AI编码规则：从提示工程到自动化，提升大模型生成代码质量

1. 项目概述当AI学会“守规矩”地写代码最近在折腾一个自动化代码生成的项目发现了一个挺有意思的现象让大语言模型LLM直接生成代码就像让一个天赋异禀但没经过系统培训的实习生直接上手核心业务。它可能很快给你一个能跑起来的“草稿”但代码风格五花八门安全漏洞可能就藏在某个不起眼的角落甚至一些基础的架构原则也被抛在脑后。为了解决这个问题我深度研究并实践了aiagentwithdhruv/ai-coding-rules这个项目。简单来说它不是一个具体的工具而是一套方法论和规则集核心目标是教会AI如何像一位经验丰富的资深工程师一样写出安全、规范、可维护的代码。这套规则覆盖了从代码风格、安全规范到架构设计、性能优化的方方面面。它不仅仅是给AI看的“行为准则”更是我们人类工程师在提示工程Prompt Engineering中需要内化的“质量标准”。通过将这些规则系统地注入到给AI的指令中我们可以显著提升AI生成代码的“出厂质量”减少后期人工审查和重构的成本。无论你是正在构建基于AI的代码助手、自动化测试工具还是单纯想提升自己使用Copilot、ChatGPT等工具生成代码的效率理解并应用这套编码规则都至关重要。2. 核心规则体系深度解析2.1 规则分类与设计哲学ai-coding-rules的规则体系并非随意堆砌而是遵循了软件工程的核心原则并针对AI生成代码的特性进行了优化。我们可以将其大致分为四个层次形成一个从微观到宏观的约束金字塔。第一层基础语法与风格规范这是最底层、也是最刚性的要求。它确保了代码最基本的可读性和一致性主要包括命名约定强制规定变量、函数、类、常量等的命名风格如 camelCase, snake_case, PascalCase。AI必须根据语言和上下文选择正确的命名法避免出现get_user_data和fetchUserInfo混用的尴尬情况。格式化规则包括缩进空格 vs 制表符、行宽限制、括号位置、操作符间距等。这直接决定了代码的“颜值”也是团队协作的基础。注释规范规定何时需要注释、注释的格式如文档字符串Docstring、以及注释应包含的内容参数说明、返回值、异常等。这能引导AI生成自解释性更强的代码。注意这一层的规则最容易通过现有的Linter如ESLint、Pylint、RuboCop工具来检查和强制执行。在规则集中通常会直接引用或适配这些工具的核心配置告诉AI“请生成能通过pylint评分9.0的代码”。第二层安全与防御性编程规则这一层规则旨在从源头规避常见的安全漏洞和运行时错误是保障代码健壮性的关键。输入验证与净化强制要求对所有外部输入用户输入、API响应、文件内容进行严格的验证、类型检查和净化Sanitization。规则会明确禁止使用eval()、exec()等危险函数并指导AI使用参数化查询来防止SQL注入。资源管理确保文件、数据库连接、网络套接字等资源在使用后正确关闭。规则会引导AI使用with语句Python的上下文管理器或try-with-resourcesJava等模式。错误处理规定异常处理的最佳实践。例如要求捕获具体的异常类型而非通用的Exception在日志中记录足够的上下文信息以便排查以及定义清晰的错误返回格式。第三层架构与设计模式约束这一层规则开始关注代码的结构和质量引导AI产出更优雅、更易扩展的解决方案。单一职责原则SRP规则会要求每个函数/类只做一件事。在提示中我们可以要求AI“将这个复杂功能拆分为三个职责单一的函数”。依赖注入DI与控制反转IoC引导AI避免硬编码依赖而是通过构造函数或方法参数传入以提高代码的可测试性和可配置性。避免过度工程这是一个精妙的平衡。规则会提醒AI“在满足当前需求的前提下选择最简单的设计”防止生成不必要的抽象层和设计模式导致代码晦涩难懂。第四层领域特定与业务逻辑规则这是最高层、也是最灵活的一层。它要求AI生成的代码必须符合特定业务场景的约束。合规性要求例如在处理金融数据时代码必须遵循特定的审计日志格式在处理个人数据时必须包含数据脱敏的逻辑。性能SLA服务等级协议明确性能指标如“该API的95%分位响应时间必须小于100毫秒”。这会引导AI在选择算法和数据结构时做出更优的决策。与现有系统的集成模式规定如何调用内部的服务发现、如何遵循公司的消息队列标准等。2.2 规则的定义与表达形式规则本身如何被定义和传达给AI是项目落地的核心。实践中主要采用以下几种形式结构化规则文件YAML/JSON这是最系统的方式。可以定义一个规则文件清晰分类并包含规则描述、示例、严重级别Error/Warning和适用的编程语言。