最近用AI生成代码的时候，遇到一个问题：
AI读取了API接口文档，把鉴权的 secret 明文直接写进了代码里。

小白完全看不出问题，还以为代码没错。
经验告诉我，这样做非常危险，密钥直接暴露在前端或者版本库里，很容易被滥用。

AI不会提醒你这些安全问题。
解决思路：

• 不要把 secret 写在前端或公开代码里

• 后端环境或配置文件管理密钥

• 养成检查接口安全的习惯

这是典型经验差造成的痛点：
AI能写逻辑，但安全问题只有经验才能看得出来。
学会提前发现这些坑，比盲目跟着AI写代码省时间。