[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"similar-Arcanum-Sec--sec-context":3,"tool-Arcanum-Sec--sec-context":64},[4,17,27,35,43,56],{"id":5,"name":6,"github_repo":7,"description_zh":8,"stars":9,"difficulty_score":10,"last_commit_at":11,"category_tags":12,"status":16},3808,"stable-diffusion-webui","AUTOMATIC1111\u002Fstable-diffusion-webui","stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。\n\n无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。",162132,3,"2026-04-05T11:01:52",[13,14,15],"开发框架","图像","Agent","ready",{"id":18,"name":19,"github_repo":20,"description_zh":21,"stars":22,"difficulty_score":23,"last_commit_at":24,"category_tags":25,"status":16},1381,"everything-claude-code","affaan-m\u002Feverything-claude-code","everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。\n\n通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。\n\n这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上",140436,2,"2026-04-05T23:32:43",[13,15,26],"语言模型",{"id":28,"name":29,"github_repo":30,"description_zh":31,"stars":32,"difficulty_score":23,"last_commit_at":33,"category_tags":34,"status":16},2271,"ComfyUI","Comfy-Org\u002FComfyUI","ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。\n\n这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。\n\n无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。",107662,"2026-04-03T11:11:01",[13,14,15],{"id":36,"name":37,"github_repo":38,"description_zh":39,"stars":40,"difficulty_score":23,"last_commit_at":41,"category_tags":42,"status":16},3704,"NextChat","ChatGPTNextWeb\u002FNextChat","NextChat 是一款轻量且极速的 AI 助手，旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性，以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发，NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。\n\n这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言，它也提供了便捷的自托管方案，支持一键部署到 Vercel 或 Zeabur 等平台。\n\nNextChat 的核心亮点在于其广泛的模型兼容性，原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型，让用户在一个界面即可自由切换不同 AI 能力。此外，它还率先支持 MCP（Model Context Protocol）协议，增强了上下文处理能力。针对企业用户，NextChat 提供专业版解决方案，具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能，满足公司对数据隐私和个性化管理的高标准要求。",87618,"2026-04-05T07:20:52",[13,26],{"id":44,"name":45,"github_repo":46,"description_zh":47,"stars":48,"difficulty_score":23,"last_commit_at":49,"category_tags":50,"status":16},2268,"ML-For-Beginners","microsoft\u002FML-For-Beginners","ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程，旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周，包含 26 节精炼课程和 52 道配套测验，内容涵盖从基础概念到实际应用的完整流程，有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。\n\n无论是希望转型的开发者、需要补充算法背景的研究人员，还是对人工智能充满好奇的普通爱好者，都能从中受益。课程不仅提供了清晰的理论讲解，还强调动手实践，让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持，通过自动化机制提供了包括简体中文在内的 50 多种语言版本，极大地降低了全球不同背景用户的学习门槛。