rules: - id: SEC-001 category: security title: SQL Injection Prevention description: 所有数据库查询必须使用参数化查询或ORM的安全方法严禁使用字符串拼接。 severity: ERROR languages: [python, javascript, java] example_bad: | query fSELECT * FROM users WHERE name {user_input} example_good: | # Python with psycopg2 cursor.execute(SELECT * FROM users WHERE name %s, (user_input,)) # Python with SQLAlchemy session.query(User).filter(User.name user_input).all()在给AI的System Prompt中可以这样引入“你是一个遵循以下编码规则的助手。请严格按照coding_rules.yaml中的规定生成代码。”内嵌于提示词Prompt对于小型或临时性任务可以直接将关键规则以自然语言形式写入提示词。请为我编写一个Python函数用于安全地处理用户上传的文件。 要求 1. 必须验证文件扩展名在白名单内仅允许 .jpg, .png。 2. 必须使用 with open(...) 语句确保文件句柄关闭。 3. 函数返回值需包含处理状态和文件保存路径。 4. 代码风格需符合PEP 8并使用类型注解。基于示例的规则Few-Shot Learning通过提供“好代码”和“坏代码”的对比示例让AI学习规则。这是非常有效的方式因为LLM擅长从模式中学习。任务编写一个用户身份验证函数。 坏的例子不要这样写 def auth(user, pwd): if user admin and pwd 123456: return True return False # 问题硬编码凭证密码明文比较。 好的例子请参照这个风格 import hashlib from database import get_user_hash def authenticate(username: str, password: str) - bool: 验证用户凭据。 stored_hash get_user_hash(username) # 从数据库获取哈希值 if not stored_hash: return False input_hash hashlib.sha256(password.encode()).hexdigest() return secrets.compare_digest(input_hash, stored_hash) # 防止时序攻击3. 将规则集成到AI工作流的实战方案拥有了一套完善的规则后下一步就是如何将其无缝、高效地集成到你的AI编码工作流中。这里有几个从简单到复杂的实战方案。3.1 方案一提示词工程强化最直接这是入门最快的方式。核心思想是将规则库的核心内容提炼成一份详尽的“系统提示词”System Prompt在每次与AI交互时加载。操作步骤提炼规则摘要从完整的规则库中提取出最通用、最重要的20-30条规则用清晰、无歧义的自然语言描述。构建系统提示词创建一个基础提示词模板将规则摘要作为AI的“角色设定”和“工作原则”嵌入其中。在工具中应用在ChatGPT的“自定义指令”、Cursor IDE的“Agent Instructions”、或是通过API调用时设置system参数载入这份强化后的提示词。示例提示词框架你是一个资深的全栈软件工程师严格遵守以下编码安全与质量规则 【安全规则】 1. 绝不信任任何外部输入必须进行验证和净化。 2. 数据库操作一律使用参数化查询。 3. 密钥、令牌等敏感信息绝不硬编码在代码中。 【质量规则】 1. 函数长度不超过30行保持单一职责。 2. 为所有公共函数、类和方法编写清晰的文档字符串Docstring。 3. 优先使用标准库和经过验证的第三方库。 【输出格式】 1. 首先生成完整的、可运行的代码。 2. 然后在“## 规则符合性说明”标题下逐条解释你的代码是如何遵守上述规则的。实操心得在规则描述后加上“请你在生成代码后主动说明如何遵守了第X条规则”可以强制AI进行“思维链”输出不仅给了你结果还给了你它决策的依据方便你审查和建立信任。3.2 方案二构建规则验证中间件自动化当项目规模变大或者需要集成到CI/CD流水线时手动审查AI的“符合性说明”就不现实了。这时需要构建一个自动化中间件。