从 Lovable 和 Cursor 原型到生产：迁移清单

Lovable、Cursor、Claude Code、Bolt、v0 或 Replit 这类 AI IDE，能在几天内把你带到一个可点击的产品。这是实打实的进展，也是容易的那一半。"demo 能跑" 和 "真实用户能靠它办事" 之间的距离，是一个独立的项目，有它自己的工作量，假装不是这样，正是上线出岔子的方式。这是当一个原型需要变得生产级时，我们所跑的清单。

这些都不是在挑工具的毛病。我们自己也是这么起步的。这是一张工作地图，标出那些不会自己发生的活，好让你能事先规划，而不是在事故中才发现。

"生产" 到底意味着什么

demo 证明想法成立。生产环境则要扛住重量。区别不在于打磨，而在于一组没人会注意到、直到它缺席才被看见的保证。

• 立得住的认证。真实账户、真实会话，以及一条硬规则：一个用户碰不到另一个用户的数据。
• 数据完整性。写操作要么完成，要么干净回滚，还有一个你信得过、下个月仍然正确的存储。
• 可用性。一次部署，能扛过重启、流量高峰和一次糟糕的发布，不需要人工抢救。
• 安全。浏览器里没有密钥，没有敞开的端点，没有一个你没看过的依赖。
• 可观测性。凌晨两点出问题时，你是从工具那里知道的，不是从客户那里。
• 支持。有办法回答 "我的订单怎么了"，而不用靠猜。

一个原型可以把上面每一条都跳过，仍然演示得完美。这恰恰是为什么 demo 不是终点线。

第 1 步：锁死认证与数据访问

这是我们最先检查的，也是最常出错的。AI IDE 很擅长做一个登录页，很不擅长执行登录之后该发生什么。前端把按钮藏了起来，但 API 仍然会回应任何来问的人。

每一次访问检查都必须放在服务端。把授权彻底从客户端挪出去，放到读写数据的地方去执行。如果你的产品是多租户的，就按租户或按行做隔离，让一个账户在物理上无法查询另一个账户的记录，最好在数据库层，而不是在那种你每个端点都得记着去加的应用逻辑里。前端检查是一种 UX 上的体贴。它不是安全，也从来都不是。

第 2 步：掌握自己的数据层

很多原型工具会塞给你一个方便的共享或临时数据存储，好让你先动起来。这对 demo 很棒，对生产却是错的。它的备份、上限和寿命都不归你管，而 "数据被重置了" 不是一句你想对付费用户说的话。

迁到一个你自己拥有的、真正托管的数据库，多数情况下是 Postgres。把你的 schema 纳入版本化的迁移，让变更可重复、可评审，而不是在某个仪表盘上点出来的。打开自动备份，并真的做一次恢复测试，因为一个你从没恢复过的备份是一种期望，不是备份。这通常是最不光鲜的一步，也是替你挡掉最糟那一天的一步。

第 3 步：密钥与环境

原型会泄露密钥。工具为了让示例能跑，把一个 API key 内联进去，它最后落进客户端打包产物或仓库历史里，谁都能读到。这里的第一件事，是把每一个密钥从客户端拿出来，放到服务端，藏到你自己的后端后面。

然后分开你的环境。dev、staging 和生产应该各有各的密钥和各的数据，这样一次测试永远碰不到真实客户，staging 里的一个错误也不会向任何人收费。还有，凡是曾经暴露过的，统统轮换。一个待过客户端代码或公开 commit 的密钥就是已被泄露，不管你有没有它被用过的证据。轮换它花一个小时。假设它没事，可能要付出多得多的代价。

第 4 步：托管、CI/CD、回滚、可观测性

跟你的 AI IDE 一起捆绑来的那个原型托管，是为展示而造的，不是为运行而造的。在你开始依赖它之前，先迁到一套真正的部署设置。这意味着：一条在 push 时构建并发布的流水线，一种能在几秒内回滚到上一个好版本的办法，以及一个 staging 环节，让变更在用户看到之前先被看到。

然后，加上眼睛。错误追踪，在有东西抛异常时告诉你；基本的可用性监控；以及足够的日志，好让你事后能回答 "发生了什么"。目标很简单：你应该从你的工具那里知道有问题，而不是从一条愤怒的消息那里。没有这一层，你就是在盲飞，而麻烦的第一个信号，是一个已经流失的用户。

第 5 步：保留还是重建的抉择

并非所有生成的代码都得扔掉，也并非所有都值得留下。诚实的答案是：取决于问题住在哪里。表层的漏洞，在你已有的东西之上去补很便宜。地基层面的就不是。

当数据模型扎实、结构可读、漏洞只是上面那些可预期的项时，就保留地基：认证、校验、错误处理、密钥。这些都是在一个像样的基础上做的加法式修复。当数据模型错得让其余一切都依赖于它，或者同一个坏模式被复制到了整个代码库、以至于每个修复都得做上一百遍时，就重建核心。给一个本该重新浇筑的地基打补丁，是省钱最贵的方式，而我们会在第一通电话里就说出来，而不是收你那条绕远路的钱。

"原型从来都不是项目本身。做到一个 demo 是一件活，做到生产是另一件活，第二件不会因为第一件快就变便宜。"

要多久，多少钱

从经验看，对一个典型的 AI 构建的原型，一轮聚焦的加固跑下来是一到三周。这是一个区间，不是报价，它会因两件事而移动：产品触碰多少真实金钱或敏感数据，以及工具在无人掌舵的情况下跑了多远。一个只读的内部工具落在短的那头。一个收款并存储个人数据的产品落在长的那头，可能还需要更多。

我们不会做的，是在还没看之前就给你一个精确数字。谁要是为一个他没见过的代码库报一个固定数，那是在猜，而猜测总是偏乐观。我们在先看一眼之后再定范围，如果诚实的答案是 "重建核心"，你会最先听到，而不是在第三周才听到。这项工作的详细版本，是我们的软件 QA 服务，而它背后的失效模式，在AI 生成代码的 QA 里讲过。