这个 GitHub 爆火的安全审查 Skill 到底能干嘛?实测来了
本文介绍的 Skill 搬运自 GitHub 高星项目 affaan-m/everything-claude-code,已翻译成中文并开源至 awesome-ai-agent-skills-zh。
一句话总结
Security Review Skill 是一个面向 AI 编码助手的安全审查指南,覆盖密钥管理、输入验证、SQL 注入防护、认证授权、XSS/CSRF 防护、速率限制、敏感数据保护、区块链安全和依赖安全等 10 大核心领域,附带完整的验证清单和代码示例。让 AI 在帮你写代码的同时,也能帮你守住安全底线。
原始项目简介
- 项目名称:everything-claude-code(ECC)
- GitHub 地址:https://github.com/affaan-m/everything-claude-code
- Star 数:168,000+ ⭐
- 语言:JavaScript / TypeScript
- 许可证:MIT
这个项目是目前 GitHub 上最全面的 AI 编码助手 Skill 集合之一,涵盖了从 API 设计、后端模式、前端设计到安全审查等 40+ 个 Skill。Security Review 是其中最实用的 Skill 之一。
为什么你需要这个 Skill?
AI 编码助手(Claude Code、Codex、Cursor 等)能大幅提升开发效率,但它们有一个致命弱点:默认不关注安全问题。AI 生成的代码可能包含:
- 硬编码的 API 密钥和数据库密码
- 字符串拼接的 SQL 查询(SQL 注入风险)
- 直接渲染用户提供的 HTML(XSS 攻击面)
- 存储在 localStorage 中的 JWT 令牌
- 暴露内部错误详情和堆栈跟踪
Security Review Skill 就是为了解决这些问题而设计的。它以结构化的 SKILL.md 格式提供安全知识,AI Agent 在遇到相关场景时会自动激活,按照检查清单逐一验证代码安全性。
核心功能 / 10 大检查域
| 序号 | 检查域 | 核心内容 | 适用场景 |
|---|---|---|---|
| 1 | 密钥管理 | 环境变量存储、禁止硬编码、.gitignore 配置 | 所有涉及 API 密钥、数据库密码、第三方服务的代码 |
| 2 | 输入验证 | Zod 模式验证、文件上传三重校验(大小/类型/扩展名) | 表单提交、文件上传、API 接收数据 |
| 3 | SQL 注入防护 | 参数化查询、Supabase 安全查询、ORM 正确使用 | 所有数据库操作 |
| 4 | 认证与授权 | httpOnly cookies、JWT 安全存储、行级安全(RLS)、角色检查 | 用户登录、权限控制、敏感操作 |
| 5 | XSS 防护 | DOMPurify HTML 净化、CSP 响应头配置 | 用户内容展示、富文本编辑器 |
| 6 | CSRF 防护 | CSRF 令牌验证、SameSite=Strict cookies | 表单提交、状态变更操作 |
| 7 | 速率限制 | API 全局限流、高消耗操作严格限制 | 搜索接口、登录接口、公开 API |
| 8 | 敏感数据泄露 | 日志脱敏、通用错误消息、禁止堆栈暴露 | 日志记录、错误处理、生产环境 |
| 9 | 区块链安全 | Solana 钱包签名验证、交易校验 | Web3 应用、加密货币交易 |
| 10 | 依赖安全 | npm audit 定期扫描、锁定文件提交、Dependabot | 所有 Node.js 项目 |
安装与使用方法
方式一:直接集成到 AI 编码助手
将 skills/security-review/ 目录复制到你的项目根目录下的 .agents/skills/ 或 .claude/skills/ 中:
# 假设你已经克隆了 awesome-ai-agent-skills-zhcp -r awesome-ai-agent-skills-zh/skills/security-review /你的项目/.agents/skills/方式二:在 Claude Code / Codex 中使用
在 Claude Code 中,Skill 会自动被发现。当你执行以下操作时,Skill 会自动激活:
- 编写认证相关代码
- 处理用户输入
- 创建 API 端点
- 操作数据库
方式三:手动触发
你也可以手动告诉 AI:“请用 security-review skill 审查这段代码”,它会按照检查清单逐一扫描。
实际使用示例
假设你让 AI 写一个用户注册 API,Security Review Skill 会引导 AI 做到以下几点:
1. 输入验证
AI 会自动使用 Zod 模式验证用户输入:
import { z } from 'zod'
const RegisterSchema = z.object({ email: z.string().email(), password: z.string().min(8).max(128), name: z.string().min(1).max(100)})2. 密码安全
不会在日志中记录密码:
// ✅ 正确做法console.log('用户注册:', { email, userId })// ❌ 错误做法(会被 Skill 拦截)console.log('用户注册:', { email, password })3. 数据库安全
使用参数化查询而非字符串拼接:
// ✅ 安全await db.query('INSERT INTO users (email, name) VALUES ($1, $2)', [email, name])// ❌ 危险(SQL 注入风险)await db.query(`INSERT INTO users (email, name) VALUES ('${email}', '${name}')`)适用场景
✅ 推荐使用:
- 任何涉及用户数据的 Web 应用
- API 开发和后端服务
- 前端表单和文件上传功能
- 支付系统集成
- 第三方 API 集成
- Web3 / 区块链应用
❌ 不适用场景:
- 纯前端静态页面(无用户输入)
- 内网工具(无外部访问)
- 原型/一次性脚本(但养成好习惯总是好的)
与其他同类 Skill 的对比
| 对比维度 | Security Review (本 Skill) | OWASP Checklist | SonarQube |
|---|---|---|---|
| 格式 | Markdown SKILL.md | PDF/网页 | SAST 工具 |
| AI 友好度 | ⭐⭐⭐⭐⭐ 直接可读 | ⭐⭐ 需人工解读 | ⭐⭐⭐ 需配置 |
| 代码示例 | ✅ 包含完整 TypeScript 示例 | ❌ 仅概念说明 | ✅ 自动扫描 |
| 检查项数量 | 10 大域 + 50+ 检查点 | 10 大类 | 500+ 规则 |
| 部署前清单 | ✅ 17 项完整清单 | ❌ 无 | ❌ 无 |
| 中文支持 | ✅ 已翻译 | ❌ 英文 | ❌ 英文 |
个人评价
推荐指数:⭐⭐⭐⭐⭐(5/5)
这个 Skill 的价值在于:
- 实用性极强:每个检查项都有具体的代码示例和验证步骤,不是空洞的理论
- 覆盖面广:从基础的密钥管理到区块链安全,几乎涵盖了所有常见的安全场景
- AI 友好:结构化的 SKILL.md 格式让 AI 能精确理解何时激活、如何检查
- 部署前清单:17 项部署前检查清单是一个亮点,可以作为团队的 CI/CD 流程参考
- 持续更新:原始项目有 16.8 万星,维护活跃,安全内容会随 OWASP 更新而同步
唯一的小遗憾是区块链安全部分相对较简单,只覆盖了 Solana。如果你的项目涉及其他链(Ethereum、Polygon 等),可能需要自行补充相关内容。
总结
在 AI 辅助编码的时代,安全不能交给运气。Security Review Skill 为你的 AI Agent 提供了一个内置的安全专家,在你写每一行代码时默默守护。把它加入你的工具链,你会发现 AI 生成的代码质量有明显提升。
- 📦 Skill 中文翻译:https://gitee.com/wyb_001/awesome-ai-agent-skills-zh
- 🌐 原始项目:https://github.com/affaan-m/everything-claude-code
- 💬 有问题欢迎交流
文章分享
如果这篇文章对你有帮助,欢迎分享给更多人!
音乐
暂未播放