noamrazbuilds/vibe-check

# /vibe-check -- Vibe-Coded 应用的安全审计 一个 Claude Code 斜杠命令，用于扫描任何代码库的安全漏洞并提出修复建议。基于 6 个生产应用中的 77+ 个真实漏洞发现构建，并扩展覆盖了完整的 vibe coding 生态系统。 ## 安装 ### 选项 A：直接文件安装（最简单） 将命令文件复制到您的全局 Claude Code 命令目录： ``` # 一键安装 curl -o ~/.claude/commands/vibe-check.md \ https://raw.githubusercontent.com/noamrazbuilds/vibe-check/main/commands/vibe-check.md ``` 或者克隆并复制： ``` git clone https://github.com/noamrazbuilds/vibe-check.git cp vibe-check/commands/vibe-check.md ~/.claude/commands/ ``` 安装后，在任何项目中使用 `/vibe-check` 即可。 ### 选项 B：不安装直接测试 ``` claude --plugin-dir ./vibe-check ``` ## 用法 ``` /vibe-check # Standard scan (Phases 1-6) /vibe-check quick # Secrets + critical vulns only (Phases 1-2) /vibe-check full # Comprehensive audit (all 8 phases) ``` ## 检查内容 ### 阶段 | 阶段 | 重点 | 模式 | |-------|-------|-------| | 1 | **机密检测** -- API 密钥 (OpenAI, Stripe, Supabase, Firebase, Clerk, AWS)、token、密码、数据库连接字符串、客户端认证机密 | 所有 | | 2 | **关键漏洞** -- 认证绕过、SQL/命令注入、数据库安全缺陷（RLS, 安全规则, RLS 递归检测）、webhook 签名绕过、权限提升、客户端认证逻辑 | 所有 | | 3 | **OWASP Top 10** -- XSS, IDOR, SSRF, CORS 配置错误, 敏感数据泄露, NoSQL 注入, prompt 注入 | 标准, 完整 | | 4 | **输入验证** -- 长度限制、文件上传、速率限制、弱随机性、重定向验证、postMessage 来源检查 | 标准, 完整 | | 5 | **依赖项** -- `npm audit`、未使用的包、幻觉包 ("slopsquatting")、已弃用的库、安全标头、SRI | 标准, 完整 | | 6 | **技术栈专项检查** -- 基于检测到的技术栈运行 11 个条件模块（见下文） | 标准, 完整 | | 7 | **API 契约与类型安全** -- schema 与接口不匹配、不安全的类型断言、缺少运行时验证 | 完整 | | 8 | **生产就绪性** -- 开发环境绕过、调试日志、测试函数、source maps、环境一致性 | 完整 | ### 自动检测的技术栈（40+ 种技术） 该技能从 `package.json`、配置文件和目录结构自动检测您的技术栈，然后运行针对性的检查。 **前端：** Next.js, React, SvelteKit, Nuxt, Astro, Remix, Angular, Express, Fastify, Django, Flask, Rails **BaaS / 数据库：** Supabase, Firebase, Convex, Prisma, Drizzle, MongoDB/Mongoose, PlanetScale, Neon, PostgreSQL RLS（从迁移文件自动检测） **认证：** Clerk, Auth.js/NextAuth, Better Auth, Supabase Auth, Firebase Auth, Lucia（标记为已弃用） **支付：** Stripe（webhook 验证、价格篡改、密钥泄露）、Lemon Squeezy、Paddle **AI/LLM：** OpenAI, Anthropic, Vercel AI SDK, Replicate, Google Gemini —— 检查 prompt 注入、API 密钥代理、成本保护 **部署：** Vercel, Netlify, Cloudflare Workers/Pages, Railway, Fly.io, Docker, GitHub