版本:2.90.1
name: sec-context-depth description: 使用27个sec-context反模式进行全面的AI代码安全审查。当怀疑安全漏洞时,尤其是在AI生成的代码中,用于代码审查。 allowed-tools: 读取,全局搜索,搜索,Bash
Sec-Context Depth: AI代码安全反模式审查
v2.90.1变化
- 参考驱动:使用带有BAD/GOOD完整示例的本地参考文件
- 模型无关:与任何配置的模型兼容
- 无需标志:使用配置的默认模型
对AI生成的代码进行全面的安全审查,检测27个安全反模式。
基于:Arcanum-Sec/sec-context 来源:150+安全研究资源,OWASP,CWE
强制:首先加载参考文件
在分析任何代码之前,必须读取包含完整检测模式和BAD/GOOD示例的本地参考文件:
-
广度参考(全面覆盖所有27个模式):
读取:.claude/skills/sec-context-depth/references/ANTI_PATTERNS_BREADTH.md -
深度参考(深入7个最关键的模式):
读取:.claude/skills/sec-context-depth/references/ANTI_PATTERNS_DEPTH.md
这些文件包含:
- 伪代码BAD示例(要检测的内容)
- 伪代码GOOD示例(安全替代方案)
- CWE标识符和严重性评分
- 攻击场景和利用技术
- AI模型经常忽略的边缘情况
不要仅依赖此SKILL.md —— 下面的模式标题仅为索引。实际检测逻辑在参考文件中。
执行步骤
- 读取上述两个参考文件
- 全局搜索目标文件:
全局搜索模式="src/**/*.{ts,js,py,java,go}"(根据目标调整) - 搜索每个反模式使用参考中的BAD示例
- 报告按优先级(P0 → P2)组织的发现
统计(为什么这很重要)
- 86% XSS失败率在AI生成的代码中
- 72%的Java AI代码包含漏洞
- AI代码2.74倍更有可能有XSS漏洞
- 81%的组织已经发布了有漏洞的AI生成代码
- 5-21%的AI建议的包不存在(slopsquatting)
优先级分类
| 优先级 | 分数 | 行动 | 计数 |
|---|---|---|---|
| P0 严重 | 21-24 | 阻塞 - 合并前必须修复 | 13个模式 |
| P1 高 | 18-20 | 阻塞 - 合并前应修复 | 8个模式 |
| P2 中等 | 15-17 | 咨询 - 如果可行,审查并修复 | 6个模式 |
模式索引(详细信息在参考文件中)
P0:严重(13)
| # | 模式 | CWE | 分数 |
|---|---|---|---|
| 1 | 硬编码秘密 | CWE-798 | 23 |
| 2 | API密钥前缀 | CWE-798 | 23 |
| 3 | 私钥 | CWE-321 | 23 |
| 4 | SQL注入 - 字符串连接 | CWE-89 | 22 |
| 5 | SQL注入 - f-string | CWE-89 | 22 |
| 6 | 命令注入 | CWE-78 | 21 |
| 7 | 命令注入 - 连接 | CWE-78 | 21 |
| 8 | XSS - innerHTML | CWE-79 | 23 |
| 9 | XSS - document.write | CWE-79 | 23 |
| 10 | XSS - React不安全 | CWE-79 | 23 |
| 11 | NoSQL注入 | CWE-943 | 22 |
| 12 | 模板注入SSTI | CWE-1336 | 22 |
| 13 | 硬编码加密密钥 | CWE-798 | 22 |
P1:高(8)
| # | 模式 | CWE | 分数 |
|---|---|---|---|
| 14 | JWT无算法 | CWE-287 | 22 |
| 15 | 弱哈希MD5/SHA1 | CWE-327 | 20 |
| 16 | ECB模式 | CWE-327 | 20 |
| 17 | DES/RC4 | CWE-327 | 20 |
| 18 | 不安全的随机 | CWE-330 | 18 |
| 19 | 路径遍历 | CWE-22 | 20 |
| 20 | LDAP注入 | CWE-90 | 20 |
| 21 | XPath注入 | CWE-643 | 20 |
P2:中等(6)
| # | 模式 | CWE | 分数 |
|---|---|---|---|
| 22 | 开放CORS | CWE-346 | 17 |
| 23 | 详细错误 | CWE-209 | 16 |
| 24 | 不安全的临时文件 | CWE-377 | 16 |
| 25 | 未经验证的重定向 | CWE-601 | 16 |
| 26 | 不安全的反序列化 | CWE-502 | 18 |
| 27 | 调试模式 | CWE-489 | 15 |
检测清单
在审查代码时,系统检查:
- [ ] 秘密:环境变量,不硬编码
- [ ] 查询:参数化,不连接
- [ ] 命令:数组参数,shell=False
- [ ] HTML:textContent/sanitized,不innerHTML
- [ ] 加密:现代算法(AES-GCM,bcrypt)
- [ ] 随机:加密源
- [ ] 文件:路径验证,安全临时
- [ ] 错误:生产中的通用消息
- [ ] 认证:会话再生,速率限制
输出格式
# Sec-Context Depth审计报告
## 摘要
- 扫描文件:N
- 发现:X(P0:N,P1:N,P2:N)
## P0严重发现
### [模式名称](CWE-XXX) - 文件:行
- **BAD**:[代码片段]
- **GOOD**:[来自参考的安全替代方案]
- **影响**:[描述]
## P1高发现
...
## P2中等发现
...
## 建议
1. ...
与Hook集成
sec-context-validate.sh钩子自动检查每次编辑/写入操作中的这27个模式,通过PostToolUse。
相关技能
- /adversarial - 对抗性规范细化
- /security - 安全审计
- /gates - 质量门验证