架构设计用户向你的AI编码服务发起请求如“生成一个登录API”。AI编码服务首先调用规则引擎获取当前任务相关的所有规则例如过滤出与“API”、“Python”、“安全”相关的规则。AI编码服务将用户请求和过滤后的规则合并发送给底层大模型如GPT-4。大模型返回代码草案。AI编码服务调用静态代码分析器如集成好的SonarQube、Bandit安全检查对草案进行扫描。如果扫描通过返回最终代码如果不通过将扫描出的问题作为新的上下文连同原始请求和规则再次发送给大模型进行迭代修正直到通过或超时。技术栈选择规则引擎可以使用简单的规则数据库也可以用专业的规则引擎如Drools较重或自定义一个基于标签的过滤服务。静态分析集成这是关键。你需要为每种语言配置好对应的Linter和安全扫描工具pylintbanditfor Python,eslintnpm auditfor JS等并通过命令行或API集成到你的服务中。迭代循环需要设置最大迭代次数如3次和超时时间防止陷入死循环。提示这个方案初期可以简化例如跳过规则引擎每次都用全量规则或者只做一次静态分析如果不通过就人工介入。关键是先跑通流程。3.3 方案三微调专属模型终极方案对于有足够数据、算力资源和追求极致效果的大型团队可以考虑对开源基础模型如CodeLlama、DeepSeek-Coder进行监督微调SFT直接让模型将编码规则内化。数据准备这是最耗时的一步。你需要准备高质量的“指令-输出”对。指令一个具体的编码任务描述。输出不仅包含符合所有规则的完美代码还可以在代码注释中嵌入规则遵守的标记或者附上一段规则符合性文本。数据来源可以是1) 将现有代码库中的优秀代码加上任务描述2) 用方案一和方案二生成大量候选代码再经过资深工程师审核和修正。微调过程使用LoRA、QLoRA等参数高效微调技术在基础模型上训练让模型学会在给定任务下优先输出符合特定规则的代码。优势与挑战优势响应速度快无需复杂的提示词工程和后处理规则遵守度极高且风格统一。挑战成本高数据准备难度大且规则一旦更新可能需要重新微调或使用更复杂的技术如规则适配器。4. 关键规则场景的实例剖析理论说再多不如看几个实实在在的例子。我们选取几个高频且容易出问题的场景看看规则如何具体指导AI生成更好的代码。4.1 场景一用户输入处理与SQL查询这是一个安全重灾区。没有规则约束的AI很可能会写出灾难性的代码。原始用户请求“写一个函数根据用户ID从数据库获取用户名。”无规则约束的AI输出危险def get_username(user_id): import sqlite3 conn sqlite3.connect(mydb.db) cursor conn.cursor() query fSELECT username FROM users WHERE id {user_id} # 直接拼接 cursor.execute(query) result cursor.fetchone() conn.close() return result[0] if result else None问题直接使用字符串格式化拼接SQL存在严重的SQL注入漏洞。应用安全规则后的AI输出import sqlite3 from typing import Optional def get_username(user_id: int) - Optional[str]: 根据用户ID安全地查询用户名。 Args: user_id: 用户的唯一标识符。 Returns: 用户名字符串如果未找到则返回None。 Raises: ValueError: 如果user_id不是正整数。 sqlite3.DatabaseError: 数据库操作错误。 # 规则输入验证 if not isinstance(user_id, int) or user_id 0: raise ValueError(user_id must be a positive integer) username None # 规则使用上下文管理器自动管理资源 with sqlite3.connect(mydb.db) as conn: conn.row_factory sqlite3.Row # 便于按列名访问 cursor conn.cursor() # 规则使用参数化查询防止SQL注入 cursor.execute(SELECT username FROM users WHERE id ?, (user_id,)) row cursor.fetchone() if row: username row[username] return username规则符合性说明输入验证函数开头检查user_id的类型和范围。