严格本地安全模式:已开启云端演示版 · 只演示,不导入真实代码 · 敏感文件只登记不打开
演示版
代码安全第一位

如何确保“募格编辑”的代码不泄露

记住一句话:真实项目不直接交给系统,只使用学习镜像;系统只读结构、跳过敏感内容、只保存摘要和审计记录。

  1. 先用示例项目练习刚开始只导入示例项目。不要一上来就导入真实业务项目。先确认流程、安全报告和地图都看得懂。
  2. 真实项目先复制成学习镜像真实项目原件留在原处。复制一份到学习镜像文件夹,只让系统看这份学习用副本。
  3. 第一次只看目录结构扫描器先只看有哪些文件夹和文件名,用来生成地图。它不会打开源码正文来阅读。
  4. 敏感文件只登记,不打开遇到环境配置、证书、数据库备份、日志、上传文件夹时,只记录“这里有风险”,不读取里面的秘密内容。
  5. 云端助手只能看脱敏摘要如果以后使用 DeepSeek 或音频服务,只能发送已经脱敏的学习摘要,不能发送源码、密钥、日志或客户数据。
  6. 修改练习只改学习镜像练习修改时只能写入学习镜像。生产仓库、真实服务器和真实数据库绝不允许被这个系统直接修改。
永远不要上传这些内容
真实源码正文密钥、密码、令牌数据库连接服务器地址客户、订单、日志原文
轻松学习模式

把复杂网站讲成一张安全、好懂、能练习的系统地图

不需要先懂代码。你只要按“先安全、再看图、再学习”的路线走,CodeStory AI 会把前端、后端、数据库、服务器、部署和业务流程拆成小故事。

电脑端导入、扫描、安全检查
手机/微信读卡片、听播客、问 AI
App 方向离线课、复习、提醒
安全预检系统地图故事学习
安全底线一直开启点开看完整前提
  • 不要导入真实生产仓库;第一阶段只使用示例项目 mock-example-repo。
  • 不要上传源码、密钥、数据库、日志或客户数据。
  • 不要连接真实生产服务器或真实数据库。
  • 所有真实代码分析默认只能走本地模型。
  • 云端模型只允许处理脱敏摘要,不能接触源码正文。
安全前提默认本地
学习方式故事 + 关卡
输出材料地图 + PPT/PDF
版本分工

先决定:只是演示,还是要看真实代码

云端演示版负责让别人看懂产品效果;完全本地版负责在自己电脑上处理真实项目。真实代码不要放到云端演示版。

对外看效果

云端演示版

只看示例,不放真实代码。

打开线上网址即可使用,不需要同事安装项目。

内部看真实项目

完全本地版

真实代码只放本机学习镜像,不上传云端。

解压本地包后双击“启动本地版.bat”,浏览器打开后输入你提供的密码。

看完整版本分工

今天只做这几步

先从示例项目开始,像上一节轻松小课,不需要一下子理解整个系统。

1

先看安全灯

确认“严格本地安全模式”是开启状态,真实源码、密钥、日志和客户数据不要进系统。

2

导入示例项目或学习镜像

从示例项目 mock-example-repo 开始;未来真实项目必须先复制成学习镜像,再只读扫描。

3

生成系统地图

让扫描器只读目录结构,生成文件树、风险报告和系统地图。

4

按模块学习

用故事、卡片、关卡、PPT 大纲和可打印讲义理解每个模块。

5

需要修改时走沙盒

修改练习只能写入学习镜像文件夹,先看影响范围,再二次确认。

电脑 + 手机 + 微信 + App

每个端只做自己舒服的事

电脑端负责严肃的安全操作;手机、微信和 App 负责轻松学习。危险能力不会被搬到移动端。

电脑端

完整工作台,负责导入、扫描、配置和安全审计

移动端

随身学习台,适合碎片时间复习

微信端

轻量入口,适合分享学习卡和每日提醒

查看每个端能做什么
如何把真实项目复制成学习镜像真实项目学习前一定要看

学习镜像可以理解成“学习用复印件”。真实生产仓库像公司保险柜,不能直接交给学习工具;学习镜像是你在本机准备的一份副本,用来安全扫描、学习、生成地图和练习修改。

复制,不是移动原项目只放进学习镜像文件夹第一次只扫描目录结构
真实项目原件放在原来的地方,不直接导入。
学习镜像副本复制到专用学习文件夹里。
CodeStory AI只读扫描、脱敏学习、沙盒练习。
1

第 1 步:先确认你拿到的是项目副本,不是生产服务器

不要在生产服务器上操作,不要连接真实数据库,也不要让工具直接打开正在运行的业务系统。你要处理的是一份放在自己电脑上的项目文件夹。

安全检查:如果这个目录里有真实运行环境、线上数据库连接或客户日志,先停下来,不要导入。
2

第 2 步:准备学习镜像文件夹

学习镜像文件夹是专门放学习副本的地方。下面的命令适合 Windows PowerShell。所有未来可练习的修改也只能写在这里,不能写回真实生产仓库。

Windows PowerShell 命令
New-Item -ItemType Directory -Force .\learning-mirrors
安全检查:目标路径必须在学习镜像文件夹里面。
3

第 3 步:复制真实项目到学习镜像文件夹下

复制不是移动。真实项目原件留在原处,CodeStory AI 只看学习复印件。建议文件夹名不要用真实公司名,可以用 moge-editor-study 这样的学习名称。

