# AI驱动代码安全扫描修复
`安全扫描` `漏洞修复` `OWASP` `AI集成` `静态分析`
# Vibe Security
一款面向 Vibe Coder 的 AI 驱动安全扫描与修复工具,能够自动发现、验证并修复代码中的安全漏洞。
## 概述
Vibe Security 是一款专为 Vibe Coder AI 辅助开发场景设计的综合安全分析工具。它能自动扫描代码库中的安全漏洞,提供详细说明,并可自动修复大量常见安全问题。
## 功能特性
### 🔍 **安全扫描器**
- **30+ 安全规则**,覆盖 OWASP Top 10
- **多语言支持** — JavaScript、TypeScript、Python、Java、PHP、C#、Ruby、Go、Rust
- **实时分析** — 秒级扫描整个代码库
- **详细报告** — 含严重等级评定的完整漏洞报告
### 🛡️ **漏洞检测**
- SQL 注入、XSS、命令注入、路径遍历
- CSRF、弱加密、硬编码密钥
- 身份认证/授权问题、SSRF、XXE
- 以及更多安全漏洞类型
### 🔧 **自动修复**
- 自动修复常见安全问题
- 安全、经过验证的修复策略
- 在提升安全性的同时保留原有功能
### ✅ **验证**
- 安全态势验证
- 合规报告
- 最佳实践评估
### 🤖 **AI 集成**
- 支持 Claude、Cursor、Windsurf、Copilot、Antigravity 的安全规范
- 以安全为核心的代码生成
- 自动化安全审查
## 安装
### 使用 npm(推荐)
```bash
# 全局安装
npm install -g vibe-security
# 或使用 bun
bun install -g vibe-security
```
### 快速开始
```bash
# 为 AI 助手安装安全规范
vibesec init --ai claude # Claude
vibesec init --ai cursor # Cursor
vibesec init --ai windsurf # Windsurf
vibesec init --ai copilot # GitHub Copilot
vibesec init --ai antigravity # Antigravity
vibesec init --ai all # 所有助手
# 版本管理
vibesec versions # 列出可用版本
vibesec update # 更新至最新版本
vibesec init --version v1.0.0 # 安装指定版本
```
## 使用方法
### Claude Code
技能在你请求安全扫描或代码审查时自动激活,直接自然对话即可:
```
扫描我的代码中的安全漏洞
修复项目中的 SQL 注入问题
检查我的身份认证实现是否存在安全问题
```
### Cursor / Windsurf / Antigravity
使用斜杠命令调用技能:
```
/vibe-security 扫描我的代码中的安全漏洞
/vibe-security 修复项目中的 SQL 注入问题
/vibe-security 检查我的身份认证实现是否存在安全问题
```
### GitHub Copilot
在 VS Code 中使用 Copilot 时,在对话框中输入 `/` 查看可用提示,然后选择 vibe-security:
```
/vibe-security 扫描我的代码中的安全漏洞
/vibe-security 修复项目中的 SQL 注入问题
/vibe-security 检查我的身份认证实现是否存在安全问题
```
### 示例提示词
- **扫描我的代码中的安全漏洞**
- **修复项目中的硬编码密钥**
- **检查 SQL 注入漏洞**
- **审查我的身份认证实现**
- **查找并修复 XSS 漏洞**
- **验证安全最佳实践**
- **为 Claude 安装安全规范**
## 推荐 AI 模型
### 最佳安全分析选择
我们推荐以下 AI 模型与 Vibe Security 配合使用,以获得最优的安全漏洞检测和代码修复效果:
#### **Claude Opus 4.5**(推荐)
- 最先进的综合安全分析模型
- 卓越的复杂漏洞检测推理能力
- 擅长识别细微安全缺陷和攻击向量
- 最适合关键安全审计、企业级代码库和生产环境部署
