[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"similar-BehiSecc--VibeSec-Skill":3,"tool-BehiSecc--VibeSec-Skill":64},[4,17,27,35,43,56],{"id":5,"name":6,"github_repo":7,"description_zh":8,"stars":9,"difficulty_score":10,"last_commit_at":11,"category_tags":12,"status":16},3808,"stable-diffusion-webui","AUTOMATIC1111\u002Fstable-diffusion-webui","stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。\n\n无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。",162132,3,"2026-04-05T11:01:52",[13,14,15],"开发框架","图像","Agent","ready",{"id":18,"name":19,"github_repo":20,"description_zh":21,"stars":22,"difficulty_score":23,"last_commit_at":24,"category_tags":25,"status":16},1381,"everything-claude-code","affaan-m\u002Feverything-claude-code","everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。\n\n通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。\n\n这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上",140436,2,"2026-04-05T23:32:43",[13,15,26],"语言模型",{"id":28,"name":29,"github_repo":30,"description_zh":31,"stars":32,"difficulty_score":23,"last_commit_at":33,"category_tags":34,"status":16},2271,"ComfyUI","Comfy-Org\u002FComfyUI","ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。\n\n这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。\n\n无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。",107662,"2026-04-03T11:11:01",[13,14,15],{"id":36,"name":37,"github_repo":38,"description_zh":39,"stars":40,"difficulty_score":23,"last_commit_at":41,"category_tags":42,"status":16},3704,"NextChat","ChatGPTNextWeb\u002FNextChat","NextChat 是一款轻量且极速的 AI 助手，旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性，以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发，NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。\n\n这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言，它也提供了便捷的自托管方案，支持一键部署到 Vercel 或 Zeabur 等平台。\n\nNextChat 的核心亮点在于其广泛的模型兼容性，原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型，让用户在一个界面即可自由切换不同 AI 能力。此外，它还率先支持 MCP（Model Context Protocol）协议，增强了上下文处理能力。针对企业用户，NextChat 提供专业版解决方案，具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能，满足公司对数据隐私和个性化管理的高标准要求。",87618,"2026-04-05T07:20:52",[13,26],{"id":44,"name":45,"github_repo":46,"description_zh":47,"stars":48,"difficulty_score":23,"last_commit_at":49,"category_tags":50,"status":16},2268,"ML-For-Beginners","microsoft\u002FML-For-Beginners","ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程，旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周，包含 26 节精炼课程和 52 道配套测验，内容涵盖从基础概念到实际应用的完整流程，有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。\n\n无论是希望转型的开发者、需要补充算法背景的研究人员，还是对人工智能充满好奇的普通爱好者，都能从中受益。课程不仅提供了清晰的理论讲解，还强调动手实践，让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持，通过自动化机制提供了包括简体中文在内的 50 多种语言版本，极大地降低了全球不同背景用户的学习门槛。此外，项目采用开源协作模式，社区活跃且内容持续更新，确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路，ML-For-Beginners 将是理想的起点。",84991,"2026-04-05T10:45:23",[14,51,52,53,15,54,26,13,55],"数据工具","视频","插件","其他","音频",{"id":57,"name":58,"github_repo":59,"description_zh":60,"stars":61,"difficulty_score":10,"last_commit_at":62,"category_tags":63,"status":16},3128,"ragflow","infiniflow\u002Fragflow","RAGFlow 是一款领先的开源检索增强生成（RAG）引擎，旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体（Agent）能力相结合，不仅支持从各类文档中高效提取知识，还能让模型基于这些知识进行逻辑推理和任务执行。