此外，项目采用开源协作模式，社区活跃且内容持续更新，确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路，ML-For-Beginners 将是理想的起点。",84991,"2026-04-05T10:45:23",[14,51,52,53,15,54,26,13,55],"数据工具","视频","插件","其他","音频",{"id":57,"name":58,"github_repo":59,"description_zh":60,"stars":61,"difficulty_score":10,"last_commit_at":62,"category_tags":63,"status":16},3128,"ragflow","infiniflow\u002Fragflow","RAGFlow 是一款领先的开源检索增强生成（RAG）引擎，旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体（Agent）能力相结合，不仅支持从各类文档中高效提取知识，还能让模型基于这些知识进行逻辑推理和任务执行。\n\n在大模型应用中，幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构（如表格、图表及混合排版），显著提升了信息检索的准确度，从而有效减少模型“胡编乱造”的现象，确保回答既有据可依又具备时效性。其内置的智能体机制更进一步，使系统不仅能回答问题，还能自主规划步骤解决复杂问题。\n\n这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统，还是致力于探索大模型在垂直领域落地的创新者，都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口，既降低了非算法背景用户的上手门槛，也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目，它正成为连接通用大模型与行业专有知识之间的重要桥梁。",77062,"2026-04-04T04:44:48",[15,14,13,26,54],{"id":65,"github_repo":66,"name":67,"description_en":68,"description_zh":69,"ai_summary_zh":69,"readme_en":70,"readme_zh":71,"quickstart_zh":72,"use_case_zh":73,"hero_image_url":74,"owner_login":75,"owner_name":75,"owner_avatar_url":76,"owner_bio":77,"owner_company":77,"owner_location":77,"owner_email":77,"owner_twitter":77,"owner_website":77,"owner_url":78,"languages":79,"stars":84,"forks":85,"last_commit_at":86,"license":77,"difficulty_score":87,"env_os":88,"env_gpu":89,"env_ram":89,"env_deps":90,"category_tags":93,"github_topics":77,"view_count":23,"oss_zip_url":77,"oss_zip_packed_at":77,"status":16,"created_at":94,"updated_at":95,"faqs":96,"releases":97},3517,"Arcanum-Sec\u002Fsec-context","sec-context","AI Code Security Anti-Patterns distilled from 150+ sources to help LLMs generate safer code.","sec-context 是一套专为大语言模型（LLM）设计的代码安全反模式指南，旨在从源头提升 AI 生成代码的安全性。它汇总了超过 150 个权威来源的安全知识，提炼出 25 种常见的安全反模式，帮助开发者识别并规避如跨站脚本（XSS）、SQL 注入、硬编码密钥及依赖包风险等高频漏洞。\n\n当前，AI 编程助手虽已普及，但生成的代码往往携带严重安全隐患，数据显示其 XSS 失败率高达 86%，且极易重复训练数据中的错误。sec-context 正是为填补这一关键缺口而生，通过提供结构化的“错误 vs 正确”代码示例、详细的攻击场景分析及修复策略，有效降低 AI 代码的生产风险。\n\n该资源主要面向软件开发者、安全工程师及构建 AI 编码助手的研发团队。其独特亮点在于提供了两份不同深度的文档：一份涵盖广泛场景的速查指南，另一份则针对最高危的七类漏洞进行深度剖析。用户可根据模型上下文窗口大小，选择将其作为系统提示词全文输入，或部署为独立的代码审查代理（Agent），在代码进入生产环境前自动拦截潜在威胁，是构建可信 AI 开发流程的重要基础设施。","# Sec-Context - AI Code Security Anti-Patterns for LLMs\n\n**A comprehensive security reference distilled from 150+ sources to help LLMs generate safer code**\n\n[Landing anmd github-pages website](https:\u002F\u002Farcanum-sec.github.io\u002Fsec-context\u002F)\n\n## The Problem\n\nAI coding assistants are everywhere. **97% of developers** now use AI tools, and organizations report **40%+ of their codebase** is AI-generated. But there's a critical gap: AI models consistently reproduce the same dangerous security anti-patterns, with studies showing:\n\n- **86% XSS failure rate** in AI-generated code\n- **72% of Java AI code** contains vulnerabilities\n- AI code is **2.74x more likely** to have XSS vulnerabilities than human-written code\n- **81% of organizations** have shipped vulnerable AI-generated code to production\n\nWe built this guide to close that gap.