- 提供最全面的安全修复策略
#### **Claude Sonnet 4.5**
- 速度与安全分析深度的绝佳平衡
- 出色的安全上下文理解和漏洞识别能力
- 提供含详细说明的安全修复策略
- 适合日常开发和大多数安全工作流
#### **Claude Opus 4**
- 强大的复杂安全审计和企业级代码库处理能力
- 深度推理能力,适用于高级漏洞分析
- 最适合关键安全审查和合规要求
- 推荐用于生产环境部署和敏感应用
#### **GPT-4o**
- 快速高效,适合安全感知代码生成
- 响应速度快,是不错的替代选择
- 优秀的 CI/CD 集成和自动化扫描能力
- 大规模项目的成本效益之选
#### **Claude Sonnet 4**
- 快速安全扫描的替代选择
- 速度与准确性的良好平衡
- 适合开发过程中的快速迭代
#### **o1-preview**
- 专注于复杂安全架构审查
- 针对复杂漏洞链的高级推理能力
- 最适合安全研究和深度代码审计
#### **GPT-4o-mini**
- 快速检查和初步扫描
- 最具成本效益的选择
- 适合学习和教育场景
### 模型选择指南
| 使用场景 | 最佳模型 | 备选模型 |
| --- | --- | --- |
| **快速安全扫描** | Claude Sonnet 4.5 | GPT-4o |
| **深度安全审计** | Claude Opus 4.5 | Claude Opus 4 |
| **自动修复漏洞** | Claude Opus 4.5 | Claude Sonnet 4.5 |
| **企业合规** | Claude Opus 4.5 | Claude Opus 4 |
| **关键生产审查** | Claude Opus 4.5 | o1-preview |
| **学习安全概念** | Claude Sonnet 4.5 | GPT-4o |
### 性能建议
- **大型代码库(1000+ 文件):** 使用 Claude Sonnet 4 或 GPT-4o 加快扫描速度
- **关键安全审查:** 使用 Claude Opus 4.5 配合 `--strict` 模式获得最高全面性
- **生产环境部署:** Claude Opus 4.5 提供无与伦比的安全深度
- **日常开发:** Claude Sonnet 4.5 提供最佳速度/质量平衡
- **成本优化:** 快速检查使用 GPT-4o-mini,修复阶段升级为完整模型
### 从源码安装
如果你已下载或克隆了源代码:
```bash
# 进入 cli 目录
cd vibe-security/cli
# 安装依赖
npm install
# 或使用 bun
bun install
# 构建项目
npm run build
# 或使用 bun
bun run build
# 全局链接(可选)
npm link
# 或使用 bun
bun link
# 现在可以全局使用 vibesec 命令
vibesec --help
```
**下一步:** 安装完成后,参照上方[快速开始](#快速开始)指南为你的 AI 助手安装安全规范并开始扫描。
### 覆盖的安全类别
- SQL 注入(CWE-89)
- XSS(CWE-79)
- 命令注入(CWE-78)
- 路径遍历(CWE-22)
- CSRF(CWE-352)
- 弱加密(CWE-327)
- 硬编码密钥(CWE-798)
- 身份认证问题(CWE-287)
- 授权缺陷(CWE-285)
- 以及 20+ 种其他漏洞类型
## 支持的语言
- JavaScript(.js、.jsx、.mjs、.cjs)
- TypeScript(.ts、.tsx)
- Python(.py)
- Java(.java)
- C#(.cs)
- PHP(.php)
- Ruby(.rb)
- Go(.go)
- Rust(.rs)
## 许可证
本作品采用 [CC BY-NC 4.0](https://creativecommons.org/licenses/by-nc/4.0/) 授权。
- **个人使用免费** — 可用于非商业目的的使用、修改和分享
- **需要署名** — 分享时须注明"Vibe Security"来源
- **禁止商业使用** — 未经许可不得用于商业目的
---
以 ❤️ 为 Vibe Coder 安全代码生成而生
🔒 安全第一。始终如此。