\n\n在大模型应用中，幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构（如表格、图表及混合排版），显著提升了信息检索的准确度，从而有效减少模型“胡编乱造”的现象，确保回答既有据可依又具备时效性。其内置的智能体机制更进一步，使系统不仅能回答问题，还能自主规划步骤解决复杂问题。\n\n这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统，还是致力于探索大模型在垂直领域落地的创新者，都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口，既降低了非算法背景用户的上手门槛，也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目，它正成为连接通用大模型与行业专有知识之间的重要桥梁。",77062,"2026-04-04T04:44:48",[15,14,13,26,54],{"id":65,"github_repo":66,"name":67,"description_en":68,"description_zh":69,"ai_summary_zh":69,"readme_en":70,"readme_zh":71,"quickstart_zh":72,"use_case_zh":73,"hero_image_url":74,"owner_login":75,"owner_name":76,"owner_avatar_url":77,"owner_bio":78,"owner_company":79,"owner_location":79,"owner_email":79,"owner_twitter":80,"owner_website":79,"owner_url":81,"languages":79,"stars":82,"forks":83,"last_commit_at":84,"license":85,"difficulty_score":23,"env_os":86,"env_gpu":87,"env_ram":87,"env_deps":88,"category_tags":91,"github_topics":79,"view_count":23,"oss_zip_url":79,"oss_zip_packed_at":79,"status":16,"created_at":92,"updated_at":93,"faqs":94,"releases":122},1281,"BehiSecc\u002FVibeSec-Skill","VibeSec-Skill","This skill helps Claude write secure code and prevent common vulnerabilities.","VibeSec-Skill 是一个为 AI 编码助手设计的安全技能插件，旨在帮助开发者从源头编写更安全的代码，避免常见的安全漏洞。它基于多年漏洞挖掘经验，将安全意识直接融入到 AI 的编码流程中，让生成的代码在功能实现的同时也具备更高的安全性。\n\n许多开发人员在使用 AI 工具时，常常会忽略潜在的安全风险，比如硬编码 API 密钥、身份验证缺失、跨站脚本攻击等。这些问题可能在上线后被利用，造成严重后果。VibeSec-Skill 通过内置的漏洞检测机制，在代码生成阶段就识别并阻止这些常见漏洞，大幅降低安全隐患。\n\n它适合各类开发者使用，尤其是那些希望提升代码安全性、减少后期修复成本的团队和个人。VibeSec-Skill 覆盖了访问控制、客户端与服务端安全、认证机制和 API 安全等多个方面，还特别关注边缘情况和框架特定的防护策略，确保全面覆盖。\n\n其独特之处在于不仅提供基础的输入过滤，还深入分析攻击者常用的绕过手段，并针对主流开发框架和云平台进行优化，使安全防护更加精准有效。","# VibeSec-Skill\n\n> **Stop vibe coding vulnerabilities into production.**\n\nAn AI skill that brings 5+ years of bug bounty hunting experience directly into your AI coding workflow - so LLM models write secure code from the start.\n\n## Introduction\n\nVibe coding is fun until your app ends up on social media for all the wrong reasons.\n\nWe have all seen the posts\u002Fmemes:\n\n* API keys hardcoded in JavaScript bundles\n* IDOR vulnerabilities allowing user data dumps\n* No authentication for sensitive pages\n* Weak passwords for admin panels\n\nSecurity gaps aren't obvious until someone exploits them. Without the right guidance, AI will confidently ship vulnerable patterns alongside your features.\n\nVibeSec is an AI Skill that acts as a security-first co-pilot. It teaches your selected model to approach your code from a bug hunter's perspective, catching vulnerabilities before they ship.\n\n## 📚 Table of Contents  \n- [VibeSec-Skill](#VibeSec-Skill)\n  - [📥 Installation](#-installation)\n  - [🛡️ Covered Vulnerabilities](#️-covered-vulnerabilities)\n  - [🚀 Quick Start](#-quick-start)\n  - [🤝 Contribution](#-contribution)\n  - [📬 Contact](#-contact)\n\n\n>[!Tip]\n>This skill already covers 60-70% of the common vulnerabilities. However, if you need a more robust version with more vulnerability coverage, please visit [vibesec.sh](https:\u002F\u002Fvibesec.sh\u002F)\n\n\n## 📥 Installation\n\n- \u003Cdetails>\u003Csummary>Claude Code\u003C\u002Fsummary>\n\n  * Clone this repository: `git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * Add it to `~\u002F.claude\u002Fskills` (global) or `.claude\u002Fskills` in your project directory (project-only).