funky-monkey/vibecoding-security-scanner

# Vibe Coding 安全扫描器 一款针对 AI 辅助（“氛围编程/vibe-coded”）Web 应用程序代码库的安全审计技能。它可检测 30 多个漏洞类别，并生成一份按严重程度排序的报告，其中包含可用的概念验证漏洞利用命令和分步修复指南。 **~80–87% 的 AI 构建应用程序在发布时至少包含一个可被利用的漏洞。** ## 检查内容 ### 🔴 严重 - API 密钥与机密信息泄露（硬编码机密、泄露的服务角色密钥） - 通过字符串拼接导致的 SQL 注入 - 身份验证绕过（无服务端身份验证检查、JWT 误用） - 访问控制失效 / IDOR - 命令注入 - 敏感数据泄露（明文密码、泄露的 API 响应） - RLS / 数据库规则配置错误（Supabase、Firebase） - 会话劫持 - Git 提交历史中的机密信息泄露 ### 🟠 高危 - 通过 `dangerouslySetInnerHTML` 导致的跨站脚本攻击 (XSS) - 身份验证控制薄弱或缺失 - 缺少安全标头（CSP、HSTS、X-Frame-Options 等） - CORS 配置错误 - CSRF 漏洞 - 暴力破解 / 凭证填充（缺少速率限制） - 不安全的直接对象引用 (IDOR) - API 安全问题（过度暴露、GraphQL 内省） - 文件上传安全 ### 🟡 中危 - 不安全的错误处理（向客户端泄露堆栈跟踪） - 不安全的 Cookie（缺少 HttpOnly/Secure/SameSite） - 缺少速率限制 - 信息泄露 - 生产环境中的 Source Map 暴露 - 点击劫持 - 依赖项漏洞（`npm audit`） ### 🔵 最佳实践 - 环境与配置规范 - 日志记录与监控 - 输入验证（Zod、Joi、服务端） - HTTPS 与传输安全 - 最小权限原则 ### 🟤 高级 - JWT 安全（算法混淆、localStorage 存储、Token 轮换） - OAuth 安全（state 参数、PKCE、重定向 URI 验证） - WebSocket 安全 - 子资源完整性 (SRI) - SSRF（服务器端请求伪造） - 开放重定向 - 邮件安全（SPF、DKIM、DMARC） - DNS 安全 - AI 提示词安全（CVE-2025-48757 模式、无 RLS 的表） ### 🟣 特定平台检查 **AI 构建器（全栈）：** Lovable、Bolt.new、Replit、v0.dev、Windsurf、Base44、Antigravity、Emergent **AI 代码助手：** Cursor (CVE-2025-54135/54136)、GitHub Copilot、Claude Code、Sourcegraph Cody、Tabnine、Gemini Code、Amazon Q、Trae AI、Devin AI、Cline、Augment Code、OpenAI Codex **数据库：** Supabase、Firebase、MongoDB、PostgreSQL、PlanetScale、Neon、Turso、Upstash **托管：** Vercel、Netlify、Railway、Render、Fly.io **无代码 / 低代码：** Bubble、Webflow、Framer、Retool、Wix Harmony 每个平台部分都涵盖了 AI 工具引入的具体错误配置模式——例如：没有 RLS 的 Supabase 表 (CVE-2025-48757)、泄露生产机密的 Vercel 预览部署、Cursor 的 Yolo 模式启用提示注入 RCE、设置了 Firestore 规则却遗忘了 Firebase Storage 规则，以及 Render 自动部署将未经测试的代码直接推送到生产环境。 ## 报告输出 对于每一项发现，报告都包含严重性评级、文件路径和行号、易受攻击的代码片段、通俗易懂的漏洞利用场景、使用您应用程序实际 URL 的可用 `curl` 概念验证，以及带有代码示例的具体修复方案。 ## 安装 这是 **Claude Code** 的技能文件。请先安装 Claude Code，然后将该技能放入相应的目录中，它将作为斜杠命令使用。 ### 步骤 1 - 安装 Claude Code ``` npm install -g @anthropic-ai/claude-code ``` 或者从 [claude.ai/code](https://claude.ai/code) 下载桌面应用程序。 ### 步骤 2 - 安装技能 **选项 A：单行命令** ``` mkdir -p ~/.claude/skills/vibecodingscanner && \ curl -fsSL https://raw.githubusercontent.com/funky-monkey/vibecoding-security-scanner/main/SKILL.md \ -o ~/.claude/skills/vibecodingscanner/SKILL.md ``` **选项 B：克隆并符号链接**（便于以后更新） ``` git clone https://github.com/funky-monkey/vibecoding-security-scanner.git ~/vibecoding-security-scanner mkdir -p ~/.claude/skills/vibecodingscanner ln -s ~/vibecoding-security-scanner/SKILL.md ~/.claude/skills/vibecodingscanner/SKILL.md ``` ### 