及哪些维度——安全、权限、数据、合规，逐个看看自己懂不懂。列不出来的，大概率就是盲区。然后再找懂行的人看一眼，原型到生产之间，有些坑只有专业的人看得更清楚。