\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Cursor\u003C\u002Fsummary>\n\n  * Clone this repository: `git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * Add it to `~\u002F.cursor\u002Fskills` (global) or `.cursor\u002Fskills` in your project directory (project-only).\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Codex\u003C\u002Fsummary>\n\n  * Clone this repository: `git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * Add it to `~\u002F.agents\u002Fskills` (global) or `.agents\u002Fskills` in your project directory (project-only).\n\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Github Copilot\u003C\u002Fsummary>\n\n  * Clone this repository: `git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * Add it to `~\u002F.copilot\u002Fskills` (global) or `.github\u002Fskills` in your project directory (project-only).\n\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Antigravity\u003C\u002Fsummary>\n\n  * Clone this repository: `git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * Add it to `~\u002F.gemini\u002Fantigravity\u002Fskills\u002F` (global) or `.agent\u002Fskills\u002F` in your project directory (project-only).\n\n\u003C\u002Fdetails>\n\n\n\n\n## 🛡️ Covered Vulnerabilities\n\nVibeSec provides comprehensive protection against:\n\n| Category | Covered Vulnerabilities |\n|----------|-----------------|\n| **Access Control** | IDOR, Privilege Escalation, Horizontal\u002FVertical Access, Mass Assignment, Token Revocation |\n| **Client-Side** | XSS (Stored, Reflected, DOM), CSRF, Secret Key Exposure, Open Redirect |\n| **Server-Side** | SSRF, SQL Injection, XXE, Path Traversal, Insecure File Upload |\n| **Authentication** | Weak Passwords, Session Management, Account Lifecycle, JWT Security |\n| **API Security** | Mass Assignment, GraphQL Security |\n\n\n### Deep Coverage Includes:\n\n- ✅ **Bypass techniques** - Not just \"sanitize input\" but specific bypasses attackers use\n- ✅ **Edge cases** - URL fragments, DNS rebinding, polyglot files, Unicode tricks\n- ✅ **Framework-aware** - Patterns for React, Vue, Node.js, Python, Java, .NET\n- ✅ **Cloud-aware** - Metadata endpoint protection for AWS, GCP, Azure\n- ✅ **Checklists** - Actionable verification steps for each vulnerability class\n\n\n\n## 🚀 Quick Start\n\n```markdown\n# Add the skill to your project dir:\n\n\"I'm building a [web app description]. Please follow secure coding practices.\"\n\n# Claude\u002FCodex\u002Fetc will now automatically:\n# - Implement proper access controls  \n# - Add security headers\n# - Validate and sanitize all inputs\n# - Flag potential security issues\n```\n\n\n\n## 🤝 Contribution\n\nIf you have suggestions, improvements, or new resources to add:\n\n1. Fork this repo\n2. Make your changes\n3. Submit a Pull Request\n\nYou can also open an **Issue** 🐛 if you spot something that needs fixing.\n\n\n\n## 📬 Contact\n\nIf you want to contact me, you can reach me on [X](https:\u002F\u002Fx.com\u002FBehi_Sec).\n","# VibeSec-技能\n\n> **杜绝将漏洞编码带入生产环境。