\n\n---\n\n## What We Created\n\nTwo comprehensive security anti-pattern documents designed specifically for AI\u002FLLM consumption:\n\n### ANTI_PATTERNS_BREADTH.md (~65K tokens)\nA complete reference covering **25+ security anti-patterns** with:\n- Pseudocode BAD\u002FGOOD examples for each pattern\n- CWE references and severity ratings\n- Quick-reference lookup table\n- Concise mitigation strategies\n\n### ANTI_PATTERNS_DEPTH.md (~100K tokens)\nDeep-dive coverage of the **7 highest-priority vulnerabilities** with:\n- Multiple code examples per pattern\n- Detailed attack scenarios\n- Edge cases frequently overlooked\n- Complete mitigation strategies with trade-offs\n- Why AI models generate these specific vulnerabilities\n\n---\n\n## The Top 10 AI Code Anti-Patterns\n\nBased on our ranking matrix (Frequency × 2 + Severity × 2 + Detectability), these are the most critical patterns to watch for:\n\n| Rank | Anti-Pattern | Priority Score | Key Statistic |\n|------|--------------|----------------|---------------|\n| 1 | **Dependency Risks (Slopsquatting)** | 24 | 5-21% of AI-suggested packages don't exist |\n| 2 | **XSS Vulnerabilities** | 23 | 86% failure rate in AI code |\n| 3 | **Hardcoded Secrets** | 23 | Scraped within minutes of exposure |\n| 4 | **SQL Injection** | 22 | \"Thousands of instances\" in AI training data |\n| 5 | **Authentication Failures** | 22 | 75.8% of devs wrongly trust AI auth code |\n| 6 | **Missing Input Validation** | 21 | Root cause enabling all injection attacks |\n| 7 | **Command Injection** | 21 | CVE-2025-53773 demonstrated real-world RCE |\n| 8 | **Missing Rate Limiting** | 20 | Very high frequency, easy to detect |\n| 9 | **Excessive Data Exposure** | 20 | APIs return full objects instead of DTOs |\n| 10 | **Unrestricted File Upload** | 20 | Critical severity, enables RCE |\n\n---\n\n## How to Use These Files\n\n### Important: These Are Large Files\n\n- **Breadth version:** ~65,000 tokens\n- **Depth version:** ~100,000 tokens\n\nThis is intentional. They're designed to be comprehensive references.\n\n### Option 1: Large Context Window Models\nIf you're using a model with 128K+ context (Claude, GPT-4 Turbo, Gemini 1.5), you can include the entire breadth document in your system prompt or as a reference file.