你的Vibe Coding產品還安全嗎?我做了個安全審計Skill,讓AI扮演“黑客”,攻擊產品最薄弱的地方...
整理版優先睇
安全審計 Skill 讓 AI 扮演黑客,幫 Vibe Coding 產品找出漏洞
作者見到羣友嘅網站俾人用 XSS 注入攻擊,先知原來 Vibe Coding 產品可以咁脆弱。XSS 攻擊容許黑客喺網站注入惡意腳本,可以偷 Cookie、盜賬號,甚至呃密碼。作者自己啲產品基本上唔設防,所以決定做返啲安全檢測。
作者冇用傳統審計方法,反而諗到叫 AI 扮演黑客,逆向攻擊自己個應用,揾出破綻再畀修復建議。呢個安全審計 Skill 可以自動適應唔同技術棧(Web、App 等),仲加入提示詞注入檢測,針對而家好多 AI 產品嘅風險。
作者用自己嘅 AI 排版工具做實戰測試,Skill 先掃描技術棧,再出初步報告,最後完整審計。結果真係發現咗一啲安全隱患,作者即刻修復咗。呢個 Skill 已經開源喺 GitHub,大家可以用或者一齊完善。
- Vibe Coding 產品成日忽略安全,XSS 攻擊可以偷 Cookie 同盜賬號,後果嚴重。
- 作者開發咗安全審計 Skill,叫 AI 扮演黑客反方向測試,揾漏洞再畀修復建議。
- 呢個 Skill 自動適應 Web、App 等唔同技術棧,仲包含提示詞注入檢測。
- 用 AI 排版工具實測,成功發現多個安全隱患並修復,證明有效。
- Skill 已經開源,讀者可以免費使用,有問題亦可以提交反饋一齊改進。
mowan-secure-review Skill
開源安全審計 Skill,讓 AI 扮演黑客測試 Vibe Coding 產品漏洞
出事先識驚:XSS 攻擊嚇親我
有日喺羣組見到有位朋友話佢網站俾人用 XSS 注入攻擊,我即刻查嚇係咩嚟。原來如果容許用戶輸入直接顯示喺網頁,黑客可以塞段惡意腳本,然後網站就會執行,例如生成詐騙連結、彈窗呃密碼,或者直接偷 Cookie 盜賬號。
呢一查嚇親我,因為我平時 Vibe Coding 嘅產品基本上係不設防狀態。雖然一般唔會有人攻擊我哋呢啲小卡拉米,但係有備無患嘛,安全無小事。
反客為主:叫 AI 扮黑客審計
所以我同 AI 一拍即合,整咗個 安全審計 Skill。唔係叫佢做常規審計,而係反其道而行,叫佢 扮演黑客角色,主動攻擊我哋嘅應用,揾出可以攻破嘅破綻,之後先提出修復建議。
個 Skill 嘅 Reference 有人設文件,清楚話俾 AI 知佢係邊個。而且佢會 自適應檢測,無論係 Android App、iOS App 定係網站,唔同技術棧嘅漏洞都識得對應。
實戰測試:AI 排版工具安全審計
以我前排做嘅 AI 排版工具(mocheng.mowan.work)做例子,叫 Skill 進行審計。佢首先掃描項目嘅技術棧同結構,跟住既定流程一步步探索。
- 1 掃描技術棧同結構,出第一份初步報告。
- 2 報告話「項目已有啲風控體系,但需要掃描邊界情況同實現細節」。
- 3 我叫佢繼續下一階段,最後完整審計完,出一份 完整審計報告</highlight-inline>。
報告入面真係發現咗一啲安全隱患,我就即刻修復曬。以後做產品怕有安全問題,就可以調用呢個 Skill 做安全審計,安心好多。
開源共創:大家一起更安全
呢個 Skill 我已經 開源 咗,地址係 github.com/limowan/mowan-skill/tree/main/mowan-secure-review。
目前係我同 AI 共創嘅效果,肯定唔及專業程序員,但係有問題可以提交反饋,一齊完善。希望大家嘅 Vibe Coding 產品都可以安全啲,唔好等到出事先後悔。
Part 01
XSS 攻擊初步認識
惡意腳本 · 帳號安全
Part 02
黑客審計思路
逆向攻防 · 自適應
Part 03
排版工具實戰
技術棧 · 風險報告
最後
開源同共創
有備無患 · 一齊完善
最近喺一個羣組入面,見到有位羣友話自己個網站俾 XSS 注入攻擊咗,我作為一個小白,都唔係好明呢啲嘢係乜,就用 AI 查咗嚇。
原來 XSS 注入攻擊,即係容許用戶輸入嘅內容直接顯示喺網頁入面,如果黑客輸入嘅係一段惡意腳本,網站都會照樣執行,咁就好恐怖喇,佢可以整一個詐騙連結,又可以整個彈出視窗呃你輸入密碼同手機號碼,仲有可能直接偷你嘅 Cookie,盜你嘅帳號。
咁一查嚇我一跳,我平時 Vibe Coding 嘅產品,基本上係處於不設防狀態。。。
於是,我就即刻對自己嘅產品做咗一層檢測,包括之前嘅 AI 排版工具(mocheng.mowan.work)。
