工程师也用AI，但他会追问：暴力破解怎么防？会话超时怎么管理？安全审计日志要不要？密码重置流程是否需要邮件验证？错误提示会不会泄露用户是否存在？登录失败激增要不要告警？出了安全事故有没有应急手册？