\n\n### Option 2: Pieces for Smaller Contexts\nExtract specific sections relevant to your task:\n- Working on authentication? Pull the Authentication Failures section\n- Building an API? Use the API Security and Input Validation sections\n- Handling file uploads? Reference the File Handling section\n\n### Option 3: Standalone Security Review Agent (Recommended)\nThe ideal use case: deploy a dedicated agent that reviews AI-generated code against these patterns. This agent:\n- Takes code as input\n- Checks against all 25+ anti-patterns\n- Returns specific vulnerabilities found with remediation steps\n- Works as a guardrail between AI code generation and production\n\n### Option 4: Standalone Security Review Skill - Claude Code (Recommended)\nAnother ideal use case: deploy a dedicated skill in claude code that reviews AI-generated code against these patterns. This agent:\n- Takes code as input\n- Checks against all 25+ anti-patterns\n- Returns specific vulnerabilities found with remediation steps\n- Works as a guardrail between AI code generation and production\n\n```\n┌─────────────────┐     ┌──────────────────────┐     ┌─────────────┐\n│ AI Code Gen     │────>│ Security Review Agent │────>│ Reviewed    │\n│ (Copilot, etc.) │     │ + Anti-Patterns Guide │     │ Code Output │\n└─────────────────┘     └──────────────────────┘     └─────────────┘\n```\n\n---\n\n## Research Sources\n\nThis guide synthesizes findings from **150+ individual sources** across 6 primary research categories:\n\n### Primary Source Categories\n\n| Source Type | Examples | Key Contributions |\n|-------------|----------|-------------------|\n| **CVE Databases** | NVD, MITRE CWE, Wiz | 40+ CVEs documented including IDEsaster collection |\n| **Academic Research** | Stanford, ACM, arXiv, IEEE, USENIX | Empirical vulnerability rate studies |\n| **Security Blogs** | Dark Reading, Veracode, Snyk, Checkmarx, OWASP | Industry reports and analysis |\n| **Developer Forums** | HackerNews (17+ threads), Reddit (6 subreddits) | Real-world developer experiences |\n| **Social Media** | Twitter\u002FX security researchers | Real-time incident documentation |\n| **GitHub** | Security advisories, academic studies | Large-scale code analysis |\n\n\n---\n\n## File Locations\n\n```\n├── ANTI_PATTERNS_BREADTH.md   # Full coverage, 25+ patterns\n├── ANTI_PATTERNS_DEPTH.md     # Deep dive, 7 critical patterns for now\n```\n\n---\n\n## Get Started\n\n1. **Grab the files**\n2. **Choose your approach** based on your context window and use case\n3. **Integrate** into your AI coding workflow as system prompt, RAG reference, or review agent\n4. **Generate safer code**\n\nThe goal isn't to replace human security review—it's to catch the obvious, well-documented anti-patterns that AI consistently reproduces, freeing up human reviewers for the subtle, context-dependent security decisions.\n\n---\n\n## Contributing\n\nFound a pattern we missed? Have a better example? PRs are welcome =)\n\n---\n\n*Built by synthesizing 150+ sources across academic papers, CVE databases, security blogs, and developer communities. Because AI shouldn't keep making the same security mistakes.