**\n\n这是一项AI技能，将超过5年的漏洞赏金猎人经验直接融入你的AI编码工作流——让大语言模型从一开始就编写安全的代码。\n\n## 简介\n\nVibe编码很有趣，直到你的应用因为各种错误原因被曝光在社交媒体上。\n\n我们都见过这样的帖子\u002F梗图：\n\n* JavaScript打包文件中硬编码了API密钥\n* IDOR漏洞导致用户数据泄露\n* 敏感页面未进行身份验证\n* 管理后台使用弱密码\n\n安全漏洞往往在被利用之前并不明显。如果没有正确的指导，AI会自信地把漏洞模式与你的功能一起部署上线。\n\nVibeSec是一套AI技能，充当以安全为先的辅助飞行员。它会教导你选定的模型从漏洞猎人的视角来审视代码，在漏洞被部署之前就将其捕获。\n\n## 📚 目录  \n- [VibeSec-技能](#VibeSec-技能)\n  - [📥 安装](#-安装)\n  - [🛡️ 覆盖的漏洞](#️-覆盖的漏洞)\n  - [🚀 快速入门](#-快速入门)\n  - [🤝 贡献](#-贡献)\n  - [📬 联系方式](#-联系方式)\n\n\n>[!提示]\n>该技能已覆盖60%-70%的常见漏洞。不过，如果你需要更强大的版本、涵盖更多漏洞，请访问[vibesec.sh](https:\u002F\u002Fvibesec.sh\u002F)。\n\n\n## 📥 安装\n\n- \u003Cdetails>\u003Csummary>Claude Code\u003C\u002Fsummary>\n\n  * 克隆此仓库：`git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * 将其添加到`~\u002F.claude\u002Fskills`（全局）或`.claude\u002Fskills`（项目专用）。\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Cursor\u003C\u002Fsummary>\n\n  * 克隆此仓库：`git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * 将其添加到`~\u002F.cursor\u002Fskills`（全局）或`.cursor\u002Fskills`（项目专用）。\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Codex\u003C\u002Fsummary>\n\n  * 克隆此仓库：`git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * 将其添加到`~\u002F.agents\u002Fskills`（全局）或`.agents\u002Fskills`（项目专用）。\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Github Copilot\u003C\u002Fsummary>\n\n  * 克隆此仓库：`git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * 将其添加到`~\u002F.copilot\u002Fskills`（全局）或`.github\u002Fskills`（项目专用）。\n\u003C\u002Fdetails>\n\n- \u003Cdetails>\u003Csummary>Antigravity\u003C\u002Fsummary>\n\n  * 克隆此仓库：`git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill`\n\n  * 将其添加到`~\u002F.gemini\u002Fantigravity\u002Fskills\u002F`（全局）或`.agent\u002Fskills\u002F`（项目专用）。\n\u003C\u002Fdetails>\n\n\n\n\n## 🛡️ 覆盖的漏洞\n\nVibeSec提供全面防护，抵御以下各类漏洞：\n\n| 类别 | 覆盖的漏洞 |\n|----------|-----------------|\n| **访问控制** | IDOR、权限提升、水平\u002F垂直访问、批量赋值、令牌撤销 |\n| **客户端** | XSS（存储型、反射型、DOM型）、CSRF、密钥泄露、开放重定向 |\n| **服务器端** | SSRF、SQL注入、XXE、路径遍历、不安全文件上传 |\n| **身份验证** | 弱密码、会话管理、账户生命周期、JWT安全 |\n| **API安全** | 批量赋值、GraphQL安全 |\n\n\n### 深度覆盖包括：\n\n- ✅ **绕过技术** - 不只是“对输入进行消毒”，而是针对攻击者使用的具体绕过手段\n- ✅ **边缘情况** - URL片段、DNS重绑定、多语言文件、Unicode技巧\n- ✅ **框架感知** - 针对React、Vue、Node.js、Python、Java、.NET等框架的模式\n- ✅ **云感知** - AWS、GCP、Azure的元数据端点保护\n- ✅ **检查清单** - 针对每类漏洞的可操作验证步骤\n\n\n\n## 🚀 快速入门\n\n```markdown\n# 将技能添加到你的项目目录：\n\n“我正在构建一个[网页应用描述]。请遵循安全编码规范。”\n\n# Claude\u002FCodex等现在会自动：\n# - 实施恰当的访问控制  \n# - 添加安全头信息\n# - 验证并消毒所有输入\n# - 标记潜在的安全问题\n```\n\n\n\n## 🤝 贡献\n\n如果你有建议、改进或新的资源要添加：\n\n1. 分叉此仓库\n2. 进行修改\n3. 提交拉取请求\n\n你也可以打开一个**问题**🐛，如果你发现需要修复的地方。\n\n\n\n## 📬 联系方式\n\n如果你想联系我，可以在[X](https:\u002F\u002Fx.com\u002FBehi_Sec)上找到我。","# VibeSec-Skill 快速上手指南\n\n## 环境准备\n\n- **系统要求**：支持主流操作系统（Windows、macOS、Linux）\n- **前置依赖**：\n  - Git 已安装（用于克隆仓库）\n  - 支持的 AI 编程工具（如 Claude、Cursor、Codex、GitHub Copilot、Antigravity 等）\n\n> 如果你在国内，建议使用国内镜像源加速 Git 克隆操作，例如：\n> ```bash\n> git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill\n> ```\n> 若遇到网络问题，可尝试使用 `https:\u002F\u002Fmirror.gitee.com\u002FBehiSecc\u002FVibeSec-Skill` 替代。