让 AI 帮你编写高安全性的移动端代码

解决移动应用开发中的安全漏洞问题：利用 AI 专家级安全编码知识，为 iOS、Android 及跨平台应用提供从输入验证到证书锁定（Certificate Pinning）的全方位安全实现方案。

为什么需要这个技能

移动端应用面临的威胁与 Web 端截然不同。开发者经常在处理本地存储、WebView 交互、深层链接（Deep Links）以及生物识别认证时留下安全漏洞。

如果仅依赖通用编程 AI，可能会得到虽然能运行但缺乏安全加固的代码。本技能将 AI 转化为一名“移动安全编程专家”，它不仅关注功能实现，更会强制执行 OWASP MASVS 等安全标准，确保代码在面对根权限/越狱设备、中间人攻击（MITM）和内存 Dump 时具有更强的防御力。

WebView 加固：需要配置内容安全策略（CSP）、禁用不必要的 JavaScript 权限或实现 URL 白名单。
敏感数据存储：在 iOS 使用 Keychain 或 Android 使用 Keystore 实现加密存储，而非直接写在 Shared Preferences 中。
网络通信安全：实现 HTTPS 强制执行、SSL 证书锁定（Certificate Pinning）以防止流量劫持。
身份验证增强：集成 Face ID/Touch ID 生物识别验证及多因素认证（MFA）。
反逆向工程：配置 ProGuard/R8 混淆，实现根权限（Root/Jailbreak）检测及运行时自保护（RASP）。

需求与环境分析：明确目标平台（iOS/Android/Flutter/React Native）及潜在的威胁模型。
安全模式实施：
- 输入层：实施严格的输入验证和消毒，特别是针对深层链接的参数。
- 存储层：采用平台原生加密存储机制，确保敏感数据不进入备份。
- 传输层：配置网络安全配置文件（Network Security Config），强制执行 TLS。
防御性增强：添加代码混淆、反调试检测及内存清理逻辑。
验证与审计：AI 提供可操作的验证步骤，确保安全控件在运行时切实生效。

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

暂无推荐