1. 摘要
我是一名产品经理,负责博恩牙椅售后管理系统。面对一个包含微信小程序前端、Vue 3 后台管理系统和 38 个云函数的完整项目,我使用 TRAE SOLO 在 2 天内完成了全面的代码审查,发现 106 个问题(其中 20 个高危),并完成了全量修复。涵盖安全加固、性能优化、废弃 API 替换、隐私合规改造等,最终生成了一份专业的代码审查报告。整个过程不需要写一行代码,SOLO 帮我完成了从分析到修复的全流程。
2. 背景
我是一名产品经理,负责博恩牙椅售后管家系统——一个面向牙椅设备售后服务的微信小程序。系统包含三个部分:
-
微信小程序前端:配件申请、问题反馈、物流查询等
-
后台管理系统(Vue 3 + Element Plus):数据看板、申请管理、发货管理
-
云函数(38个):业务逻辑、数据导出、消息通知等
项目已经上线运行,但一直没有做过系统的代码质量审查。作为产品经理,我懂业务但不太擅长深入排查代码层面的安全隐患和性能问题。手动审查 38 个云函数 + 两个前端项目的代码量太大,几乎不可能在短时间内完成。正好看到 SOLO 挑战赛,决定用 SOLO 来做一次完整的代码体检。
3. 实践过程
第一步:让 SOLO 全面审查代码
我给 SOLO 的第一个 Prompt 很简单:
“检查小程序和该小程序后台管理系统有哪些问题”
SOLO 自动识别了项目结构,同时启动了 3 个并行任务分别审查:
-
小程序前端(页面逻辑、配置、安全)
-
后台管理系统(Vue 组件、路由、API 调用)
-
38 个云函数(权限校验、错误处理、数据一致性)
大约几分钟后,SOLO 返回了一份详细的审查结果,共发现 106 个问题:
| 严重程度 | 数量 |
|---|---|
 高 |
20 |
 中 |
48 |
 低 |
38 |
关键发现包括:
-
管理员密码硬编码在前端代码中
-
8 个云函数完全没有权限校验
-
所有列表页面都是前端分页(加载全量数据)
-
使用了微信已废弃的 API(wx.getUserProfile、wx.chooseImage)
-
缺少隐私协议合规机制
SOLO 还自动生成了一份 Word 格式的专业审查报告。
第二步:确认修复范围
拿到审查报告后,我告诉 SOLO:
“密码不要调整,其他问题需要修复”
SOLO 理解了约束条件,自动排除了密码相关问题,将剩余约 86 个问题拆解为 6 个阶段,并制定了执行计划。
第三步:并行修复
SOLO 同时启动了 3 个并行修复任务:
任务 A - 安全修复(12 个云函数):
-
为 8 个缺少权限校验的云函数添加了 verifyAdmin 函数
-
修复了 exportExcel 的 RegExp 注入漏洞
-
修复了 webAdminApi 中任意 openid 可绕过权限的严重漏洞
-
APP_ID/APP_SECRET 改用环境变量
-
getApplyDetail 恢复了被注释掉的权限验证
任务 B - 性能优化:
-
3 个列表云函数添加了后端分页支持(skip/limit)
-
小程序 delivery 页面从加载全量列表改为按 ID 查询单条
-
实时监听器添加了 2 秒防抖 + 指数退避重连
-
图片上传失败处理修复(不再静默跳过失败)
-
后台管理系统自动刷新添加了页面可见性检测
任务 C - 代码质量 + 配置 + UX:
-
syncUtil.js 从 ES6 模块改为 CommonJS,修复属性名冲突
-
wx.chooseImage → wx.chooseMedia(3 处)
-
wx.getUserProfile → wx.getUserInfo(4 处)
-
补全了 12 个缺失的云函数配置
-
移除了登录页默认密码提示
-
添加了全局错误边界
第四步:验证修复结果
修复完成后,SOLO 自动启动了验证任务,逐一检查 23 个关键文件的修改是否正确。发现了 2 个问题并立即修复:
-
database.rules.json 中集合名
suggestion应为suggestions -
cloudbaserc.json 还缺少 12 个云函数配置
第五步:处理审核被拒问题
小程序提交审核后被拒,原因是缺少隐私合规。我截图发给 SOLO:
“提交小程序后给的提示,应该怎么修改”
SOLO 识别了审核拒绝原因,自动完成了:
-
app.json 启用
__usePrivacyCheck__ -
app.js 添加
onNeedPrivacyAuthorization隐私弹窗处理 -
新建了完整的《隐私保护指引》页面(10 个章节)
-
新建了完整的《用户服务协议》页面(8 个章节)
-
授权页面添加隐私协议勾选框
-
登录页底部添加协议链接
踩过的坑
-
密码问题要提前说清楚:第一轮修复时 SOLO 把密码也改了,我需要额外说明"密码不要调整"。这说明给 AI 下指令时,约束条件要一开始就明确。
-
集合名不一致:database.rules.json 中写的是
suggestion(单数),但代码中用的是suggestions(复数),验证阶段才被发现。 -
废弃 API 替换要注意兼容性:wx.getUserProfile 没有完全等价的替代方案,SOLO 选择了 wx.getUserInfo 作为过渡,并添加了 TODO 注释。
4. 成果展示
最终产出:
-
代码审查报告(Word 文档):包含 106 个问题的详细分析,每个问题都有文件路径、严重程度和修复建议
-
49 个文件被修改:覆盖云函数、小程序前端、后台管理系统、配置文件
-
2 个新页面:隐私保护指引 + 用户服务协议
-
17 个云函数需要重新部署(已整理部署清单和顺序)
修复覆盖范围:
| 阶段 | 修复内容 | 修改文件数 |
|---|---|---|
| 安全加固 | 权限校验、注入修复、环境变量化 | 12 个云函数 |
| 功能修复 | 废弃 API、跳转错误、配置缺失 | 10 个文件 |
| 性能优化 | 后端分页、防抖、按 ID 查询 | 10 个文件 |
| 代码质量 | 去重、模块化、版本锁定 | 8 个文件 |
| 配置构建 | cloudbaserc、vite、数据库规则 | 5 个文件 |
| UX 改进 | 错误边界、隐私合规、UI 优化 | 8 个文件 |
5. 效果与总结
提效对比:
| 维度 | 传统方式 | 使用 SOLO |
|---|---|---|
| 代码审查 | 需要高级开发工程师 3-5 天 | SOLO 几分钟完成 |
| 问题修复 | 需要开发 1-2 周 | SOLO 并行修复,约 1 小时 |
| 隐私合规改造 | 需要研究规范 + 开发 + 法务审核 | SOLO 自动生成完整协议页面 |
| 审查报告 | 手动整理文档 | 自动生成专业 Word 报告 |
| 总计 | 约 2-3 周工作量 | 约 2 天(含交互确认) |
我的思考:
-
SOLO 最强的能力是"并行分析":同时审查小程序、后台、38 个云函数,这个工作量手动做几乎不可能。SOLO 启动 3 个并行任务,每个任务独立深入分析,最后汇总结果,效率极高。
-
产品经理也能做代码审查:以前代码质量完全依赖开发自觉,现在用 SOLO 可以定期做代码体检。不需要懂代码细节,SOLO 会给出可操作的修复建议。
-
约束条件要前置:像"密码不要动"这种约束,应该在第一轮指令中就说清楚,避免返工。
-
验证环节很有价值:SOLO 修复完会自动验证,发现了集合名不一致这种人工很容易忽略的问题。
-
可复用的方法:以后每个迭代版本都可以用类似的 Prompt 做代码体检,形成常态化的质量保障流程
