Junior Developers 在 Vibe Coding 時的問題與挑戰

作者: -

圖片

最近有個發生在我們專案上的真實案例。

一位初階開發人員用 AI 一口氣生出前端註冊表單 以及 後端驗證與寫入資料庫的程式碼。建置沒錯、可以運行、AI 自我檢查後也說了聲沒問題,但是一跑,前端的資料就是進不到後端模型,驗證當然也就永遠失敗。

這位 Junior Developer 卡在這邊三小時(生成這段程式碼的時間其實只有5分鐘),直到下班前,一票老傢伙看不下去,在旁邊盯著把前後端程式碼一一對起來後才發現,問題居然只需要改一個字母而已。

現場重現:前端 AJAX 送這個

劇情其實很簡單,前端把使用者輸入後的資料,包裹成類似底下這樣的 JSON,透過 AJAX 丟到後端 Controller:

{
 "UserName": "Rick",
 "Email": "rick@example.com",
 "Password": "P@ssw0rd!",
 "PhoneNumber": "0987123456"
}

產出上面的這段 JSON 的程式碼是 AI 寫的。

而接著 ASP.NET Core 的 Controller 大概長底下這樣:

[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
	[HttpPost("register")]
	public IActionResult Register([FromBody] RegisterRequest input)
	{
		// input 的屬性全是 null -> 驗證失敗
		if (input is null || string.IsNullOrWhiteSpace(input.username))
			return BadRequest("payload invalid.");
		// 其餘省略...
		// 其餘省略...
		// 其餘省略...
		return Ok();
	}
}

輸入時使用的 Model 長底下這樣:

public  class  RegisterRequest
{
	public  string  username { get; set; }
	public  string  email { get; set; }
	public string password { get; set; }
	public string phonenumber { get; set; }
}

結果當然:username/email/... 全部是 null

為什麼?因為反序列化時,JSON 的屬性 UserName/Email/...(大寫),但 C# 屬性是 username/email/...(小寫)。在大多數情境下,System.Text.Json 的預設行為是 大小寫敏感,名字沒有100%對起來就直接給你 null

好玩的是,這位 Junior 說,他不是沒有注意到這個大小寫不同,但是,他記得在其他專案中這麼做的時候,大小寫不同是可以的! 因此他這三小時都在測其他的東西。

而且,這段程式碼不管是前端還是後端,都是AI生的,所以他認為這部分應該是OK的才對。

結果這麼一個單純的問題卡了三小時,比AI生出這段程式碼的時間(五分鐘),足足多了 36 倍。

為何老傢伙一眼就看的出來的問題,許多初階開發人員會注意不到?

因為資深工程師在腦中早就有一套訓練好的 經驗模型

  • 他們看過各種前後端對不起來的狀況,對「屬性名稱大小寫不一致」這種 bug 幾乎有直覺反應。
  • 他們知道 程式碼不是單獨存在的,而是有「前端 JSON ↔ 後端 DTO ↔ 資料庫 schema」的鏈條,鏈條斷在任何一環都可能出錯。
  • 他們習慣先驗證輸入輸出資料,再檢查模型,而不會只是盯著程式碼死看。

相反地,許多初階開發人員 完全靠 AI 生成程式碼,跳過了「自己手刻」的過程,欠缺累積這種「錯誤模式記憶」。對他們來說,程式碼片段就像是個黑盒子,跑得動那是最好、跑不動時就一頭霧水

這就是為什麼「老傢伙」能憑直覺馬上定位問題,而新人常常要卡幾個小時還找不到頭緒。

那為什麼這位 Junior 說,他在其他專案中這麼做的時候,大小寫不同是可以的?

這是因為在 ASP.NET Core 的序列化/反序列化設定裡,有個設定叫做 PropertyNameCaseInsensitive
在那些 可以的 專案裡,這個選項被全域的設定成 true,所以即便前端傳來的 JSON 是大寫 UserName,後端類別寫成小寫 username,框架也會自動忽略大小寫,把值對應進去。

但沒寫過也沒學過的 Junior 哪裡會知道呢?

