VibeSec-Skill
VibeSec-Skill 是一个为 AI 编码助手设计的安全技能插件,旨在帮助开发者从源头编写更安全的代码,避免常见的安全漏洞。它基于多年漏洞挖掘经验,将安全意识直接融入到 AI 的编码流程中,让生成的代码在功能实现的同时也具备更高的安全性。
许多开发人员在使用 AI 工具时,常常会忽略潜在的安全风险,比如硬编码 API 密钥、身份验证缺失、跨站脚本攻击等。这些问题可能在上线后被利用,造成严重后果。VibeSec-Skill 通过内置的漏洞检测机制,在代码生成阶段就识别并阻止这些常见漏洞,大幅降低安全隐患。
它适合各类开发者使用,尤其是那些希望提升代码安全性、减少后期修复成本的团队和个人。VibeSec-Skill 覆盖了访问控制、客户端与服务端安全、认证机制和 API 安全等多个方面,还特别关注边缘情况和框架特定的防护策略,确保全面覆盖。
其独特之处在于不仅提供基础的输入过滤,还深入分析攻击者常用的绕过手段,并针对主流开发框架和云平台进行优化,使安全防护更加精准有效。
使用场景
某初创公司正在开发一款基于 Web 的任务管理应用,由一名全栈开发者独立负责前端和后端的开发工作。他使用 AI 编码助手来加速开发流程,但对安全问题缺乏系统性认知。
没有 VibeSec-Skill 时
- 前端代码中直接硬编码了 API 密钥,存在敏感信息泄露风险。
- 后端未对用户输入进行充分验证,容易受到 SQL 注入攻击。
- 在实现用户权限控制时,忽略了水平越权问题,导致用户可访问他人数据。
- 开发者对常见的安全漏洞(如 XSS、CSRF)了解不足,未能在代码中正确防御。
- 项目上线后因安全问题被黑客攻击,导致用户数据泄露,影响公司声誉。
使用 VibeSec-Skill 后
- AI 编码助手自动检测并提示硬编码 API 密钥的问题,并建议将其移至环境变量中。
- 在生成数据库查询语句时,VibeSec-Skill 提醒开发者使用参数化查询,防止 SQL 注入。
- 在设计用户权限逻辑时,AI 助手识别出潜在的水平越权漏洞,并提供修复建议。
- 开发过程中,VibeSec-Skill 实时提醒开发者关注 XSS 和 CSRF 等常见漏洞,并给出具体防护措施。
- 项目上线前,通过 VibeSec-Skill 的全面检查,显著降低了安全风险,提升了整体代码质量。
VibeSec-Skill 让开发者在编码初期就能融入安全意识,有效预防常见漏洞,保障应用的安全性与可靠性。
运行环境要求
- Linux
- macOS
- Windows
未说明
未说明
快速开始
VibeSec-技能
杜绝将漏洞编码带入生产环境。
这是一项AI技能,将超过5年的漏洞赏金猎人经验直接融入你的AI编码工作流——让大语言模型从一开始就编写安全的代码。
简介
Vibe编码很有趣,直到你的应用因为各种错误原因被曝光在社交媒体上。
我们都见过这样的帖子/梗图:
- JavaScript打包文件中硬编码了API密钥
- IDOR漏洞导致用户数据泄露
- 敏感页面未进行身份验证
- 管理后台使用弱密码
安全漏洞往往在被利用之前并不明显。如果没有正确的指导,AI会自信地把漏洞模式与你的功能一起部署上线。
VibeSec是一套AI技能,充当以安全为先的辅助飞行员。它会教导你选定的模型从漏洞猎人的视角来审视代码,在漏洞被部署之前就将其捕获。
📚 目录
[!提示] 该技能已覆盖60%-70%的常见漏洞。不过,如果你需要更强大的版本、涵盖更多漏洞,请访问vibesec.sh。
📥 安装
Claude Code
克隆此仓库:
git clone https://github.com/BehiSecc/VibeSec-Skill将其添加到
~/.claude/skills(全局)或.claude/skills(项目专用)。
Cursor
克隆此仓库:
git clone https://github.com/BehiSecc/VibeSec-Skill将其添加到
~/.cursor/skills(全局)或.cursor/skills(项目专用)。
Codex
克隆此仓库:
git clone https://github.com/BehiSecc/VibeSec-Skill将其添加到
~/.agents/skills(全局)或.agents/skills(项目专用)。
Github Copilot
克隆此仓库:
git clone https://github.com/BehiSecc/VibeSec-Skill将其添加到
~/.copilot/skills(全局)或.github/skills(项目专用)。
Antigravity
克隆此仓库:
git clone https://github.com/BehiSecc/VibeSec-Skill将其添加到
~/.gemini/antigravity/skills/(全局)或.agent/skills/(项目专用)。
🛡️ 覆盖的漏洞
VibeSec提供全面防护,抵御以下各类漏洞:
| 类别 | 覆盖的漏洞 |
|---|---|
| 访问控制 | IDOR、权限提升、水平/垂直访问、批量赋值、令牌撤销 |
| 客户端 | XSS(存储型、反射型、DOM型)、CSRF、密钥泄露、开放重定向 |
| 服务器端 | SSRF、SQL注入、XXE、路径遍历、不安全文件上传 |
| 身份验证 | 弱密码、会话管理、账户生命周期、JWT安全 |
| API安全 | 批量赋值、GraphQL安全 |
深度覆盖包括:
- ✅ 绕过技术 - 不只是“对输入进行消毒”,而是针对攻击者使用的具体绕过手段
- ✅ 边缘情况 - URL片段、DNS重绑定、多语言文件、Unicode技巧
- ✅ 框架感知 - 针对React、Vue、Node.js、Python、Java、.NET等框架的模式
- ✅ 云感知 - AWS、GCP、Azure的元数据端点保护
- ✅ 检查清单 - 针对每类漏洞的可操作验证步骤
🚀 快速入门
# 将技能添加到你的项目目录:
“我正在构建一个[网页应用描述]。请遵循安全编码规范。”
# Claude/Codex等现在会自动:
# - 实施恰当的访问控制
# - 添加安全头信息
# - 验证并消毒所有输入
# - 标记潜在的安全问题
🤝 贡献
如果你有建议、改进或新的资源要添加:
- 分叉此仓库
- 进行修改
- 提交拉取请求
你也可以打开一个问题🐛,如果你发现需要修复的地方。
📬 联系方式
如果你想联系我,可以在X上找到我。
常见问题
相似工具推荐
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
NextChat
NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。