azelfeng/AI_code_review_agent

Public

WeChat Login

Code Issues

Pull requests Events Packages Insights

main

AI_code_review_agent/code_review_skills/README.md

godog431<aayou_123@163.com>

docs: 优化所有 README 文档,将快速上手指南提前至文档开头

69a4c35b

PreviewCode viewBlame

Code Review Skills - AI 安全审计规则集

独立可移植的代码安全审计 Skills,兼容主流 AI 编辑器(Cursor / Windsurf / CodeBuddy / Claude Code 等)

🚀 快速开始(3 步上手)

第 1 步:复制到你的项目


# 方法1: 如果你已经克隆了完整仓库
cp -r code_review_skills/ /path/to/your-project/

# 方法2: 只下载这个文件夹(推荐)
git clone --depth 1 --filter=blob:none --sparse https://github.com/azelfeng/AI_code_review_agent.git
cd AI_code_review_agent
git sparse-checkout set code_review_skills
cp -r code_review_skills/ /path/to/your-project/

第 2 步:用 AI 编辑器打开项目

什么都不用配置! 以下编辑器会自动识别:

编辑器	自动识别
Cursor	✅ 自动识别为 Rules
Windsurf	✅ 自动识别为 Rules
CodeBuddy	✅ 自动识别为 Skills
Claude Code	✅ 配置为 Project Knowledge

第 3 步:开始审计

选中代码文件,对 AI 说:


请使用安全审计规则检查这个文件

就这么简单! ✨

📖 详细介绍

本文件夹包含 19 个独立的安全审计 Skill 文件,从 AI_code_review_agent 平台提炼而来。每个文件都是一个自包含的规则模块,采用 YAML Front Matter + Markdown 格式,可直接复制到任意项目根目录使用——无需部署服务、无需数据库、无需额外配置。

将这些 Skills 文件放入项目后,AI 编辑器会自动识别并加载,使你的本地 AI 助手立即具备专业的代码安全审计能力。

设计理念

本文件夹是从 CodeSentinel 安全审计平台中提炼出的独立 Skills 集合。它将平台内嵌的审计知识(系统 Prompt、漏洞检测规则、质疑验证流程、危险函数速查等)拆分为 19 个符合 YAML Front Matter 格式的 Markdown 文件,完全解耦于平台运行时。

这意味着:

零依赖:不需要 MongoDB、Express、Docker 等任何后端基础设施
即插即用:复制文件夹到项目中,AI 编辑器自动识别并加载
模型无关:兼容任何支持 System Prompt / Rules 的 AI 模型和编辑器
可定制:每个 Skill 文件独立,可按需删减或扩展

💡 更多使用方式

方式一:AI 编辑器集成(最推荐)


# 将文件夹复制到你的项目根目录
cp -r code_review_skills/ /path/to/your-project/

# 或者只下载这个文件夹
git clone --depth 1 --filter=blob:none --sparse <repo-url>
cd AI_code_review_agent
git sparse-checkout set code_review_skills
cp -r code_review_skills/ /path/to/your-project/

然后在 AI 编辑器中配置：

编辑器	配置方式
Cursor	将文件夹放在项目根目录，自动识别为 Rules
Windsurf	将文件夹放在项目根目录，自动识别为 Rules
CodeBuddy	将文件夹放在项目根目录，自动识别为 Skills
Claude Code	在对话中引用文件路径，或配置为 Project Knowledge
其他编辑器	将 `.md` 文件内容作为 System Prompt 传入

方法二：API 直接调用

将 Skill 文件内容拼接为 System Prompt，通过 OpenAI 兼容 API 调用：


import os

# 加载 Skills 为 System Prompt
skills_dir = "./code_review_skills"
system_prompt = ""
for f in sorted(os.listdir(skills_dir)):
    if f.endswith(".md") and f != "README.md":
        with open(os.path.join(skills_dir, f)) as fp:
            system_prompt += fp.read() + "\n\n"

# 调用 AI 模型审计代码
response = client.chat.completions.create(
    model="claude-sonnet-4-20250514",
    messages=[
        {"role": "system", "content": system_prompt},
        {"role": "user", "content": f"请审计以下代码：\n```\n{code}\n```"}
    ]
)

方法三：Claude / ChatGPT 网页对话

直接将所需 Skill 文件的内容粘贴到对话框中作为上下文，然后提交待审计代码即可。

文件分类

🔹 基础框架 (必须加载)

文件	类型	说明
`00-system-prompt.md`	Reference	系统级 Prompt — 角色定义、四条铁律、核心原则、判定矩阵、输出格式
`01-audit-workflow.md`	Reference	审计工作流 — 8 步审计流程、项目画像、代码分块策略