*\n\n## License\nCopyright © 2026 Jason Haddix, Arcanum Information Security\n\nThis work is licensed under a Creative Commons Attribution 4.0 International License.\n\nYou are free to:\n\nShare — copy and redistribute the material in any medium or format.\nAdapt — remix, transform, and build upon the material for any purpose, even commercially.\nUnder the following terms:\n\nAttribution — You must give appropriate credit, provide a link to the original repository, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use.\nAttribution Example:\n\nThis content\u002Fmethodology is based on the Arc PI Taxonomy created by Jason Haddix of Arcanum Information Security.\n\nFor details and the full legal code, please visit the official license page:\n\nCreative Commons Attribution 4.0 International License\n","# Sec-Context - 面向大语言模型的代码安全反模式\n\n**一份从150+来源提炼出的全面安全参考，帮助大语言模型生成更安全的代码**\n\n[登陆页及GitHub Pages网站](https:\u002F\u002Farcanum-sec.github.io\u002Fsec-context\u002F)\n\n## 问题背景\n\nAI编码助手已无处不在。如今，**97%的开发者**在使用AI工具，而企业报告称其代码库中**超过40%是由AI生成的**。然而，一个关键的差距依然存在：AI模型会持续重复同样的危险安全反模式，研究表明：\n\n- AI生成代码中的**XSS失败率高达86%**\n- **72%的Java AI代码**包含漏洞\n- AI代码出现XSS漏洞的可能性是人工编写代码的**2.74倍**\n- **81%的企业**曾将含有漏洞的AI生成代码部署到生产环境\n\n我们构建这份指南正是为了填补这一空白。\n\n---\n\n## 我们的工作成果\n\n我们创建了两份专为AI和大语言模型设计的全面安全反模式文档：\n\n### ANTI_PATTERNS_BREADTH.md（约6.5万token）\n这是一份完整的参考文档，涵盖了**25+种安全反模式**，包括：\n- 每种模式的伪代码BAD\u002FGOOD示例\n- CWE引用及严重性评级\n- 快速参考查找表\n- 简洁的缓解策略\n\n### ANTI_PATTERNS_DEPTH.md（约10万token）\n这份文档深入探讨了**7个最高优先级的漏洞**，内容包括：\n- 每种模式的多个代码示例\n- 详细的攻击场景\n- 常被忽视的边缘情况\n- 包含权衡的完整缓解策略\n- 为什么AI模型会产生这些特定的漏洞\n\n---\n\n## AI代码十大反模式\n\n根据我们的排名矩阵（频率×2 + 严重点×2 + 可检测性），以下是需要重点关注的最严重的模式：\n\n| 排名 | 反模式 | 优先级得分 | 关键统计数据 |\n|------|----------|--------------|---------------|\n| 1 | **依赖风险（Slopsquatting）** | 24 | 5-21%的AI建议包并不存在 |\n| 2 | **XSS漏洞** | 23 | AI代码中86%的失败率 |\n| 3 | **硬编码密钥** | 23 | 密钥暴露后几分钟内即被窃取 |\n| 4 | **SQL注入** | 22 | AI训练数据中“成千上万的实例” |\n| 5 | **认证失败** | 22 | 75.8%的开发者错误地信任AI生成的认证代码 |\n| 6 | **缺失输入验证** | 21 | 所有注入攻击的根本原因 |\n| 7 | **命令注入** | 21 | CVE-2025-53773展示了现实世界的RCE攻击 |\n| 8 | **缺少速率限制** | 20 | 出现频率极高，易于检测 |\n| 9 | **过度数据暴露** | 20 | API返回完整对象而非DTO |\n| 10 | **无限制文件上传** | 20 | 严重性极高，可导致RCE |\n\n---\n\n## 如何使用这些文件\n\n### 重要提示：文件较大\n\n- **广度版：** ~6.5万token\n- **深度版：** ~10万token\n\n这是有意为之，旨在提供全面的参考。\n\n### 方案1：大上下文窗口模型\n如果您使用的模型具有128K+的上下文长度（如Claude、GPT-4 Turbo、Gemini 1.5），可以将整个广度文档纳入系统提示或作为参考文件。\n\n### 方案2：针对小上下文的片段\n提取与您的任务相关的特定部分：\n- 正在处理认证？提取“认证失败”部分。\n- 正在构建API？使用“API安全”和“输入验证”部分。\n- 处理文件上传？参考“文件处理”部分。\n\n### 方案3：独立安全审查代理（推荐）\n理想的使用场景是部署一个专门的代理，用于根据这些模式审查AI生成的代码。该代理：\n- 接受代码作为输入\n- 对照所有25+种反模式进行检查\n- 返回发现的具体漏洞及修复步骤\n- 作为AI代码生成与生产之间的安全屏障。\n\n### 方案4：独立安全审查技能 - Claude Code（推荐）\n另一个理想的使用场景是在Claude Code中部署一个专门的技能，用于根据这些模式审查AI生成的代码。