為什麼 AI 會踩雷?

因為 AI 很擅長「把能運作的片段拼出來」,但不會自動確保跨層命名策略一致。初階工程師如果沒建立 JSON 命名策略、模型繫結、序列化選項的心智模型,就很難從症狀一路推回「大小寫對不起來」這件事。

這是 AI 讓你很快抵達 80% 的典型副作用:最後 20% 的基本功與除錯能力,仍然要靠人。
就像之前曾說的,除非刻意練習,否則隨著我們實作的比例愈來愈低(因為現在大部分都交給 AI 生成),新人累積這類經驗的時間就會愈來愈長。

長遠下來,這會造成一種落差:資深工程師的直覺與判斷力來自於過去數十次、數百次的踩坑經驗,而新人卻可能連一次完整的「踩坑->找原因->解決」循環都經歷不到。結果就是,AI 幫忙快速鋪路,但也同時把「學會走路」的時間無限延後。

怎麼辦?

團隊需要有意識地設計「刻意練習」的場景,例如 Code Review、Bug Hunt、Pair Programming,甚至在培訓環節暫時拿掉 AI 輔助,讓新人必須獨立完成。唯有這樣,AI 才能真的成為助力,而不是讓開發者在關鍵時刻手足無措的「拐杖」。

順帶一題:AI 確實很強,但「把 bug 指給你看」目前還不算是它的強項

AI 能讓初學者一天完成原本要三天的事,但也會讓人忽略那些你本來該在第一週就理解的基本功

做為一個開發團隊,我們要設計的是一個 結構化的學習路徑與安全網,而不能像過去一樣把新人丟進去專案裡直接單打獨鬥。

  • 要有文件化的 最佳實務(例如 API 命名規範、DTO 命名策略),避免同樣的坑一再發生。
  • 要有 自動化測試與保護機制,讓錯誤可以在 CI 階段就被攔下,而不是總是在新人的電腦上爆出來。
  • 團隊要有 知識傳承的設計,透過 Code Review、Pair Programming,讓「老傢伙的直覺」能被年輕人學到,而不是只能靠卡關時的臨時救火。

AI 可以加速產出,但判斷、驗證、與歸納經驗仍然是人類工程師必須承擔的部分。只有當團隊願意把這些「最後 20%」設計進日常流程,AI 才會真正成為戰力的加速器,而不是在關鍵時刻變成風險與與問題的擴大機。

留言

張貼留言

這個網誌中的熱門文章

使用LM Studio輕鬆在本地端以API呼叫大語言模型(LLM)

作者: -
圖片
最近上課常被問到,如何在地端環境搭建出大語言模型(LLM),並且呼叫其API。 一開始我不太理解為何會有這樣的需求(因為在地端自行搭建運行LLM的成本不一定比較低,即便可能比較安全),但被問多了,也就開始遍尋相關的解決方案,看看有沒有什麼最簡單的方式,可以讓開發人員在地端測試大語言模型? 後來我選擇 LM Studio ,它就是一款設計來運行大型語言模型(LLM)的平台,有個算是挺優雅的整合環境,讓一般 end-user 或開發人員,都可以輕易地在 local 端進行模型的部署和測試。 LM Studio 本身支援多種模型架構和框架,當然,最重要的是,它是免費的。 下載安裝 都很容易,我就不多說。 安裝好之後,你可以看到首頁中已經呈現了許多 Hugging Face上的模型: 這顯然是因為Hugging Face是大部分免費開源模型的集散地。 你可以搜尋自己喜歡的模型,透過LM Studio下載到local之後,就可以直接載入(下圖一): 隨手設定一下 system prompt(上圖二),然後,就可以直接對談了。(上圖三) LM Studio會使用你的GPU進行運算(如果有的話),你會發現,原來有好的設備(GPU),運行的速度可以如此之快。 Local Server 對於開發人員來說,它還有個超級更友善的功能。 LM Studio本身還提供一個 local server,可以幫你把模型包裹起來讓你直接透過API呼叫該模型的功能,例如: 上圖是我們開啟 LM Studio中 Local Server功能後的結果,你可以透過 localhost 的 1234 port 來呼叫這個被 LM Studio 運行起來的大語言模型。(有沒有發現,我們用的也是 chat/completions API) 透過Postman簡單提供一下 JSON Body: { "model": "LM Studio Community/Meta-Llama-3-8B-Instruct-GGUF", "messages": [ { "role": "system", "content": "你是AI助理,請一律用繁體中...
Read more »

