Claude Code安全审计Skill开源
kemalios · reddit · 2026-07-13
作者做 web 开发和 SEO,经常接到客户用 Lovable、Bolt、Cursor 等 AI 工具做出来的项目,然后找人“把它做成真的”。他发现大量项目都有同一个致命问题:看起来完成了,但只要改一个 URL,可能就会暴露所有用户数据,且没人能察觉。 最常见的漏洞是: - Supabase 表没有开启 row-level security,匿名访问者能直接读写所有行; - `service_role` key 被 `VITE_` 前缀带进前端包里,绕过 RLS。 作者认为,AI 编码工具擅长“让它跑起来”,但不会主动区分“这是设计允许的”与“这是严重安全问题”。于是他把自己的审计清单做成了 Claude Code skill:自动识别项目栈,检查前端、后端/数据、认证/安全、基础设施和恢复/运维五个域,输出带文件路径的分数卡和修复清单,修完再跑一遍直到从 0/5 变绿。 他强调,skill 的价值不在“更聪明”,而在于改变默认行为:凡是无法验证的项都保持人工复核,用户自己说“没问题”也不会被自动算绿;固定 rubric 让每次评分可比较、可追踪。项目是 MIT 开源,可直接安装到 Claude Code。