步骤 3 - 验证 ``` ls ~/.claude/skills/vibecodingscanner/SKILL.md ``` ## 包含的技能 此代码库包含两个协同工作的技能： - `vibecodingscanner` - 完整的代码库审计，生成按严重性排序的报告 - `vibecodingexploits` - 为单项发现生成可用的漏洞利用链 安装两者： ``` mkdir -p ~/.claude/skills/vibecodingscanner && \ curl -fsSL https://raw.githubusercontent.com/funky-monkey/vibecoding-security-scanner/main/SKILL.md \ -o ~/.claude/skills/vibecodingscanner/SKILL.md mkdir -p ~/.claude/skills/vibecodingexploits && \ curl -fsSL https://raw.githubusercontent.com/funky-monkey/vibecoding-security-scanner/main/vibecodingexploits/SKILL.md \ -o ~/.claude/skills/vibecodingexploits/SKILL.md ``` ## 使用方法 ### 步骤 1 - 运行扫描器 在您的项目目录中打开 Claude Code 并运行： ``` /vibecodingscanner ``` 该技能会自动完成阶段 1（分析）、阶段 2（风险规划）和阶段 3（修复）。在完成全面分析之前，它绝不会修改代码。 报告将保存到您项目中的 `_security/SECURITY-REPORT.md` 和 `_security/SECURITY-REPORT.html`。`_security/` 文件夹会自动添加到 `.gitignore`。 **扫描特定路径：** ``` scan /path/to/my-app with vibecodingscanner ``` **包含您的部署 URL 以生成可点击的漏洞利用链接：** ``` scan /path/to/my-app using vibecodingscanner, base URL is https://my-app.vercel.app ``` ### 步骤 2 - 生成漏洞利用链 在每份报告的底部，都有一个包含可直接复制命令的漏洞利用链部分。将任意一行粘贴到 Claude Code 中： ``` /vibecodingexploits HIGH-4 xss-stored https://my-app.vercel.app/api/cms content /vibecodingexploits HIGH-5 csrf https://my-app.vercel.app/api/admin/posts /vibecodingexploits HIGH-6 open-redirect https://my-app.vercel.app/auth/callback to_path ``` 漏洞利用技能会生成： - 用于 XSS、CSRF、点击劫持、WebSocket 劫持的 HTML 诱饵页面 - 用于 JWT 伪造和命令注入的 Shell 脚本 - 用于开放端点、SSRF 和会话重放的 curl 命令 - 接收器设置说明（webhook.site、netcat、python http.server） 所有输出文件都与报告一起保存到 `_security/`。 ## 来源 - [OWASP Top 10](https://owasp.org/www-project-top-ten/) - [OWASP LLM Top 10 (2025)](https://owasp.org/www-project-top-10-for-large-language-model-applications/) - [云安全联盟 — 安全氛围编程指南](https://cloudsecurityalliance.org) - [vibeappscanner.com](https://vibeappscanner.com) - [astoj/vibe-security](https://github.com/astoj/vibe-security) - [Replit 氛围编程安全检查清单](https://docs.replit.com/tutorials/vibe-code-security-checklist) - [namanyayg 安全审计提示](https://gist.github.com/namanyayg/ed12fa79f535d0294f4873be73e7c69b) - CVE-2025-48757 · CVE-2025-54135 · CVE-2025-54136 ## 贡献 欢迎提交 Pull 请求。如果您发现缺少某种漏洞模式，请提出 Issue 或将其添加到 `SKILL.md` 中相应的严重性部分下。 ## 许可证 MIT

标签：AI辅助开发, API密钥泄露, CISA项目, CORS跨域配置错误, CSRF, DevSecOps, Firebase, GNU通用公共许可证, GraphQL, GraphQL安全矩阵, IDOR, IP 地址批量处理, JWT安全, MITM代理, Node.js, PoC漏洞利用, SSRF, Supabase, Vibe Coding, Web安全, 上游代理, 依赖项漏洞扫描, 命令注入, 多模态安全, 安全合规, 安全扫描器, 安全报告, 敏感数据泄露, 文档安全, 白盒测试, 网络代理, 网络安全, 蓝队分析, 越权访问, 身份验证绕过, 防御加固, 隐私保护