kitay-sudo/yata
GitHub: kitay-sudo/yata
Yata 是一份通用 AI Agent 安全审计指令文件,让任意代码 Agent 按结构化流程对项目执行全面安全审计并生成报告与可应用的 diff 修复补丁。
Stars: 1 | Forks: 0
🪞 八咫 · Yata
适用于 AI Agent 的通用安全审计 Playbook。
仅需一个 .md 文件,即可将任何代码 Agent 变成严苛的安全审计员。
得名于日本神话中的神器 八咫镜(八咫鏡),象征着揭示真相。Yata 为你的代码举起一面明镜,照出其中隐藏的秘密。
🪞 包含动画与快速开始的官网 → kitay-sudo.github.io/yata
## 💡 这是什么 **Yata** 是一个独立自足的指令文件 [`YATA.md`](./YATA.md),你可以将其“喂”给任何代码 Agent(如 Claude Code、Cursor、Codex、Aider 或自定义的 LLM harness)。 阅读该文件后,Agent 会按顺序理解以下内容: - 面前的**是什么项目**以及它使用了**什么技术栈**(通过标记文件自动检测); - **如何正确地对项目进行检查**以及执行的**顺序**; - 需要执行**什么样的审计计划**——从侦察到最终的“是否可以上线生产环境”的结论; - **具体要寻找什么**——路由漏洞、逻辑错误、输入验证、注入、数据库操作、可疑的外部输出(邮件/Webhook/第三方)、易受攻击的包和库、机密信息泄漏、哪里需要 **rate limit** 以及高负载下的稳定性; - **如何输出结果**——包含按 severity 分级的 findings 以及用于修复每个漏洞的**现成 `diff` 补丁**。 目标:经过一次完整的审计流程后,项目可以安全地运行在生产环境中,无需担心被黑客攻击、数据泄漏或在负载下崩溃。 ## 🚀 如何使用 ### ⚡ 方式 1. 通过一条链接快速引导(无需复制任何内容)—— 推荐 在待检查项目**内部**,向 Agent 发送以下 prompt: Agent 会自动阅读 playbook,理解技术栈,执行审计并创建一个**独立的文件夹**: ``` yata/ ├── README.md ← начни отсюда: вердикт + счётчик severity + ссылки + как применять фиксы ├── SECURITY_AUDIT_REPORT.md ← полный отчёт ├── findings/ ← по файлу на каждую проблему ├── fixes/ ← по .diff на каждую проблему (git apply) ├── route-inventory.md └── appendix/ ← сырой вывод инструментов ``` 在你准备好(请先查看每个 diff)后应用修复: ``` git apply --check yata/fixes/CRIT-01-*.diff # проверить git apply yata/fixes/CRIT-01-标签:AI代理, 防御加固