参数化查询使用?作为占位符将参数通过元组传递彻底杜绝注入。资源管理使用with语句确保数据库连接无论是否异常都能正确关闭。防御性编程对查询结果进行了判空处理避免None[0]错误。代码质量添加了类型注解和完整的文档字符串。4.2 场景二文件操作与异常处理文件I/O是另一个容易滋生Bug和资源泄漏的地方。原始请求“读取一个JSON配置文件并返回解析后的内容。”应用规则后的AI输出import json import logging from pathlib import Path from typing import Any, Dict logger logging.getLogger(__name__) def load_config(config_path: str) - Dict[str, Any]: 安全加载并解析JSON配置文件。 Args: config_path: 配置文件的路径。 Returns: 解析后的配置字典。 Raises: FileNotFoundError: 配置文件不存在。 json.JSONDecodeError: 配置文件不是有效的JSON。 PermissionError: 没有读取文件的权限。 path Path(config_path) # 规则路径验证与安全性基础检查 if not path.exists(): raise FileNotFoundError(fConfig file not found: {config_path}) if not path.is_file(): raise ValueError(fPath is not a file: {config_path}) config_data {} try: # 规则使用上下文管理器安全地打开文件 with path.open(r, encodingutf-8) as f: config_data json.load(f) logger.info(fSuccessfully loaded config from {config_path}) except json.JSONDecodeError as e: logger.error(fInvalid JSON in config file {config_path}: {e}) # 规则抛出具体的、有意义的异常而非捕获所有Exception raise except PermissionError as e: logger.error(fPermission denied reading config file {config_path}: {e}) raise # 注意这里没有捕获通用的Exception让其他未预期的异常如磁盘错误向上传播 return config_data规则符合性说明输入验证使用pathlib检查路径是否存在、是否为文件。资源安全with open(...)确保文件句柄关闭。编码明确指定encodingutf-8避免跨平台编码问题。异常处理精细化只捕获并处理预期的异常JSONDecodeError,PermissionError并记录详细的日志。对于不可恢复的错误如磁盘错误允许其抛出由上层调用者决定如何处理。日志记录记录了成功和失败的操作便于运维和调试。4.3 场景三API设计中的错误响应规范在微服务架构下统一的API错误响应格式至关重要。原始请求“创建一个用户注册的FastAPI端点处理可能的错误。”应用规则后的AI输出from fastapi import FastAPI, HTTPException, status from pydantic import BaseModel, EmailStr, constr from typing import Optional app FastAPI() # 规则定义统一、结构化的错误响应模型 class ErrorResponse(BaseModel): error: str detail: Optional[str] None code: int # 规则定义统一、结构化的请求/响应模型 class UserRegisterRequest(BaseModel): username: constr(min_length3, max_length50) # 使用Pydantic进行输入验证 email: EmailStr password: constr(min_length8) class UserRegisterResponse(BaseModel): user_id: int username: str message: