7.1 KiB
7.1 KiB
AI驱动代码安全扫描修复
安全扫描 漏洞修复 OWASP AI集成 静态分析
Vibe Security
一款面向 Vibe Coder 的 AI 驱动安全扫描与修复工具,能够自动发现、验证并修复代码中的安全漏洞。
概述
Vibe Security 是一款专为 Vibe Coder AI 辅助开发场景设计的综合安全分析工具。它能自动扫描代码库中的安全漏洞,提供详细说明,并可自动修复大量常见安全问题。
功能特性
🔍 安全扫描器
- 30+ 安全规则,覆盖 OWASP Top 10
- 多语言支持 — JavaScript、TypeScript、Python、Java、PHP、C#、Ruby、Go、Rust
- 实时分析 — 秒级扫描整个代码库
- 详细报告 — 含严重等级评定的完整漏洞报告
🛡️ 漏洞检测
- SQL 注入、XSS、命令注入、路径遍历
- CSRF、弱加密、硬编码密钥
- 身份认证/授权问题、SSRF、XXE
- 以及更多安全漏洞类型
🔧 自动修复
- 自动修复常见安全问题
- 安全、经过验证的修复策略
- 在提升安全性的同时保留原有功能
✅ 验证
- 安全态势验证
- 合规报告
- 最佳实践评估
🤖 AI 集成
- 支持 Claude、Cursor、Windsurf、Copilot、Antigravity 的安全规范
- 以安全为核心的代码生成
- 自动化安全审查
安装
使用 npm(推荐)
# 全局安装
npm install -g vibe-security
# 或使用 bun
bun install -g vibe-security
快速开始
# 为 AI 助手安装安全规范
vibesec init --ai claude # Claude
vibesec init --ai cursor # Cursor
vibesec init --ai windsurf # Windsurf
vibesec init --ai copilot # GitHub Copilot
vibesec init --ai antigravity # Antigravity
vibesec init --ai all # 所有助手
# 版本管理
vibesec versions # 列出可用版本
vibesec update # 更新至最新版本
vibesec init --version v1.0.0 # 安装指定版本
使用方法
Claude Code
技能在你请求安全扫描或代码审查时自动激活,直接自然对话即可:
扫描我的代码中的安全漏洞
修复项目中的 SQL 注入问题
检查我的身份认证实现是否存在安全问题
Cursor / Windsurf / Antigravity
使用斜杠命令调用技能:
/vibe-security 扫描我的代码中的安全漏洞
/vibe-security 修复项目中的 SQL 注入问题
/vibe-security 检查我的身份认证实现是否存在安全问题
GitHub Copilot
在 VS Code 中使用 Copilot 时,在对话框中输入 / 查看可用提示,然后选择 vibe-security:
/vibe-security 扫描我的代码中的安全漏洞
/vibe-security 修复项目中的 SQL 注入问题
/vibe-security 检查我的身份认证实现是否存在安全问题
示例提示词
- 扫描我的代码中的安全漏洞
- 修复项目中的硬编码密钥
- 检查 SQL 注入漏洞
- 审查我的身份认证实现
- 查找并修复 XSS 漏洞
- 验证安全最佳实践
- 为 Claude 安装安全规范
推荐 AI 模型
最佳安全分析选择
我们推荐以下 AI 模型与 Vibe Security 配合使用,以获得最优的安全漏洞检测和代码修复效果:
Claude Opus 4.5(推荐)
- 最先进的综合安全分析模型
- 卓越的复杂漏洞检测推理能力
- 擅长识别细微安全缺陷和攻击向量
- 最适合关键安全审计、企业级代码库和生产环境部署
- 提供最全面的安全修复策略
Claude Sonnet 4.5
- 速度与安全分析深度的绝佳平衡
- 出色的安全上下文理解和漏洞识别能力
- 提供含详细说明的安全修复策略
- 适合日常开发和大多数安全工作流
Claude Opus 4
- 强大的复杂安全审计和企业级代码库处理能力
- 深度推理能力,适用于高级漏洞分析
- 最适合关键安全审查和合规要求
- 推荐用于生产环境部署和敏感应用
GPT-4o
- 快速高效,适合安全感知代码生成
- 响应速度快,是不错的替代选择
- 优秀的 CI/CD 集成和自动化扫描能力
- 大规模项目的成本效益之选
Claude Sonnet 4
- 快速安全扫描的替代选择
- 速度与准确性的良好平衡
- 适合开发过程中的快速迭代
o1-preview
- 专注于复杂安全架构审查
- 针对复杂漏洞链的高级推理能力
- 最适合安全研究和深度代码审计
GPT-4o-mini
- 快速检查和初步扫描
- 最具成本效益的选择
- 适合学习和教育场景
模型选择指南
| 使用场景 | 最佳模型 | 备选模型 |
|---|---|---|
| 快速安全扫描 | Claude Sonnet 4.5 | GPT-4o |
| 深度安全审计 | Claude Opus 4.5 | Claude Opus 4 |
| 自动修复漏洞 | Claude Opus 4.5 | Claude Sonnet 4.5 |
| 企业合规 | Claude Opus 4.5 | Claude Opus 4 |
| 关键生产审查 | Claude Opus 4.5 | o1-preview |
| 学习安全概念 | Claude Sonnet 4.5 | GPT-4o |
性能建议
- 大型代码库(1000+ 文件): 使用 Claude Sonnet 4 或 GPT-4o 加快扫描速度
- 关键安全审查: 使用 Claude Opus 4.5 配合
--strict模式获得最高全面性 - 生产环境部署: Claude Opus 4.5 提供无与伦比的安全深度
- 日常开发: Claude Sonnet 4.5 提供最佳速度/质量平衡
- 成本优化: 快速检查使用 GPT-4o-mini,修复阶段升级为完整模型
从源码安装
如果你已下载或克隆了源代码:
# 进入 cli 目录
cd vibe-security/cli
# 安装依赖
npm install
# 或使用 bun
bun install
# 构建项目
npm run build
# 或使用 bun
bun run build
# 全局链接(可选)
npm link
# 或使用 bun
bun link
# 现在可以全局使用 vibesec 命令
vibesec --help
下一步: 安装完成后,参照上方快速开始指南为你的 AI 助手安装安全规范并开始扫描。
覆盖的安全类别
- SQL 注入(CWE-89)
- XSS(CWE-79)
- 命令注入(CWE-78)
- 路径遍历(CWE-22)
- CSRF(CWE-352)
- 弱加密(CWE-327)
- 硬编码密钥(CWE-798)
- 身份认证问题(CWE-287)
- 授权缺陷(CWE-285)
- 以及 20+ 种其他漏洞类型
支持的语言
- JavaScript(.js、.jsx、.mjs、.cjs)
- TypeScript(.ts、.tsx)
- Python(.py)
- Java(.java)
- C#(.cs)
- PHP(.php)
- Ruby(.rb)
- Go(.go)
- Rust(.rs)
许可证
本作品采用 CC BY-NC 4.0 授权。
- 个人使用免费 — 可用于非商业目的的使用、修改和分享
- 需要署名 — 分享时须注明"Vibe Security"来源
- 禁止商业使用 — 未经许可不得用于商业目的
以 ❤️ 为 Vibe Coder 安全代码生成而生
🔒 安全第一。始终如此。