什么时候先加固更值
- 有真金白银流经它:支付、打款、开票,任何一个 bug 就是财务损失而不是小麻烦的地方。
- 它持有敏感或个人数据。一个没加固的原型一旦泄露就是一次数据泄露事件,而泄露没有第二次机会。
- 真实的外部用户会在无人看管下依赖它,一次故障让你丢掉一个客户或你的声誉,而不是博君一笑。
- 你已经验证了需求,原型正在变成产品。低成本重做的窗口已经关上了。
按现状上线 对比 先加固
把 vibe-coded 原型按现状上线,还是先加固?这完全取决于接下来是谁来碰它。
一个用 AI 工具做的原型 Demo 很干净,happy path 也能跑。真正的决定是:现在就把它交到真实用户面前,还是先做一遍生产就绪检查:鉴权、输入校验、密钥处理、错误处理、回归测试、可观测性。对于内部工具、用完即弃的 Demo,以及没有真实数据的 design partner 试点,按现状上线确实更划算。一旦涉及真金白银、真实用户或敏感数据,加固就更值。这一页不为任何一方背书。按照它坏了会坏到什么程度来决定。
预约三十分钟通话“Demo 能跑,跟产品安全到可以交给一个陌生人,是两码事。那是两条不同的终点线。”
// 01
真正的差异在哪里
两种选择真正分道扬镳的六个维度。
WAVECT
DIMENSION
ALTERNATIVE
更慢。一遍加固会在任何人看到它之前多花几天到几周,取决于 Demo 跳过了多少。
上线所需时间立刻。原型已经能跑,所以你把一个 URL 指过去就上线了。
可控。校验、错误处理和测试会在用户看到之前抓住故障。多数问题留在内部。
出问题的代价无上限。在真实用户面前坏一次,可能是一笔退款、一个丢掉的客户或一次事故。上线很便宜,出错很贵。
已封闭。在暴露给开放互联网之前,鉴权、密钥处理和输入校验都已就位。
安全暴露面门户大开。AI 工具很少会自己加上真正的鉴权或密钥管理。硬编码的密钥和不设防的输入很常见。
受保护。校验和错误处理能阻止坏的或不完整的写入污染真实记录。
数据完整性有风险。没有校验,原型会高高兴兴地写入畸形或不完整的数据。做起来容易,事后难以收拾。
它在生产里扛不扛得住。你学到的是可靠性、边界情况和负载,而不只是有没有人想要。
你能学到什么有没有人想要,而且很快。你在投入做健壮性之前先学到需求和可用性。这是最快的信号。
按每一块钱算更不可逆。你已经投在了健壮性上,所以扔掉它会损失更多已经花掉的东西。
可逆性只要没有真实的东西押在上面,就完全可逆。扔掉重做,带着学到的东西,几乎没有沉没成本。
// 02
实践中的真正区别
一个 Demo 很干净的 vibe-coded 原型证明了一件事:happy path 跑得通。这是实打实的进展,值得尊重。它没有证明这东西安全到可以交给带着真实数据、押上真金白银的陌生人。
按现状上线是正确选择的次数,比那些靠卖加固吃饭的人愿意承认的要多。一个由三个清楚它边界的人使用的内部工具、一个用来路演的用完即弃的 Demo、一个用假数据且有人盯着每一步的 design partner 试点:在这些场景里,一遍生产就绪检查就是浪费预算。把粗糙的东西摆到别人面前、看他怎么用,你学得更快。只要没有真实的东西押在上面,按现状上线也是可逆的,你可以扔掉它,带着学到的东西重做。
当失败的后果从尴尬变成损害时,加固就成了正确选择。一旦原型碰到真实的客户数据、收了一笔钱,或者带着你的名字出现在没同意当试验品的用户面前,那些缺失的部分就不再是打磨,而是变成了责任风险。AI 工具是为一个能跑的 Demo 而优化的,不是为那些让 production-ready 系统不漏数据、不丢数据的鉴权、输入校验、密钥处理、错误处理、回归测试和可观测性而优化的。这些在 Demo 里一个都看不到,而这正是它们被跳过的原因。
诚实的检验只有一个问题:它第一次在真实用户面前坏掉时会发生什么?如果答案是我们笑一笑然后修掉,那就按现状上线。如果答案意味着一次数据泄露、一笔退款,或一个再也不回来的客户,那就先加固。看看我们怎么做一遍生产就绪检查。
// 03
什么时候该选哪一个
什么时候按现状上线更值
- 它是给少数清楚它边界、能绕开粗糙之处的人用的内部工具。
- 它是一个用完即弃的 Demo 或路演道具。它唯一的任务就是被看一次,然后被丢掉。
- 它是一个用假数据或非敏感数据、且有人盯着每一次交互的 design partner 试点。
- 需求还是那个悬而未决的问题。在你为健壮性花一块钱之前,你需要最快的信号来判断到底有没有人想要它。
如果右边那列描述的是你的原型,那就上线、去学。如果左边那列描述的是它,那就在陌生人碰它之前先加固。
// 04
相关的 Wavect 工作
// 05
常见问题
最近审阅:
审阅人Christof Jori
wiki ↗