让 AI 像专家一样自动扫描代码漏洞 #

解决传统扫描器误报多、缺乏上下文的痛点：通过引入"假设被攻破”的威胁建模思维，让 AI 结合资产价值与攻击面数据，精准识别并优先处理高危漏洞。

为什么需要这个技能 #

开发过程中，仅凭经验很难发现所有安全隐患。传统的自动化工具往往只罗列 CVE 列表，缺乏对"0day 可利用性”或"CI/CD 管道被污染”等深层风险的判断。

本技能融合了 2025 年 OWASP 指南（包括供应链安全 A03 和异常条件 A10），教 AI 如何像资深安全专家一样思考。它不仅列出问题，还评估业务影响，告诉你是应该立即修补还是暂缓，极大降低误报干扰。

适用场景 #

• 代码提交前的快速安全自查（SAST 辅助）。
• 分析依赖包更新是否引入新的攻击面。
• 评估云环境下的 IAM 权限与存储桶配置风险。
• 整理审计报告，区分紧急阻断型漏洞与最佳实践建议。

核心工作流 #

1. 建立威胁模型：明确保护资产（数据、用户会话），识别潜在攻击者及其常用手段（如 SQL 注入、SSRF）。
2. 执行扫描脚本：运行 scripts/security_scan.py 对指定项目路径进行全量分析，覆盖静态代码检查。
3. 风险分级决策：根据 CVSS 评分、EPSS 利用概率及资产重要性进行加权。
   • 高危（CRITICAL）：如远程代码执行（RCE）或授权绕过，需立即阻断。
   • 高（HIGH）：敏感数据泄露风险，优先处理。
   • 中/低：配合上下文调整，避免过度恐慌。
4. 输出修复报告：包含复现步骤、根本原因分析及具体重构建议。

参考命令与清单 #

# 对指定项目路径执行安全扫描
python scripts/security_scan.py <project_path>

# 查看最新的检查清单（包含 OWASP Top 10 及 2025 新增项）
check checklists.md

检查清单涵盖了认证失败、加密失效、路径遍历及错误的异常处理等关键领域。注意关注"Fail-Open"（错误时开放）等反模式，确保系统在故障时默认拒绝访问。

下载和安装 #

下载 vulnerability-scanner 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，确保 checklists.md 和 scripts 目录与主目录平级。重启工具后即可在对话中调用该技能进行安全审计。

你可能还需要 #

暂无推荐