開啟 teams 中的『會議轉錄(謄寫)』與Copilot會議記錄、摘要功能

作者: -
圖片
在 Teams 中有一個非常好用的功能,可以透過 “謄寫” 把 Teams 的語音會議變成逐字稿,這部分當然是用到語音識別(語音轉文字)的AI技術。 開始謄寫與自動會議紀錄 當啟動一個會議之後,主席可以透過底下這個『開始謄寫』功能來開啟: 這個功能之所以重要,是因為他也是 Teams Copilot 要能夠順利使用的基礎。我們可以透過 Teams Copilot 進行會議的摘要、總結、整理、或是進行會議內容的詢問,而這後面用的則是LLM(大語言模型)的能力: 這功能對於需要參加很多會議的主管、或是在開會遲到的同仁,都是很方便的功能,可以透過詢問Copilot快速地進入會議狀況。 開啟 “謄寫” 功能 然而,這一切的基礎 “謄寫” 功能卻不是每一個機構都有預設開啟,如果你發現你的 “謄寫” 功能是灰色的(無法點選),就意味著你的組織沒有開啟(或沒有為你開啟)這個功能。 那組織的管理員該如何開啟此功能呢? 很簡單,只需要到 Teams 系統管理中心,點選 『設定和原則』 --> 『會議』: 進入 『會議』 的設定之後,找到『會議錄製』–>『轉錄』 將其『開啟』即可: 如此一來,組織內的同仁就可以順利的使用 Tteams 會議中的語音轉文字(謄寫)功能,也可以使用 Copilot 來查詢會議的內容囉。 Enjoy it~
Read more »

原來使用 .net 寫個 MCP Server 如此簡單

作者: -
圖片
MCP 的重要性與意義 MCP 的重要性在於它建立了一個標準化的架構,讓開發者能夠快速建構出給 AI Agent 呼叫的各種功能。 舉例來說,假設我們希望實現一個 可以透過自然語言對談的請假功能 ,傳統上我們必須建立一個前端 Chat Bot 作為 UI、還得撰寫後端 API、資料驗證邏輯、資料庫存取介面…等,另外還要設計 Chat Bot 的對話邏輯,才能把請假功能整合到Chat Bot的對談訊息中。 但在 MCP 的架構下,這樣的流程可以大幅簡化。 開發者只需要實作幾個「請假功能」的介面(Tool Interface),接著定義好運行這個功能需要輸入哪些參數(例如請假人、開始時間、代理人、事由…etc.),並透過 JSON 來描述這些參數的格式與驗證邏輯。接著,AI Agent 便可以在對話過程中,自動根據對談前後文理解使用者意圖,挑選出適合的Tool來運行,主動發出呼叫的請求。如此一來,大幅簡化了AI Agent開發的難度。(本質上就是 Function Calling 的概念) 而 .net 又把這個難度降低到人人可以開發的程度,底下是一個使用 .net 開發的 請假功能 MCP Server,並且使用 GitHub Copilot來呼叫的例子: 其實我之前用 Semantic Kernel做個類似的範例,只是如今 .net 讓它變得更簡單,而且輕易地可以透過MCP架構讓不同的 MCP Client端呼叫使用。 如何用 .NET 撰寫 MCP Server 要使用 .NET 撰寫 MCP Server 非常簡單,受益於 Microsoft.Extensions.Hosting 和 ModelContextProtocol 套件,我們可以在幾分鐘內輕鬆地實作 MCP Tool 和 MCP Server 。 以下是MCP Server的完整程式碼: using Microsoft . Extensions . DependencyInjection ; using Microsoft . Extensions . Hosting ; using Microsoft . Extensions . Logging ; using ModelContextProtocol . Server ; using System ...
Read more »

