如何利用 AI 对 Laravel 应用进行专业的安全审计 #

通过为 AI 设定“安全审计师”角色，使其能够以攻击者的视角审视 Laravel 代码，快速识别 IDOR、越权、SQL 注入等常见安全漏洞并提供修复方案。

为什么需要这个技能 #

在快速迭代的开发过程中，开发者很容易忽略细微的安全漏洞。例如，在 Controller 中直接使用 request()->all() 进行更新，或者忘记在特定接口中添加 Policy 权限校验。

传统的静态扫描工具（SAST）虽然高效，但往往缺乏对业务逻辑的理解，容易产生大量误报。而通过本技能，AI 能结合 Laravel 的框架特性（如 FormRequest、Eloquent 填充保护、Gates 等），在理解业务上下文的同时，精准地指出潜在的风险点及其真实的攻击场景。

适用场景 #

• 代码评审（Code Review）：在合并 PR 前，让 AI 检查新代码是否引入安全漏洞。
• 权限逻辑验证：审计认证（Authentication）与授权（Authorization）流程，防止越权访问。
• 接口安全检查：评估 API 的限流策略、输入验证及敏感数据暴露风险。
• 部署前检查：核查 .env 配置、调试模式（APP_DEBUG）及存储链接的安全设置。

核心工作流 #

AI 将遵循以下审计维度对代码进行深度分析：

1. 输入验证：检查是否使用了 FormRequest，是否存在危险的直接输入赋值，验证规则是否完备。
2. 权限控制：重点检查是否存在 IDOR（不安全的对象直接引用），验证 Policies 或 Gates 是否在 Controller 中正确实施。
3. 数据库安全：审查 $fillable / $guarded 配置，排查原生 SQL 查询是否包含未过滤的用户输入。
4. 文件处理：验证文件上传的 MIME 类型、扩展名及存储路径是否安全，防止可执行文件上传。
5. 配置与部署：确认生产环境下 APP_DEBUG 已关闭，检查 CORS 配置及 HTTPS 强制执行情况。

审计结果输出格式：

• 漏洞描述 $\to$ 风险等级（Critical/High/Medium/Low） $\to$ 攻击场景模拟 $\to$ 修复建议 $\to$ 重构代码示例。

下载和安装 #

下载 laravel-security-audit 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要 #

暂无推荐