🔹 漏洞检测 Skills (可执行检测模块,按需加载)

文件	Skill ID	漏洞类型	CWE	默认严重性	适用语言
`02-sql-injection.md`	scan_sql_injection	SQL 注入	CWE-89	CRITICAL	JS/TS/Py/Java/Go/PHP
`03-xss.md`	scan_xss	跨站脚本	CWE-79	HIGH	JS/TS/Py/Java/PHP
`04-hardcoded-secrets.md`	scan_hardcoded_secrets	硬编码密钥	CWE-798	HIGH	全部语言
`05-command-injection.md`	scan_command_injection	命令注入	CWE-78	CRITICAL	JS/TS/Py/Java/Go/PHP/C/C++
`06-path-traversal.md`	scan_path_traversal	路径遍历	CWE-22	HIGH	JS/TS/Py/Java/Go/PHP/C/C++
`07-ssrf.md`	scan_ssrf	服务端请求伪造	CWE-918	HIGH	JS/TS/Py/Java/Go/PHP
`08-general-security.md`	scan_general	通用安全检测	多种	HIGH	全部语言
`09-memory-safety.md`	scan_memory_safety	内存安全	CWE-120/416/415/401/190/134/476/908	CRITICAL	C/C++/Rust
`13-ssti.md`	scan_ssti	服务端模板注入	CWE-1336	CRITICAL	JS/TS/Py/Java/Go/PHP/Ruby
`14-insecure-jwt.md`	scan_insecure_jwt	不安全的 JWT 实现	CWE-347/326	CRITICAL	全部语言
`15-ldap-injection.md`	scan_ldap_injection	LDAP 注入	CWE-90	HIGH	JS/TS/Py/Java/Go/PHP/C#
`16-open-redirect.md`	scan_open_redirect	开放重定向	CWE-601	MEDIUM	全部语言
`17-http-request-smuggling.md`	scan_http_request_smuggling	HTTP 请求走私	CWE-444	HIGH	全部 Web 后端 + 配置文件
`18-mass-assignment.md`	scan_mass_assignment	Mass Assignment	CWE-915	HIGH	全部 Web 后端

🔹 参考文档 (非可执行,供 AI 参考)

文件	Reference ID	说明	类别
`10-vulnerability-schema.md`	vulnerability_schema	24 种漏洞类型定义 + 完整 JSON Schema	schema
`11-challenge-rules.md`	challenge_rules	四轮质疑验证规则 + 误报模式速查	validation
`12-dangerous-functions.md`	dangerous_functions	6 种语言 + C/C++ + Rust 危险函数速查表	reference

使用建议

全量审计

加载 00 + 01 + 所有 02-09 + 13-18 + 10 + 11 → 对项目进行完整安全审计

针对性审计

Web 项目: 00 + 02(SQL) + 03(XSS) + 04(密钥) + 07(SSRF) + 08(通用) + 13(SSTI) + 14(JWT) + 16(开放重定向) + 18(Mass Assignment)
API 后端: 00 + 02(SQL) + 05(命令注入) + 06(路径遍历) + 07(SSRF) + 14(JWT) + 17(请求走私) + 18(Mass Assignment)
企业应用: 00 + 14(JWT) + 15(LDAP注入) + 16(开放重定向) + 18(Mass Assignment)
C/C++ 项目: 00 + 09(内存安全) + 05(命令注入) + 06(路径遍历)
快速密钥扫描: 00 + 04(硬编码密钥)

文件格式说明

所有 Skill 文件采用 YAML Front Matter + Markdown 格式，兼容主流 AI 编辑器的 Rules 系统：


---
description: Skill 描述
globs: "匹配的文件模式"
alwaysApply: false
---
# Skill 内容

与 CodeSentinel 平台的关系

方面	CodeSentinel 平台	code_review_skills 文件夹
运行方式	完整 Web 应用（Docker 部署）	纯文本文件，零依赖
适用场景	团队协作、批量审计、报告管理	个人开发、IDE 内实时审计
AI 调用	自动化流水线（并发/重试/续审）	手动触发或编辑器自动加载
质疑验证	程序化四轮质疑（自动过滤误报）	规则文档供 AI 参考执行
数据存储	MongoDB 持久化	无需数据库

两者共享同一套审计知识体系，code_review_skills/ 是平台核心知识的可移植提取版。

许可

本 Skills 集合基于 CodeSentinel AI 安全审计平台开源，遵循 Apache License 2.0 许可协议。

35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen

京ICP备11018762号-111