str Registration successful app.post(/register, response_modelUserRegisterResponse, responses{ 400: {model: ErrorResponse, description: Invalid input}, 409: {model: ErrorResponse, description: User already exists}, 500: {model: ErrorResponse, description: Internal server error} }) async def register_user(user_data: UserRegisterRequest): 用户注册端点。 # 规则业务逻辑验证这里模拟 if user_data.username admin: # 规则使用标准的HTTP异常并返回结构化错误 raise HTTPException( status_codestatus.HTTP_400_BAD_REQUEST, detail{error: Invalid username, detail: admin is reserved, code: 40001} ) # 模拟检查用户是否存在 user_exists False # 假设从数据库查询 if user_exists: raise HTTPException( status_codestatus.HTTP_409_CONFLICT, detail{error: Conflict, detail: Username or email already registered, code: 40901} ) try: # 模拟创建用户 new_user_id 123 # 假设数据库插入返回的ID return UserRegisterResponse(user_idnew_user_id, usernameuser_data.username) except Exception as e: # 规则记录未预期的内部错误并向客户端返回通用错误信息 logger.exception(fFailed to register user {user_data.username}) raise HTTPException( status_codestatus.HTTP_500_INTERNAL_SERVER_ERROR, detail{error: Internal Server Error, code: 50000} )规则符合性说明输入验证前置使用Pydantic模型在请求进入处理函数前就完成了类型、格式、长度的验证。结构化错误定义了ErrorResponse模型确保所有错误都遵循相同的格式error,detail,code。明确的HTTP状态码使用正确的状态码400错误请求409冲突500内部错误。API文档友好通过responses参数声明了可能的错误响应这会被自动集成到OpenAPI文档中。业务逻辑与HTTP层分离在业务逻辑中抛出带有结构化详情的HTTPException保持了代码的清晰。5. 规则库的维护、演进与团队协作一套编码规则不是一成不变的圣经它需要随着技术栈的更新、团队经验的积累和业务需求的变化而持续演进。5.1 规则的版本管理与评审版本控制将规则库YAML/JSON文件像代码一样存放在Git仓库中。每次修改都通过Pull Request (PR) 进行。变更评审流程提案任何团队成员都可以提出新规则或修改建议附上理由和示例。讨论在PR中讨论规则的合理性、普适性和可执行性。是否过于严苛是否覆盖了常见场景是否与现有规则冲突批准与合并需要至少1-2名资深工程师或架构师批准后才能合并。发布通知规则更新后需要通过团队邮件、Slack频道或站会通知所有成员并说明主要变更点和对现有代码的影响。5.2 规则与团队文化的融合新人入职引导将编码规则作为新员工入职培训的必备内容。不仅要讲解“是什么”更要解释“为什么”让大家理解规则背后的安全、质量和协作考量。代码审查Code Review的核心依据在CR中审查者可以明确引用具体的规则ID如“违反了SEC-001规则”使反馈更客观、更具说服力减少主观争论。定期复盘与优化每季度或每半年团队可以一起回顾规则库。哪些规则被频繁违反是规则不合理还是大家理解不到位哪些新的常见错误需要补充规则来约束这个过程本身也是团队技术共识深化的过程。5.3 处理规则冲突与例外情况没有一套规则能覆盖100%的场景总会遇到需要“破例”的时候。建立例外申请机制当开发者认为某条规则不适用于当前特定场景时可以申请豁免。