ironsightscyber/vibe-security

# IronSights Vibe Security **一个免费的 Claude Code 技能，用于审计 AI 生成代码中经常伴随产生的漏洞。** 由 [IronSights](https://ironsights.com.au) —— 澳大利亚网络安全专家—— 构建并维护。 ## 为什么需要它 像 Claude Code、Cursor、Lovable 和 Bolt 这样的 AI 编程工具编写代码速度极快。但它们也会一遍又一遍地犯同样的安全错误。这项技能为 Claude Code 提供了一份结构化的安全检查清单——这与我们的顾问在专业审计中审查的类别相同——以便您能在这些问题发布之前将其发现。 **相关数据：** - **87%** 的 AI 生成的 PR 包含至少一个漏洞 - **62%** 的 AI 代码在发布时包含漏洞（OX Security / CSA，400万次扫描） - **100%** 受测的 AI 生成的应用程序存在 SSRF —— **0%** 具有安全标头（OX Security，15 个应用程序） - 与人类编写的代码相比，XSS 高出 **2.74倍**，IDOR 高出 **1.91倍**，密钥暴露高出 **2.14倍** - 经过 5 轮 AI 优化后，严重漏洞增加了 **37%** —— 提示词越多，情况越糟 真实安全事件：Moltbook（2026年1月，通过一个 `curl` 暴露了 150 万个 token），CVE-2025-48757（170 个 Lovable 应用程序，所有数据均可公开读取），EnrichLead（在发布当天没有任何身份验证），RedHunt Labs Wave 15（在约 130,000 个 vibe 编写的站点中，有五分之一发现了密钥）。 ## 如何使用它 ### 选项 A — Claude Code（推荐） 完整体验。Claude 会读取您的实际代码，并报告针对特定文件的发现结果及代码修复方案。 您需要安装 **[Claude Code](https://claude.ai/code)**。仅此而已。 **第 1 步 — 下载** 选择以下任一方法： **下载 ZIP** （无需任何工具）—— [**下载 ZIP**](https://github.com/ironsightscyber/vibe-security/archive/refs/heads/main.zip)，解压缩，将文件夹重命名为 `ironsights-vibe-check`，并将其移动到第 2 步中的路径下。 **从 GitHub 克隆** （如果您已安装 Git）： ``` # Mac / Linux git clone https://github.com/ironsightscyber/vibe-security.git \ ~/.claude/skills/ironsights-vibe-check # Windows (PowerShell) git clone https://github.com/ironsightscyber/vibe-security.git ` "$env:USERPROFILE\.claude\skills\ironsights-vibe-check" ``` **第 2 步 — 文件夹存放位置** 如果使用 ZIP 方法，请将重命名后的文件夹移动至： - **Mac / Linux:** `~/.claude/skills/ironsights-vibe-check` - **Windows:** `C:\Users\YourName\.claude\skills\ironsights-vibe-check` **第 3 步 — 运行它** 在 Claude Code 中打开您的项目并输入： ``` /ironsights-vibe-check ``` ### 选项 B — Fork 它 想要为您的团队自定义审计或添加您自己的检查规则吗？在 GitHub 上 Fork 该仓库，然后从您的 fork 中安装即可。 1. 点击此页面顶部的 **Fork** 2. 将您的 fork 克隆到 skills 文件夹中： ``` # Mac / Linux git clone https://github.com/YOUR-USERNAME/vibe-security.git \ ~/.claude/skills/ironsights-vibe-check # Windows (PowerShell) git clone https://github.com/YOUR-USERNAME/vibe-security.git ` "$env:USERPROFILE\.claude\skills\ironsights-vibe-check" ``` ### 选项 C — Cursor 将包含的 Cursor 规则放入您的项目中，并从 Cursor Chat 中触发它。 1. 将此仓库中的 `.cursor/rules/vibe-security.mdc` 复制到您项目的 `.cursor/rules/` 文件夹中 2. 在 Cursor Chat 中，输入： ``` Run the vibe-security audit on this codebase ``` ### 选项 D — ChatGPT、Copilot、Gemini、Codex 或任何 AI 工具 无需安装。打开本仓库中的 [`PROMPT.md`](PROMPT.md)，复制分割线之后的所有内容，并在打开代码的情况下将其粘贴到任何 AI 工具中。 适用于：ChatGPT、GitHub Copilot Chat、Google Gemini、Amazon Q、OpenAI Codex、Windsurf 以及任何其他 AI 助手。 ## 它检查什么 **第 0 步 — 代码库暴露** 会首先运行。公共代码仓库中的密钥已经被视为泄露。 **18 个审计类别：** | # | 类别 | 识别内容 | |---|----------|----------------| | 1 | 密钥与环境变量 | 硬编码的 API key、暴露的 `.env` 文件、MCP 配置泄露 | | 2 | 数据库访问控制 | Supabase RLS 被禁用、Firebase 开放规则、Convex 身份验证漏洞 | | 3 | 身份验证与授权 | IDOR/BOLA、MFA 缺失、JWT 算法混淆、OAuth 配置错误 | | 4 | 多租户与租户隔离 | 跨租户数据泄露、未限制范围的查询 | | 5 | 速率限制与滥用预防 | 未受保护的身份验证 endpoint、缺失 CAPTCHA、AI API 滥用 | | 6 | 支付安全 | 客户端价格篡改、未签名的 webhook | | 7 | 移动端安全 | 不安全的 token 存储、bundle 中暴露的 API key | | 8 | AI / LLM 集成 | API key 泄露、prompt 注入、缓存中毒 | | 9 | 部署与基础设施 | 缺失安全标头、通配符 CORS、过时的 Next.js CVE | | 10 | SSRF | 通过 webhook、图像优化器、链接预览进行服务器端请求伪造 | | 11 | 文件上传安全 | 路径遍历、SVG XSS、MIME 欺骗、缺失大小限制 | | 12 | XSS、注入与 DOM 攻击 | 未净化的 HTML、`javascript:` URI、原型链污染 | | 13 | 加密失败 | 用于密码的 SHA-256、AES-CBC、nonce 重用 | | 14 | 数据访问与输入验证 | SQL 注入、Prisma 运算符注入、ReDoS | | 15 | 错误处理与日志记录 | API 响应中的堆栈跟踪、日志中的密钥 | | 16 | 数据隐私与合规性 | GDPR、CCPA、澳大利亚隐私原则 | | 17 | MCP 与 AI Agent 安全 | 工具投毒、间接 prompt 注入、8 个以上已修补的 CVE | | 18 | 供应链 | 域名抢注包、恶意 npm、未锁定的依赖项 | ## 需要专业审查吗？ 此技能可捕获常见的、可预测的漏洞。它不能代替实际操作的安全评估。 如果您正在处理客户数据、接受付款或为企业客户进行开发，请考虑进行专业审查： - **[Vibe Security Check](https://ironsights.com.au/vibe-security)** —— 针对 使用 Claude Code、Cursor、Lovable 或 Bolt 构建的应用程序的特定于 AI 的安全审查 - **[Cyber Security Audit](https://ironsights.com.au/cyber-security-audit)** —— 对您的应用程序和基础设施进行结构化评估 - **[Managed Security](https://ironsights.com.au/managed-security)** —— 为您的企业提供持续的监控和事件响应 - **[联系 IronSights](https://ironsights.com.au/contact)** —— 与我们的团队探讨您的具体情况 ## 贡献 发现了新的漏洞模式？提交一个 pull request。随着新的研究和 CVE 的出现，我们会更新此技能。

标签：AI代码审查, Claude Code, 代码安全审计, 安全合规, 网络代理, 防御加固, 静态应用安全测试