關於 SSO 登出的那些事:Google、Microsoft、LINE 開發者必讀差異

作者: -
圖片
前情提要 為何大家現在都喜歡採用 SSO? 我最近手上很多案子,都建議客戶不要自己實作帳號密碼登入,而是直接採用SSO登入。 因為,現今資安與用戶體驗的雙重考量,很多專案開發時,都會選擇整合 Google、Microsoft、LINE 這類大廠的 SSO(Single Sign-On,單一登入)機制,來取代自己儲存帳號密碼,如此可以降低很多資安風險,在面對資安稽核的時候,也省了一些什麼資料庫帳號密碼加密、金鑰保存的一堆麻煩。 而採用SSO對用戶也有一個好處,就是用戶不再需要記得很多組密碼,可以輕易實現 「一個帳號,多處通行」 。用戶在某個服務登入一次,其他整合同一身份平台的 網站/應用程式 就能直接使用,不必每次重新輸入帳密。對用戶來說方便,對開發者來說省事,對資安來說統一控管理論上也比較更安全。 但,不是每個 SSO 都能「好好登出」 某次,被客戶問到了一個問題。 客戶的用戶,使用瀏覽器登入我們的系統,但該瀏覽器會記得用戶的SSO session,因此當用戶關閉瀏覽器後,重新開啟瀏覽器登入系統時,看似需要登入,但發現即便導引到了SSO的登入畫面,卻無須輸入帳密,隨即可以登入!? 其實,SSO單一登入機制 by design 就是這樣設計的,這本來就是SSO的便利性和好處。然而,客戶卻有個疑問,如何強制讓用戶一定要用戶重新輸入帳密呢? 事實上,還真的不是每個 SSO 都能「登出」 雖然許多人都有用過 SSO,但可能很多人不知道: 不是每一個 SSO 都有支援「全域登出」的 API 或 URL 。 事實上,很多整合 SSO 的「登出」功能,本質上只是 在下一次登入時強迫重新驗證 ,並不是真的清空 IdP(身份提供者)的全域 Session。 更有趣的是: 這個所謂的「重新驗證」也不一定會要求用戶重新輸入密碼 。 有的 SSO 可以透過特定的參數在登入時直接強迫用戶輸入帳密(無視現有 Session),有的則只能「盡力要求」。最後要不要真的打密碼,還得看 SSO Provider 如何實作安全政策(例如MFA、零信任)。 就拿我在專案中最常使用的 MS, Google, LINE 三種 SSO Provider 來說,對於「登出」與「重新登入」的實作方式都不同。 Microsoft — 最直白的強制重登 https://login.m...
Read more »

VS Code的字體大小

作者: -
圖片
身為.net developer,這年頭是什麼code都得要會寫的年代。 而雖然我的NB還沒從Windows淪陷為Mac OS,但寫Node.js和Python免不了要用VS Code,這是一種愛的表現。 但歲月不饒人,盡管微臣非常熱於配合,但VS Code預設字體的大小在我還沒錢買大尺寸螢幕的狀況下,實在讓老臣難以適應。當下的第一個反應是什麼? 當然是 Ctrl+滑鼠滾輪往上推…哇靠,沒用。看…這設計…恩,千錯萬錯一定是我的錯。 只好從選單 file –> Preferences –> Settings: 在出來的視窗中,你可以看到 editor.fontsize: 沒錯,改它就行了。改不動? 喔,不好意思,我沒仔細看說明,要copy到右邊是吧,沒問題,copy->paste->modify->Save…搞定。 好簡單啊…連ctrl+(mouse scroll up)都用不到了呢… 咦?這是一篇抱怨文嗎? 沒有,誰說的? 免費的tool我們還有什麼好抱怨的呢…要感恩啦。 啊….對了,如果你還是堅持要使用 Ctrl+滑鼠滾輪,請找關鍵字… "editor.mouseWheelZoom"
Read more »