當然一般嚟講唔會有人嚟攻擊我哋呢啲小角色,但有句話叫做有備無患。
可能目前大多數人 Vibe Coding 嘅時候都唔會考慮安全防護,通常更加專注於實現功能、做好產品體驗,安全冇小事,一旦真係撞到,損失都幾大㗎。
所以我同 AI 一拍即合,做咗個安全審計 Skill。
我唔係叫佢跟常規思路去做安全審計,而係反其道而行,叫佢先扮演黑客角色,攻擊我哋嘅應用,揾可以攻破嘅漏洞,揾到之後再提出修復建議。
我喺 Skill 嘅 Reference 入面有個人設檔案,話俾 AI 知佢係邊個。
一般嚟講,我哋做嘅產品涉及到 Android App、iOS App、網站等等,唔同嘅技術棧漏洞都唔一樣,佢可以自適應檢測,適應各種唔同嘅產品形態。
考慮到而家好多人做 AI 產品,會有提示詞注入攻擊嘅風險,所以加咗防提示詞注入檢測。
 |  |  |
下面以我之前做嘅 AI 排版工具做例子,叫佢對呢個項目進行安全審計。
首先佢會對項目嘅技術棧同結構進行掃描,按照既定流程一步步探索:
接下來會出一份初步報告:
 |  |
佢同我講『項目已經有啲完善嘅風控體系,但需要進一步掃描邊界情況同實現細節。』
我就叫佢繼續進入下一階段。
過咗一陣,審計完咗,會俾我出一份完整嘅審計報告:
可以見到佢都發現咗一啲安全隱患,我就即刻將呢啲問題修復咗。
咁樣以後做產品,我怕安全有問題,就可以召喚呢個 Skill 做做安全審計。
呢個 Skill 我都開源咗,地址喺度:
github.com/limowan/mowan-skill/tree/main/mowan-secure-review
不過,目前呢個係我同 AI 共創嘅,效果肯定唔及專業嘅程式員,大家有問題都可以提交反饋,一齊完善。
同你一齊探索 AI 喺生活入面嘅有趣用法 🌱
👍 點贊 | 👀 在看 | ➤ 轉發 |
Part 01
XSS 攻擊初識
惡意腳本 · 賬號安全
Part 02
黑客審計思路
逆向攻防 · 自適應
Part 03
排版工具實戰
技術棧 · 風險報告
Last
開源與共創
有備無患 · 共完善
最近在一個羣裏,看到有位羣友提到自己的網站被XSS注入攻擊了,我作為個小白,也不太懂這玩意到底是什麼,就用AI查了下。
原來XSS注入攻擊,就是允許用戶輸入的內容直接展示在網頁裏面,如果黑客輸入的是一段惡意腳本,網站也會原樣執行,那這就很可怕了,它可以生成個詐騙連結,也可以生成彈窗騙你輸入密碼和手機號,還可能直接偷你的Cookie,盜你的賬號。
這一查給我嚇一跳,我平時Vibe Coding的產品,基本上處於不設防狀態。。。
於是,我就趕緊對自己的產品做了層檢測,包括前段時間的AI排版工具(mocheng.mowan.work)。
當然一般來說不會有人來攻擊我們這種小卡拉米,但有句話叫有備無患。
可能目前大多數人Vibe Coding的時候都不會去考慮安全防護,一般更多專注於實現功能、做產品體驗,安全無小事,一旦真碰上了,損失還是挺大的。
所以我和AI一拍即合,做了個安全審計Skill。
我不是讓它按照常規思路去做安全審計,而是反其道而行之,讓它先扮演黑客角色,攻擊我們的應用,尋找可以攻破的破綻,找到之後再提出修復建議。
我在Skill的Reference裏有個人設文件,告訴AI它是誰。
一般來說,我們做的產品涉及到安卓App、iOS App、網站等等,不同的技術棧漏洞也不一樣,它能自適應檢測,適應各種不同的產品形態。
考慮到現在很多人做AI產品,會有提示詞注入攻擊的風險,加上了防提示詞注入檢測。
| | |
下面以我前段時間做的AI排版工具為例,讓它對這個項目進行安全審計。
首先它會對項目的技術棧和結構進行掃描,按照既定流程一步步探索:
接下來會出一份初步報告:
| |
它跟我說“項目已有一些完善的風控體系,但需要進一步掃描邊界情況和實現細節。”
我就讓它繼續進入下一階段。
過了一會,審計完了,會給我出一份完整的審計報告:
可以看到它還是發現了一些安全隱患的,我就及時把這些問題修復了。
這樣以後做產品,我怕安全有問題,就可以調用這個Skill做做安全審計。
這個Skill我也開源了,地址在這裏:
github.com/limowan/mowan-skill/tree/main/mowan-secure-review
不過,目前這個屬於我和AI共創的,效果肯定不如專業的程序員,大家有問題也可以提交反饋,一起完善。
和你一起探索 AI 在生活中的有趣用法 🌱
👍 點贊 | 👀 在看 | ➤ 轉發 |