apiprdt/VibeCheck

捕获 Claude 遗漏的问题。确定性 AI 代码安全检查 —— 就在你的终端中。

### **面向智能体时代的 AI 代码安全防火墙 (2026 年 4 月)** VibeCheck 是一个确定性的 CLI 安全审计工具，旨在缓解 2025-2026 年间的“AI 幻觉债”。它能捕获 **Claude、Copilot 和 GPT-5 经常出错的模式**。它将严格的规则引擎（不会产生幻觉，每次结果都相同）与 AI 驱动的解释相结合，确保你不仅能发现 Bug —— 还能理解并修复它们。 ## 🎬 影院式演示

1. Project-Specific Rules	2. Security Audit
3. Educational Analogies (ELI5)	4. Security Deep-Dive
5. Concept Memory Tracking	6. AI Fix Suggestions

## 🚀 快速入门 ### 1. 安装 ``` pip install vibecheck-ai-tool ``` ### 2. 初始化 (可选但强烈推荐) 一键设置你的 `.vibecheck_rules.md` 并检查 API 密钥： ``` vibecheck --init ``` ### 3. 基础审计 扫描任意文件并获取 AI 驱动的解释： ``` vibecheck app.py ``` ## 💡 核心模式 VibeCheck 能够适应你的工作方式： * **`--learn`**：(ELI5 模式) 使用现实世界的比喻来解释复杂的安全概念。 * **`--chat`** 或 **`-c`**：开启一个关于该文件的“高级开发者”交互式聊天会话。 * **`--fast`**：跳过 AI，仅运行基于规则的引擎（即时且免费）。 * **`--ai-audit`** 或 **`-a`**：专门扫描 AI 生成代码的反模式。 ``` # 审计文件中的 AI 生成 anti-patterns vibecheck app.py --ai-audit # 同时学习与聊天 vibecheck app.py --learn --chat ``` ## 🛠️ 高级功能 (高级开发者工具) ### 🤖 **AI 审计 (全新)** 输出 **AI 置信度分数** (CLEAN → LOW → MEDIUM → HIGH)，并详细列出发现的每一个反模式。 #### **标志性的幻觉检测包：** * **AST 结构引擎**：使用抽象语法树 (AST) 分析 Python 代码（100% 精准，不受格式伪装影响）。 * **静默智能体陷阱**：检测智能体用于隐藏失败的 `except: pass` 代码块。 * **AI 过度自信**：标记没有安全检查的复杂嵌套数据访问。 ### 🩺 **错误诊断** 粘贴崩溃信息，在代码上下文中进行诊断。 ``` vibecheck main.py --error "IndexError: list index out of range" ``` ### 📉 **知识债务扫描** 扫描你的代码库，查看哪些文件尚未被审计或存在关键问题。 ``` vibecheck --debt ./src ``` ### 👔 **高级与风险审查** 获取高级架构反馈和生产风险评估。 ``` vibecheck logic.py --senior --risks ``` ## ⚓ 自动化与 CI/CD ### **Git 集成** 仅在提交前扫描暂存区的文件： ``` vibecheck --staged ``` 安装 pre-commit 钩子： ``` vibecheck --install-hook --fail-on-critical ``` ### **CI/CD 支持** 将结果输出为 JSON，以便轻松与其他工具集成： ``` vibecheck app.py --json ``` ### 🎨 **自定义主题** 通过 `config.yaml` 或 `.vibecheck/config.yaml` 个性化你的审计体验： ``` theme: critical_border: "magenta" warning_border: "orange1" info_border: "cyan" ``` ## ✨ 核心特性 ### 🛡️ **基于规则的引擎与本地指南** VibeCheck 使用严格的引擎来捕获 SQL 注入、硬编码凭证等问题 —— 并针对每个关键安全漏洞提供 **CWE 和 OWASP 参考**。它会读取你的 **`.vibecheck_rules.md`** 以强制执行项目特定的标准。 ### 🧠 **智能全局缓存** VibeCheck 将每个 AI 响应缓存在本地 (`~/.vibecheck/cache`)。对相同代码的后续扫描是 **即时且免费的**。 ### 🧹 **记忆管理** VibeCheck 会记住你学过的内容。若要重新开始： ``` vibecheck --reset-memory ``` ## 🆚 为什么选 VibeCheck 而不是直接问 Claude？ Claude、Copilot 和 ChatGPT 追求的是生成**看起来**正确的代码。它们不会模拟执行顺序、运行你的代码，或强制执行你团队的规则。而 VibeCheck 会。 | 功能特性 | VibeCheck | Claude / ChatGPT | | :--- | :---: | :---: | | **AST 结构分析** (无幻觉) | ✅ | ❌ | | 确定性 (相同代码 = 相同结果) | ✅ | ❌ | | 强制执行团队的自定义规则 | ✅ | ❌ | | 记住你已经学过的内容 | ✅ | ❌ | | Git pre-commit 集成 | ✅ | ❌ | | 扫描整个目录查找技术债 | ✅ | ❌ | | 检测 auth middleware 顺序 Bug | ✅ | ❌ (极少) | | CI/CD JSON 输出 | ✅ | ❌ | | 免费运行 (基于规则的模式) | ✅ | ❌ | ## ⚙️ 配置与提供商 VibeCheck 支持多种编程语言 (Python、JavaScript、TypeScript、Go)，并且**与模型无关**。可通过环境变量或 `~/.vibecheck/config.yaml` 配置你喜欢的提供商。 | 提供商 | 环境变量 | 默认模型 | | :--- | :--- | :--- | | **Groq** (最快) | `GROQ_API_KEY` | `llama-3.3-70b` | | **OpenAI** | `OPENAI_API_KEY` | `gpt-4o-mini` | | **Anthropic** | `ANTHROPIC_API_KEY` | `claude-3.5-sonnet` | | **Google** | `GOOGLE_API_KEY` | `gemini-1.5-pro` | | **Ollama** | `VIBECHECK_ENTERPRISE_MODE=1` | `ollama/llama3` | ## 👨‍💻 由一位 16 岁的创作者开发 在 24 小时内创建，旨在证明 AI 工具应侧重于**教育**，而不仅仅是自动化。由 [Afif Erdita](https://github.com/apiprdt) 架构与维护。 ## 📄 许可证 MIT 许可证。

标签：AI幻觉防护, AI编程助手, AI风险缓解, Apache Flink, Clair, Python, 云计算, 交互式教学, 人工智能, 代码安全防火墙, 代码审查, 代码规范检查, 多包管理, 大语言模型辅助开发, 威胁情报, 安全漏洞检测, 开发者工具, 技术债务分析, 提示注入防御, 文档结构分析, 无后门, 源代码安全, 用户模式Hook绕过, 自动化payload嵌入, 规则引擎, 逆向工具, 错误基检测, 静态代码分析