Actions **其他：** Chrome 扩展, Resend, UploadThing, Zod ### 技术栈专项检查模块（第 6 阶段） | 模块 | 激活条件 | 关键检查 | |--------|---------------|------------| | Supabase / PostgreSQL RLS | `@supabase/supabase-js`，`supabase/` 目录，或包含 `CREATE POLICY` 的 SQL 文件 | RLS 缺陷、`USING(true)`、RLS 递归/循环检测、SECURITY DEFINER 审计、RLS 策略测试、`getUser()` 与 `getSession()`、service role 密钥泄露、客户端变更操作 | | Firebase | 依赖项中有 `firebase` 或 `firebase.json` | 安全规则审计（`allow write: if true`）、客户端代码中的 Admin SDK、Firestore 写入验证 | | Convex | 依赖项中有 `convex` 或 `convex/` 目录 | 查询/变更操作中的认证、公开与内部函数、参数验证器 | | Clerk | 依赖项中有 `@clerk` | 中间件覆盖范围、服务端验证、webhook 签名检查 | | Auth.js | 依赖项中有 `next-auth` 或 `@auth/core` | 密钥配置、回调安全性、CSRF 保护 | | Stripe | 依赖项中有 `stripe` | Webhook 签名验证、价格篡改、API 密钥泄露、幂等性 | | Next.js | 依赖项中有 `next` 或配置文件 | Server Action 认证、API 路由认证、中间件覆盖、安全标头 | | SvelteKit | 依赖项中有 `@sveltejs/kit` 或配置文件 | `hooks.server.ts` 认证、服务端与客户端数据加载、form action 认证 | | Nuxt | 依赖项中有 `nuxt` 或配置文件 | 服务器路由认证、运行时配置机密、中间件 | | Chrome Extension | 包含 `manifest_version` 的 `manifest.json` | 硬编码凭证、CSP、postMessage 验证、权限 | | AI/LLM | 依赖项中有 OpenAI, Anthropic, 或 AI SDK | API 密钥代理、prompt 注入、成本保护、输出安全性 | ## 输出格式 该技能生成结构化的 markdown 报告： - **摘要表**，按严重程度统计发现数量（CRITICAL / HIGH / MEDIUM / LOW） - **发现项**，包含文件路径、行号、描述、利用场景、置信度和修复建议 - **积极观察**，以确认良好的安全实践并避免警报疲劳 - **优先行动项**表，附带工作量估算 每个发现都包含经过验证的修复模式和代码示例。 ## 构建方式 此技能从 6 个生产应用的 19 份安全文档中提炼而成： - **77+ 个真实漏洞发现**，按严重程度编目 - **经证实能发现真实 Bug 的搜索模式** —— 技能中的每个 grep 模式都捕获过实际漏洞 - **来自真实修复的模板** —— webhook 验证、DOMPurify、SSRF 保护、速率限制、SECURITY DEFINER 模板（包括 RLS 循环中断模式）、RLS 策略测试、Firebase 安全规则、Clerk/Auth.js/Supabase/Firebase 的认证检查模式 - **来自 Wiz Research、Vidoc Security 和 Kaspersky 的 Vibe coding 反模式** —— 客户端认证、泄露的 API 密钥、slopsquatting、缺失输入验证 ## 贡献 发现了应该包含的漏洞模式？提交 issue 或 PR。目标是覆盖开发人员实际使用的工具中最常见的安全错误。 ## 许可证 MIT -- 版权所有 (c) 2026 Noam Raz / Pleasant Secret Labs

标签：AI 编程, CI/CD 安全, Claude Code, DevSecOps, DLL 劫持, DNS 反向解析, IP 地址批量处理, LLM 安全, npm audit, OWASP Top 10, Prompt 注入, RAG 安全, SQL 注入, StruQ, XSS, 上游代理, 依赖安全, 大语言模型, 密钥泄露检测, 敏感数据, 数据投毒防御, 文档安全, 斜杠命令, 测试用例, 漏洞情报, 网络安全, 软件供应链安全, 远程方法调用, 错误基检测, 防御加固, 隐私保护, 静态代码分析