该技能：\n- 接受代码作为输入\n- 对照所有25+种反模式进行检查\n- 返回发现的具体漏洞及修复步骤\n- 作为AI代码生成与生产之间的安全屏障。\n\n```\n┌─────────────────┐     ┌──────────────────────┐     ┌─────────────┐\n│ AI代码生成     │────>│ 安全审查代理         │────>│ 审查后的    │\n│ （Copilot等）   │     │ + 反模式指南         │     │ 代码输出    │\n└─────────────────┘     └──────────────────────┘     └─────────────┘\n```\n\n---\n\n## 研究来源\n\n本指南综合了来自6大研究类别的**150+个独立来源**的研究成果：\n\n### 主要来源类别\n\n| 来源类型 | 示例 | 关键贡献 |\n|----------|------|----------|\n| **CVE数据库** | NVD、MITRE CWE、Wiz | 记录了40+个CVE，包括IDEsaster集合 |\n| **学术研究** | 斯坦福大学、ACM、arXiv、IEEE、USENIX | 实证漏洞率研究 |\n| **安全博客** | Dark Reading、Veracode、Snyk、Checkmarx、OWASP | 行业报告与分析 |\n| **开发者论坛** | HackerNews（17+条讨论）、Reddit（6个子版块） | 开发者的实际经验 |\n| **社交媒体** | Twitter\u002FX上的安全研究人员 | 实时事件记录 |\n| **GitHub** | 安全公告、学术研究 | 大规模代码分析 |\n\n\n---\n\n## 文件位置\n\n```\n├── ANTI_PATTERNS_BREADTH.md   # 全面覆盖，25+种模式\n├── ANTI_PATTERNS_DEPTH.md     # 深入探讨，目前聚焦7种关键模式\n```\n\n---\n\n## 开始使用\n\n1. **获取文件**\n2. **根据您的上下文窗口和使用场景选择合适的方式**\n3. **集成到您的AI编码工作流中**，作为系统提示、RAG参考或审查代理\n4. **生成更安全的代码**\n\n我们的目标并非取代人工安全审查，而是捕捉AI反复出现的明显且有据可查的反模式，从而让人类审查员专注于那些微妙且依赖上下文的安全决策。\n\n---\n\n## 贡献\n\n发现我们遗漏的模式了吗？或者有更好的示例？欢迎提交PR！ \n\n---\n\n*基于学术论文、CVE数据库、安全博客和开发者社区的150+个来源整合而成。因为AI不应该再重复同样的安全错误。*\n\n## 许可证\n版权所有 © 2026 年 贾森·哈迪克斯，Arcanum 信息安全公司\n\n本作品采用知识共享署名 4.0 国际许可协议授权。\n\n您有权：\n\n复制与再分发——以任何媒介或格式复制和再分发该材料。\n改编——为任何目的（包括商业目的）混编、转换或在此基础上创作新作品。\n但须遵守以下条件：\n\n署名——您必须给予适当的署名，提供原始仓库的链接，并说明是否进行了修改。您可以采用任何合理的方式做到这一点，但不得以任何暗示许可方认可您或您的使用方式的方式进行。\n\n署名示例：\n\n本内容\u002F方法论基于由 Arcanum 信息安全公司的贾森·哈迪克斯创建的 Arc PI 分类法。\n\n有关详细信息及完整法律文本，请访问官方许可页面：\n\n知识共享署名 4.0 国际许可协议","# sec-context 快速上手指南\n\n`sec-context` 并非传统的可安装软件包，而是一套专为大语言模型（LLM）设计的**安全反模式参考文档库**。它旨在帮助 AI 助手识别并避免生成包含常见安全漏洞的代码。本指南将指导你如何获取并集成这些文档到你的 AI 开发工作流中。\n\n## 环境准备\n\n本项目无需特定的系统环境或运行时依赖，核心需求如下：\n\n*   **操作系统**：任意支持 Git 和文本编辑器的系统 (Windows, macOS, Linux)。\n*   **前置依赖**：\n    *   `git`：用于克隆仓库。\n    *   **支持长上下文的 LLM**：推荐使用上下文窗口 ≥ 128K 的模型（如 Claude 3.5\u002F3 Opus, GPT-4 Turbo, Gemini 1.5 Pro），以便一次性载入完整文档。\n    *   **代码编辑器\u002FIDE**：用于查看 `.md` 文档或配置 System Prompt。\n\n## 安装步骤\n\n通过 Git 克隆官方仓库获取最新的安全反模式文档。\n\n```bash\ngit clone https:\u002F\u002Fgithub.com\u002Farcanum-sec\u002Fsec-context.git\ncd sec-context\n```\n\n> **提示**：如果在国内访问 GitHub 速度较慢，可使用镜像源加速：\n> ```bash\n> git clone https:\u002F\u002Fghp.ci\u002Fhttps:\u002F\u002Fgithub.com\u002Farcanum-sec\u002Fsec-context.git\n> cd sec-context\n> ```\n\n克隆完成后，你将获得两个核心文件：\n*   `ANTI_PATTERNS_BREADTH.md` (~65K tokens)：涵盖 25+ 种安全反模式的广度参考。\n*   `ANTI_PATTERNS_DEPTH.md` (~100K tokens)：针对 7 种最高优先级漏洞的深度分析。\n\n## 基本使用\n\n根据你的 AI 工具链上下文窗口大小，选择以下任一方式集成：\n\n### 方式一：直接作为系统提示词（推荐长上下文模型）\n\n如果你使用的是支持 128K+ 上下文的模型，可以直接将 `ANTI_PATTERNS_BREADTH.md` 的内容复制并粘贴到 System Prompt 中，或者作为知识库文件上传。\n\n**示例操作（以 Claude Desktop 或类似工具为例）：**\n\n1.  