安全导入项目

把“导入”拆成能看懂的安全步骤：先判断项目能不能导入，再选择示例项目或学习镜像，最后只读扫描并生成学习材料。

云端演示版

只演示，不导入真实代码

部署在云端，只用于体验产品流程、查看示例项目和演示安全边界。只能扫描 mock-example-repo 示例项目；不要放真实源码、客户项目或学习镜像。

可以放心的边界：只能扫描 mock-example-repo 示例项目；不要放真实源码、客户项目或学习镜像。系统会拒绝 GitHub 链接、生产仓库路径和越界目录。

如何把真实项目复制成学习镜像真实项目前必须看，示例项目扫描可以先跳过

学习镜像可以理解成“学习用复印件”。真实生产仓库像公司保险柜，不能直接交给学习工具；学习镜像是你在本机准备的一份副本，用来安全扫描、学习、生成地图和练习修改。

复制，不是移动原项目只放进学习镜像文件夹第一次只扫描目录结构

真实项目原件放在原来的地方，不直接导入。

学习镜像副本复制到专用学习文件夹里。

CodeStory AI只读扫描、脱敏学习、沙盒练习。

照着做，不需要懂代码

不要在生产服务器上操作，不要连接真实数据库，也不要让工具直接打开正在运行的业务系统。你要处理的是一份放在自己电脑上的项目文件夹。

安全检查：如果这个目录里有真实运行环境、线上数据库连接或客户日志，先停下来，不要导入。

学习镜像文件夹是专门放学习副本的地方。下面的命令适合 Windows PowerShell。所有未来可练习的修改也只能写在这里，不能写回真实生产仓库。

Windows PowerShell 命令

New-Item -ItemType Directory -Force .\learning-mirrors

安全检查：目标路径必须在学习镜像文件夹里面。

复制不是移动。真实项目原件留在原处，CodeStory AI 只看学习复印件。建议文件夹名不要用真实公司名，可以用 moge-editor-study 这样的学习名称。

Windows PowerShell 命令

Copy-Item -Recurse -Force "D:\真实项目\募格编辑" ".\learning-mirrors\moge-editor-study"

安全检查：复制完成后，后续扫描只选择 .\learning-mirrors\moge-editor-study。

如果学习镜像里有 .env、证书、数据库 dump、真实日志、uploads、backup 等内容，不要打开查看内容。先把它们移出学习镜像，或保留但让扫描器只记录风险、不读取正文。

Windows PowerShell 命令

Move-Item ".\learning-mirrors\moge-editor-study\.env" ".\learning-mirrors\_do-not-scan\.env"

安全检查：.env、*.pem、*.key、*.sql、logs、uploads、backup 都属于高风险。

第一次不要让任何 AI 阅读源码正文。只让 Safe Repo Scanner 看文件夹结构，生成 repo-map.json、security-report.md 和 system-map.md。

安全检查：确认页面显示“只读扫描”“敏感文件只记录不读取”。

security-report 就像安检报告。它会告诉你哪些地方可能有密钥、配置、日志或数据库风险。报告没有看懂前，不要开启云端 AI，也不要上传任何内容。

安全检查：报告里不应该出现真实密码、真实域名、真实客户数据或日志正文。

DeepSeek 可以帮你把概念讲清楚，但它只能看 cloud-safe-summary 或页面里的脱敏学习上下文。不要复制源码、.env、日志、数据库连接给它。

安全检查：看到源码原文、密钥、手机号、邮箱、服务器地址时，不要上传；先脱敏。

修改练习区只能改学习镜像文件夹里的学习复印件。生产仓库不允许直接修改。

安全检查：修改页面必须要求二次确认：APPLY_TO_LEARNING_MIRROR。

这些事不要做

当前运行在云端演示版。导入只代表“让扫描器看一眼文件夹结构”，不是上传、部署或修改项目。

演示版

示例项目路径

示例项目已经随系统放在本机，保持默认值即可。