但申请必须附带充分的理由并在代码中通过注释明确标记。# 规则豁免申请PERF-001 (避免在循环内查询数据库) # 理由此处需要根据实时更新的流数据立即更新关联状态无法批量预加载。 # 审批人tech-lead for item in real_time_stream: user_preference get_user_preference_from_db(item.user_id) # 单次查询 process_with_preference(item, user_preference)规则优先级明确规则的优先级。通常安全规则SEC-具有最高优先级不可违反其次是架构规则ARCH-最后是风格规则STYLE-*后者在自动化工具修复时甚至可以自动处理。6. 常见陷阱、问题排查与效果评估在实施AI编码规则的过程中肯定会遇到各种挑战。以下是一些常见问题及应对策略。6.1 规则实施中的常见陷阱陷阱表现后果解决方案规则过细过严规则数量爆炸甚至规定了空格数量、变量命名长度等极端细节。扼杀创造性增加开发者的认知负担和抵触情绪AI提示词变得极其冗长。遵循“二八定律”聚焦于对安全、可维护性、团队协作有重大影响的规则。将过于细节的风格问题交给自动化格式化工具如Black、Prettier。规则缺乏上下文规则是绝对的没有考虑应用场景。例如强制所有函数都小于20行可能让一个复杂的算法逻辑被强行拆散。生成看似合规但逻辑割裂、难以理解的代码。为规则添加上下文标签如“适用于业务逻辑层”、“CRUD操作豁免”。在提示词中提供更丰富的任务背景。规则与AI能力不匹配规则要求AI实现一个它当前能力达不到的复杂设计模式或者理解非常深奥的业务领域知识。AI生成错误或混乱的代码或者直接拒绝任务。分层次制定规则。对于复杂设计可以要求AI“生成一个符合MVC模式的骨架并填充其中的Model部分”而不是一次性完成。将核心业务逻辑仍交由人类设计。“规则膨胀”的提示词把上百条规则全部塞进System Prompt导致有效Token被大量占用挤占了任务描述本身的空间。AI可能无法专注核心任务性能下降成本上升。采用动态规则加载。根据任务类型前端/后端/脚本、语言、关键词动态选择最相关的10-15条核心规则。将完整规则库作为知识库供查询。6.2 效果评估与度量如何知道这套规则是否真的起了作用需要建立可量化的度量指标。静态代码分析指标违规数趋势集成SonarQube等工具跟踪“阻断性问题”、“漏洞”、“坏味道”数量的周/月趋势。目标是看到AI生成代码引入的违规数持续下降。代码重复率AI生成的代码重复率是否降低好的规则会鼓励复用和抽象。注释率/文档覆盖率AI是否开始自动生成更有用的文档字符串人工审查效率指标平均审查时间审查一段AI生成的代码所花费的时间是否减少审查往返次数从提交到批准中间需要反复修改的次数是否减少审查意见类型变化审查意见是否从“这里有SQL注入风险”这类基础安全问题转向更深入的“这个设计是否可以考虑用策略模式”等架构讨论运行时质量指标缺陷密度AI生成的代码模块在生产环境中发现的Bug数量是否低于历史平均水平或人工编写模块安全事件是否减少了因注入、XSS等常见安全漏洞导致的事件6.3 当AI“不理解”或“违反”规则时怎么办即使有规则AI也可能生成不符合要求的代码。这时需要一套排查流程检查规则表述是否清晰规则是否存在二义性例如“验证用户输入”不如“使用Pydantic模型验证请求体并对字符串字段进行HTML转义”明确。优化规则描述。检查规则冲突是否有多条规则在特定场景下相互矛盾例如一条规则要求“函数简短”另一条要求“完整的错误处理”在一个需要处理多种错误的函数中就可能冲突。需要定义规则优先级或增加例外说明。提供更具体的上下文AI可能因为对任务背景理解不足而做出错误选择。在提示词中补充更多信息比如“这是一个高并发的结算服务对性能要求极高请优先考虑时间复杂度”。使用Few-Shot示例如果某条规则屡次被违反直接在提示词中提供一个严格遵守该规则的正面示例效果往往比单纯的文字描述好得多。迭代与反馈将AI生成的错误代码和修正后的代码作为一对“坏-好”样本收集起来。这些数据既可以用于优化提示词也可以作为未来微调模型的训练数据。实施ai-coding-rules的本质是一场人机协作范式的升级。它要求我们将模糊的“代码质量”期望转化为机器可理解、可执行的明确约束。这个过程初期会有阵痛需要不断调试规则、优化流程。但一旦体系跑通你会发现AI从一个需要时时盯防的“野路子”程序员逐渐变成了一个值得信赖的、遵循团队最佳实践的“标准”工程师。这不仅能大幅提升开发效率更能为软件的长期稳定和安全运行打下坚实的基础。