benavlabs/vibe-check

GitHub: benavlabs/vibe-check

面向 AI 生成代码的安全检查清单工具,通过规则文件、AI 审计和手动检查三层机制覆盖 17 类常见漏洞。

Stars: 80 | Forks: 8

vibe-check

Security checklist for vibe coded apps.

License


AI optimizes for making your code work, not for making it safe. Carnegie Mellon tested this: 61% of AI-generated code is functionally correct, only 10.5% is secure. This repo exists to close that gap.


## 工作原理 分为三层,互不重叠: 1. **`AGENTS.md`** — 你的 AI 工具在编写代码时会读取的安全规则。将其复制到你的项目根目录。防止产生安全漏洞。 2. **`AI-CHECKLIST.md`** — 一个提示词,指示你的 AI 审计整个项目。它会调查你的代码库、撰写报告、制定修复计划、实施修复并进行验证。 3. **`manual-checklist.md`** — 针对 AI 无法发现的问题,你需要自己执行的测试。 ## 设置 ### 第一步:将规则文件复制到你的项目中 **Cursor、Copilot、Codex、Windsurf 或 Gemini CLI:** ``` cp AGENTS.md /path/to/your/project/AGENTS.md ``` **Claude Code:** ``` cp AGENTS.md /path/to/your/project/CLAUDE.md ``` **不确定?两者都复制:** ``` cp AGENTS.md /path/to/your/project/AGENTS.md cp AGENTS.md /path/to/your/project/CLAUDE.md ``` 提交它。从现在起,你的 AI 工具会自动读取它。 ### 第二步:运行 AI 安全审计 将 [AI-CHECKLIST.md](AI-CHECKLIST.md) 提供给你的 AI 编程助手: ``` Run the security audit defined in AI-CHECKLIST.md against this project. Go through each vulnerability one at a time. ``` 它将针对 17 个漏洞类别分别调查你的代码库,创建报告、编写修复计划、实施修复并进行验证。结果会存放在你项目的 `security/` 文件夹中。 ### 第三步:执行手动检查 打开 [manual-checklist.md](manual-checklist.md) 并逐项进行测试。这些测试用于验证诸如以下的问题:你能否访问其他用户的数据,你的 `.env` 是否暴露,登录过程能否被暴力破解。 如果你只想做 5 项测试,那就做前 5 项。它们涵盖了导致名单上每家公司垮掉的所有问题。 ## 涵盖范围 基于已记录的违规事件和安全研究,涵盖了 17 个在 vibe coded 应用中发现的最常见漏洞: | # | 漏洞 | 严重性 | |---|--------------|----------| | 1 | 数据库配置错误(无 Row Level Security) | 严重 | | 2 | 未受保护的 API 路由(无 auth middleware) | 严重 | | 3 | 提交了 secrets(.env 位于 GitHub 上) | 严重 | | 4 | 访问控制失效(IDOR) | 严重 | | 5 | 前端代码中包含 Secret API keys | 严重 | | 6 | Server-Side Request Forgery (SSRF) | 高 | | 7 | 缺失 CSRF 保护 | 高 | | 8 | 缺失安全 headers | 中 | | 9 | 通配符 CORS | 高 | | 10 | 无 rate limiting | 中 | | 11 | SQL injection | 高 | | 12 | 跨站脚本攻击 (XSS) | 高 | | 13 | 未经验证的 Stripe webhooks | 高 | | 14 | 不安全的文件上传 | 中 | | 15 | 详细的错误消息 | 低 | | 16 | 弱密码哈希 | 中 | | 17 | 幻觉包(slopsquatting) | 高 | 第 1–5 项是导致名单上每家真实公司瘫痪的原因。它们都不需要复杂的攻击手段。 ## 完全跳过此清单 这个仓库旨在帮助你修复已经构建好的项目。如果你准备开启一个新项目,建议考虑从一个开箱即通过全部 17 项检查的基础模板开始。 [FastroAI](https://fastro.ai/for/vibe-coders) 是一个生产就绪的全栈模板(FastAPI + Astro + Stripe + PydanticAI),由本清单背后的同一团队构建。包含带有 CSRF 和 rate limiting 的身份验证,具有签名验证和幂等性的 Stripe webhooks,安全 headers,参数化查询,并且包含一项生产环境验证机制(如果你的 secrets 过于薄弱或开启了 debug 模式,将阻止部署)。测试覆盖率达到 90% 以上。你需要在其基础上 vibe-code 你的产品,而不是基础架构。

FastroAI - the complete FastAPI SaaS template: auth, Stripe payments, entitlements, email, frontend and AI

从一个通过全部 17 项检查的基础模板开始 →

## 来源 基于已记录的事件和安全研究: - [Escape.tech](https://escape.tech/blog/methodology-how-we-discovered-vulnerabilities-apps-built-with-vibe-coding/) — 扫描了 5,600 个 vibe coded 应用(发现 2,000 多个漏洞,400 多个暴露的 secrets) - [Tenzai](https://blog.tenzai.com/bad-vibes-comparing-the-secure-coding-capabilities-of-popular-coding-agents/) — 对比了 5 款主流 AI 编程工具(在 15 个应用中发现了 69 个漏洞) - [Carnegie Mellon SusVibes](https://arxiv.org/abs/2512.03262) — 61% 功能正常,10.5% 安全达标 - [Georgia Tech Vibe Security Radar](https://www.infosecurity-magazine.com/news/ai-generated-code-vulnerabilities/) — 源于 AI 生成代码的 74+ 个 CVE - [Veracode](https://www.veracode.com/) — GenAI 代码安全报告 2025 ## 许可证 [`MIT`](LICENSE) ## 联系方式 Benav Labs – [benav.io](https://benav.io) [github.com/benavlabs](https://github.com/benavlabs/)
标签:AI辅助开发, DevSecOps, 上游代理, 代码安全审计, 安全检查清单, 漏洞修复, 网络安全培训, 防御加固