\n\n---\n\n## 安装步骤\n\n1. **克隆仓库**：\n\n   ```bash\n   git clone https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill\n   ```\n\n2. **添加到对应工具的技能目录中**：\n\n   根据你使用的 AI 工具，将 `VibeSec-Skill` 目录添加到以下路径之一：\n\n   - **Claude**：`~\u002F.claude\u002Fskills` 或 `.claude\u002Fskills`\n   - **Cursor**：`~\u002F.cursor\u002Fskills` 或 `.cursor\u002Fskills`\n   - **Codex**：`~\u002F.agents\u002Fskills` 或 `.agents\u002Fskills`\n   - **GitHub Copilot**：`~\u002F.copilot\u002Fskills` 或 `.github\u002Fskills`\n   - **Antigravity**：`~\u002F.gemini\u002Fantigravity\u002Fskills\u002F` 或 `.agent\u002Fskills\u002F`\n\n> 注意：`~\u002F.xxx` 表示用户目录下的隐藏文件夹，若不确定路径，可在项目根目录下创建对应的 `skills` 文件夹并放置该技能。\n\n---\n\n## 基本使用\n\n在你的开发过程中，只需简单地告诉 AI 工具你正在构建的应用类型，并请求其遵循安全编码实践。例如：\n\n```markdown\n我正在构建一个 Web 应用程序。请遵循安全编码实践。\n```\n\nAI 将自动执行以下操作：\n\n- 实现适当的访问控制\n- 添加安全头信息\n- 验证和清理所有输入\n- 标记潜在的安全问题\n\n> 通过这种方式，VibeSec-Skill 可以帮助你在代码编写阶段就识别并避免常见的安全漏洞。","某初创公司正在开发一款基于 Web 的任务管理应用，由一名全栈开发者独立负责前端和后端的开发工作。他使用 AI 编码助手来加速开发流程，但对安全问题缺乏系统性认知。\n\n### 没有 VibeSec-Skill 时\n\n- 前端代码中直接硬编码了 API 密钥，存在敏感信息泄露风险。\n- 后端未对用户输入进行充分验证，容易受到 SQL 注入攻击。\n- 在实现用户权限控制时，忽略了水平越权问题，导致用户可访问他人数据。\n- 开发者对常见的安全漏洞（如 XSS、CSRF）了解不足，未能在代码中正确防御。\n- 项目上线后因安全问题被黑客攻击，导致用户数据泄露，影响公司声誉。\n\n### 使用 VibeSec-Skill 后\n\n- AI 编码助手自动检测并提示硬编码 API 密钥的问题，并建议将其移至环境变量中。\n- 在生成数据库查询语句时，VibeSec-Skill 提醒开发者使用参数化查询，防止 SQL 注入。\n- 在设计用户权限逻辑时，AI 助手识别出潜在的水平越权漏洞，并提供修复建议。\n- 开发过程中，VibeSec-Skill 实时提醒开发者关注 XSS 和 CSRF 等常见漏洞，并给出具体防护措施。\n- 项目上线前，通过 VibeSec-Skill 的全面检查，显著降低了安全风险，提升了整体代码质量。\n\nVibeSec-Skill 让开发者在编码初期就能融入安全意识，有效预防常见漏洞，保障应用的安全性与可靠性。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FBehiSecc_VibeSec-Skill_18e704ff.png","BehiSecc","Behi","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002FBehiSecc_2e2f0466.png","AI & Web App Security enthusiast.",null,"Behi_Sec","https:\u002F\u002Fgithub.com\u002FBehiSecc",748,67,"2026-04-04T21:34:29","Apache-2.0","Linux, macOS, Windows","未说明",{"notes":89,"python":87,"dependencies":90},"该工具为 AI 编码辅助技能，需集成到 Claude、Cursor、Codex、GitHub Copilot 或 Antigravity 等 AI 编码环境中使用。安装时需将仓库克隆到对应环境的 skills 目录中。",[],[26,53,15],"2026-03-27T02:49:30.150509","2026-04-06T08:40:44.947520",[95,100,105,109,113,117],{"id":96,"question_zh":97,"answer_zh":98,"source_url":99},5855,"如何实现 API 的速率限制以防止暴力破解？","可以采用令牌桶算法、逐步延迟或 CAPTCHA 等策略对需要保护的端点（如登录、密码重置等）进行速率限制，并确保返回正确的 429 响应头。","https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill\u002Fissues\u002F1",{"id":101,"question_zh":102,"answer_zh":103,"source_url":104},5853,"如何在 Claude Code Web 版中添加安全技能？","目前尚未明确支持在 Claude Code Web 版中添加该技能，建议使用桌面应用。","https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill\u002Fissues\u002F4",{"id":106,"question_zh":107,"answer_zh":108,"source_url":99},5854,"如何防止 JWT 中的 `alg: none` 攻击？","应始终验证 JWT 的签名算法（如 RS256 或 HS256），避免使用 `alg: none`，并确保使用强密钥进行签名。",{"id":110,"question_zh":111,"answer_zh":112,"source_url":99},5856,"如何防范不安全的反序列化漏洞？","避免使用语言中危险的反序列化函数（如 Python 的 pickle、Java 的 ObjectInputStream 等），改用安全替代方案，并实施完整性检查和类白名单机制。",{"id":114,"question_zh":115,"answer_zh":116,"source_url":99},5857,"如何防范 REST 和 GraphQL 的常见安全问题？","对于 REST，应防止大规模赋值；对于 GraphQL，需防范 introspection、查询深度攻击和批量请求。同时，应遵循 API 密钥最佳实践和 OAuth 2.0 检查清单。",{"id":118,"question_zh":119,"answer_zh":120,"source_url":121},5858,"如何为项目添加 Apache 2.0 许可证？","可以在项目根目录下创建 LICENSE 文件，并将内容设置为 Apache 2.0 许可证文本。","https:\u002F\u002Fgithub.com\u002FBehiSecc\u002FVibeSec-Skill\u002Fissues\u002F2",[]]