跳到主要内容

工具矩阵

本书绝大多数误区是范式级的——它们来自大模型 + 工具调用 + 长上下文 + 自动执行这套共同机制,换哪个工具都会踩,所以默认每条都适用于各家 AI 编码工具。这页只索引两类例外:同一根因在不同工具里防法不同(写在条目的「工具差异」小节里),以及某个坑是某工具独有机制带来的(单独成条 / 进案例库)。

覆盖深度(请如实看待)

Claude Code 覆盖最深,是全书的默认参照(几乎每条都适用,故矩阵里不单设它一列)。Gemini CLI、Codex CLI、Cursor、GitHub Copilot 是已铺的第二批,下表是它们各自的首批工具差异——Codex / Gemini(开源、官方文档全)最实Cursor / Copilot(闭源、多形态、版本快变)以安全披露 + 官方文档为主,深度更薄。矩阵只写机制名、不写具体命令,且很快过时——真要动手,以你所用版本的官方文档为准。截至 2026-07。

覆盖一览

行 = 有「工具差异」小节的误区(点进去看各工具的具体机制);列 = 第二批四个工具; = 该条目里有这个工具的差异小节, = 暂无。

误区(主条目)GeminiCodexCursorCopilot
建议性上下文 vs 强制配置
上下文文件过载
过度授权
跳过 plan mode
破坏性 / 不可逆操作
MCP 过度访问
开发期提示注入
CI 权限盲区
不看文件现状致覆盖
自主循环失控烧 token
/compact 时机误判
Git 卫生差
幻觉 API / 版本漂移
改测试而非改代码
审自己写的代码会偏爱自己
网络出口失控
只靠软权限、缺 OS 级沙箱
子代理协作无边界

列名缩写:Gemini = Gemini CLI,Codex = Codex CLI,Copilot = GitHub Copilot。跳过 plan mode 一行 Codex 为 :Codex 没有独立的「计划模式」,只能用只读预设近似,证据偏弱故未单列。改测试而非改代码 一行 Gemini 为 :未核到 Gemini CLI 的同型确定性钩子机制。审自己写的代码 一行 Gemini 为 :Gemini 系的独立审查者是 Gemini Code Assist(GitHub app),不是 Gemini CLI——列轴按工具记,不混产品(该条正文有点名说明)。 网络出口失控 一行 Cursor / Copilot 为 :未核到本地 IDE agent 形态的原生出口收口机制(出口控制落在环境层)。子代理协作无边界 一行仅 Cursor 为 :Gemini / Codex 截至 2026-07 未核到同型原生子代理机制、Copilot 亦无。

另有一条带泛工具差异小节(讲机制谱系、不逐家点名,故不占 ✓ 列):只看 diff 的上下文饥饿审查

各工具一节(机制 + 独有条目)

每节分两层读:机制(稳定) = 让这家和别家拉开差异的轴,不随小版本变、可放心记;版本观察(截至 2026-06,会过时) = 默认值、CVE / GHSA 与修复状态,最易过期——真要动手,以你所用版本的官方文档为准,别把这一行当长期事实。

Gemini CLI

Codex CLI

  • 机制(稳定):差异轴 = 沙箱默认态(与 Claude Code 相反)+ 三层配置的强制力分层(建议 / 本地 / org 强制)。
  • 版本观察(截至 2026-06,会过时):唯一默认即沙箱(macOS Seatbelt / Linux Landlock + 网络关);配置分 AGENTS.md / config.toml / requirements.toml;配置投毒 RCE(CVE-2025-61260)。
  • 案例:一个 .codex 配置把「打开仓库」变成静默 RCE(CVE-2025-61260)
  • 全部条目 → /tags/codex-cli

Cursor

  • 机制(稳定):差异轴 = 权限是「尽力而为」非安全保证 + 命令闸可在解析层被绕 + MCP 攻击面
  • 版本观察(截至 2026-06,会过时):官方明说 permissions.json.cursorignore 非安全边界;denylist 已废、NomShub 绕过;MCP 双 CVE(CurXecute / MCPoison)。
  • 独有条目:.cursorignore 不是安全边界
  • 全部条目 → /tags/cursor

GitHub Copilot

  • 机制(稳定):差异轴 = 三态各自防法不同(补全 / Chat / coding agent)+ coding agent 的服务端护栏与防火墙覆盖边界 + 指令文件读取上限
  • 版本观察(截至 2026-06,会过时):coding agent 只推 copilot/* 分支、默认开防火墙,但防火墙不覆盖 MCP 与 setup 步骤;code review 仅读指令文件前 4000 字;CVE-2025-53773、CamoLeak(CVSS 9.6)。
  • 案例:私有库密钥经 Camo 图片代理逐字外带(CamoLeak)
  • 全部条目 → /tags/git-hub-copilot

Claude Code

  • 机制(稳定):全书默认参照,几乎每条都适用(故不单设 tag / 不占列)。差异轴 = 最硬的强制层——客户端 permissions.deny 硬拦截、hooks 确定性执行、回溯快照,是上面四家「工具差异」对比的基准。
  • 版本观察(截至 2026-06,会过时):回溯快照默认开。
这张表会过时

工具差异和默认值随版本变化很快。这里只记机制名与方向、不记具体命令;真要动手,以你所用版本的官方文档为准。发现已过时,欢迎在 GitHub 指正。