Windows PowerShell 命令
Copy-Item -Recurse -Force "D:\真实项目\募格编辑" ".\learning-mirrors\moge-editor-study"
安全检查:复制完成后,后续扫描只选择 .\learning-mirrors\moge-editor-study。
4

第 4 步:先隔离明显敏感内容

如果学习镜像里有 .env、证书、数据库 dump、真实日志、uploads、backup 等内容,不要打开查看内容。先把它们移出学习镜像,或保留但让扫描器只记录风险、不读取正文。

Windows PowerShell 命令
Move-Item ".\learning-mirrors\moge-editor-study\.env" ".\learning-mirrors\_do-not-scan\.env"
安全检查:.env、*.pem、*.key、*.sql、logs、uploads、backup 都属于高风险。
5

第 5 步:第一次只扫描目录结构

第一次不要让任何 AI 阅读源码正文。只让 Safe Repo Scanner 看文件夹结构,生成 repo-map.json、security-report.md 和 system-map.md。

安全检查:确认页面显示“只读扫描”“敏感文件只记录不读取”。
6

第 6 步:先看 security-report,再决定下一步

security-report 就像安检报告。它会告诉你哪些地方可能有密钥、配置、日志或数据库风险。报告没有看懂前,不要开启云端 AI,也不要上传任何内容。

安全检查:报告里不应该出现真实密码、真实域名、真实客户数据或日志正文。
7

第 7 步:需要问 DeepSeek 时,只发送脱敏摘要

DeepSeek 可以帮你把概念讲清楚,但它只能看 cloud-safe-summary 或页面里的脱敏学习上下文。不要复制源码、.env、日志、数据库连接给它。

安全检查:看到源码原文、密钥、手机号、邮箱、服务器地址时,不要上传;先脱敏。
8

第 8 步:需要练习修改时,只改学习镜像

修改练习区只能改学习镜像文件夹里的学习复印件。生产仓库不允许直接修改。

安全检查:修改页面必须要求二次确认:APPLY_TO_LEARNING_MIRROR。
网站背后的 9 个部分想深入时再展开

前端

像门店窗口,用户在这里看地图、点按钮、读课程。

它负责什么
负责首页、导入页、地图页、学习页、关卡页、修改页和导出页。
你怎么用
从左侧导航进入不同功能;先看首页,再导入示例项目。
安全提醒
页面只展示安全扫描结果和学习材料,不展示敏感文件正文。

接口

像传话单,把前端的请求安全地送到后端。

它负责什么
例如扫描接口、安全修改接口、本地模型测试接口。
你怎么用
你点击按钮时,接口会把请求交给对应的安全模块。
安全提醒
危险操作都必须经过接口校验,不能绕过安全规则。

后端

像办公室,负责检查材料、生成报告、安排后续工作。

它负责什么
执行只读扫描、敏感检测、系统地图、导出和安全修改练习。
你怎么用
用户不需要直接操作后端,只要通过页面按钮触发。
安全提醒
后端默认不读敏感文件内容,也不把源码发给云端。

数据库

像档案柜,保存结构化记录,而不是把秘密摊开。

它负责什么
保存项目、扫描、文件、风险、学习卡、人工智能审计、修改提案等表结构。
你怎么用
你看到的历史记录、学习进度和审计信息未来会从这里读取。
安全提醒
默认不保存源码正文、密钥原文、真实数据库连接或客户数据。

服务器

像本地小工作室,让整个网站在你电脑上运行。

它负责什么
Next.js dev server 提供页面和本地 API。
你怎么用
运行 npm run dev 后打开 localhost 页面。
安全提醒
第一阶段和第二阶段都按本地优先设计,不需要部署到公网。

部署

像把工作室搬到正式门店,但现在先不搬。

它负责什么
当前只验证本地构建;未来部署前要再做安全检查。
你怎么用
开发阶段只用 npm run build 检查能否打包。
安全提醒
系统不会自动部署,也不会自动 push 到远程仓库。

配置

像开关面板,决定哪些能力能用、哪些必须关闭。

它负责什么
控制本地模型地址、云端开关、离线模式、审计日志和修改能力。
你怎么用
在设置页检查本地模型配置;云端默认关闭。
安全提醒
.env 只提供示例,真实密钥不得写入代码或上传。

日志

像登记本,只记发生了什么,不抄走秘密内容。

它负责什么
记录扫描、人工智能请求、脱敏摘要、修改审计等动作。
你怎么用
在安全中心查看最近审计状态。
安全提醒
审计记录只保存路径、哈希、风险等级,不保存源码正文和密钥。

业务流程

像一条参观路线:先安检,再看地图,再听讲解,再练习。

它负责什么
把项目理解流程串起来:导入、扫描、检测、地图、学习、导出、沙盒修改。
你怎么用
按首页的 5 步使用,不用一开始就碰真实项目。
安全提醒
真实业务项目必须先复制成学习镜像,并从只扫目录开始。

当前安全模式

严格本地安全模式

默认开启

已导入项目

0

请先使用示例项目 mock-example-repo。

本地模型状态

未连接,但只允许本地地址

云端默认关闭

今日学习任务

先用示例项目理解登录系统,不导入真实生产仓库。

最近风险提醒默认收起,避免焦虑
  • 发现 .env 时只记录存在,不读取正文
  • 云端模型默认关闭
  • 修改练习功能第一阶段关闭