打开 `ANTI_PATTERNS_BREADTH.md` 文件，复制全部内容。\n2.  在你的 AI 助手配置文件中，找到 `system_prompt` 部分。\n3.  粘贴内容，并添加如下指令前缀：\n\n```text\nYou are an expert secure coding assistant. Below is a comprehensive security reference guide containing 25+ anti-patterns. \nAlways review your generated code against these patterns before outputting.\n\n\u003Csecurity_reference>\n[在此处粘贴 ANTI_PATTERNS_BREADTH.md 的完整内容]\n\u003C\u002Fsecurity_reference>\n```\n\n### 方式二：按需提取片段（适用于中小上下文模型）\n\n如果上下文有限，仅复制与你当前任务相关的章节。\n\n**示例：正在开发用户登录功能**\n\n1.  打开 `ANTI_PATTERNS_BREADTH.md`。\n2.  定位到 \"Authentication Failures\" (认证失败) 章节。\n3.  复制该章节内容放入 Prompt：\n\n```text\nI am building an authentication module. Please follow these specific security guidelines to avoid common AI pitfalls:\n\n[在此处粘贴 Authentication Failures 章节内容]\n\nNow, generate a secure login function in Python using Flask.\n```\n\n### 方式三：构建独立安全审查 Agent（最佳实践）\n\n将文档作为知识库挂载到一个独立的审查 Agent 上，在代码生成后、提交前进行自动扫描。\n\n**工作流逻辑：**\n\n```text\n1. 开发者请求 AI 生成代码 -> 2. 初步代码产出 \n-> 3. [安全审查 Agent] 加载 sec-context 文档比对代码 \n-> 4. 输出包含具体漏洞及修复建议的报告 \n-> 5. 开发者修正后上线\n```\n\n**简易实现思路（伪代码）：**\n\n```python\n# 概念性示例：调用 LLM 进行安全审查\nreview_prompt = f\"\"\"\nAct as a Security Reviewer. Analyze the following code against these anti-patterns:\n{open('ANTI_PATTERNS_BREADTH.md').read()}\n\nCode to review:\n{generated_code}\n\nIdentify any violations and suggest fixes.\n\"\"\"\nresponse = llm.chat(review_prompt)\n```\n\n通过上述任一方式，即可让 `sec-context` 成为你 AI 编程流程中的“安全护栏”，显著降低 XSS、SQL 注入、硬编码密钥等常见漏洞的产生率。","某电商初创团队的后端工程师正利用 AI 助手快速构建用户评论功能，需处理文件上传与数据库交互。\n\n### 没有 sec-context 时\n- AI 生成的代码直接拼接用户输入到 SQL 语句中，导致严重的 SQL 注入漏洞，且开发者因信任 AI 而未察觉。\n- 文件上传接口缺乏扩展名白名单校验，攻击者可轻易上传恶意脚本执行远程代码（RCE）。\n- 硬编码的 AWS 密钥被 AI 误写入配置文件，并在代码提交后几分钟内被爬虫扫描泄露。\n- 团队被迫在上线前进行耗时的人工安全审计，反复返工修复基础漏洞，严重拖慢发布节奏。\n\n### 使用 sec-context 后\n- 将 sec-context 的深度文档作为系统提示词，AI 自动采用参数化查询生成代码，从源头根除 SQL 注入风险。\n- 针对文件上传场景，AI 依据工具中的“无限制文件上传”反模式，主动实施严格的类型检查与隔离存储策略。\n- 在生成配置代码时，sec-context 触发“硬编码秘密”警报，引导 AI 改用环境变量管理敏感密钥，杜绝泄露隐患。\n- 开发流程中嵌入基于 sec-context 的自动审查代理，实时拦截 25+ 类安全隐患，使代码一次通过率大幅提升。\n\nsec-context 通过将 150+ 来源的安全专家经验转化为 AI 可理解的上下文，成功将被动的事后修补转变为主动的防御性编码。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FArcanum-Sec_sec-context_654ea735.png","Arcanum-Sec","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002FArcanum-Sec_8a9ecdd8.png",null,"https:\u002F\u002Fgithub.com\u002FArcanum-Sec",[80],{"name":81,"color":82,"percentage":83},"HTML","#e34c26",100,562,94,"2026-04-04T21:17:19",1,"","未说明",{"notes":91,"python":89,"dependencies":92},"该工具并非可执行的软件或模型，而是一套供大语言模型（LLM）参考的安全反模式文档（Markdown 格式）。因此没有特定的操作系统、GPU、内存或 Python 版本要求。其运行环境完全取决于用户所使用的 LLM 平台（如 Claude、GPT-4 等）或集成方式（如作为 System Prompt、RAG 知识库或独立审查 Agent 的输入文件）。主要使用场景包括：1. 直接放入拥有 128K+ 上下文窗口的模型中；2. 提取特定章节供小上下文模型使用；3. 部署为独立的代码安全审查代理。",[],[26,13],"2026-03-27T02:49:30.150509","2026-04-06T11:30:58.515214",[],[]]