最近在一个群里,看到有位群友提到自己的网站被XSS注入攻击了,我作为个小白,也不太懂这玩意到底是什么,就用AI查了下。
原来XSS注入攻击,就是允许用户输入的内容直接展示在网页里面,如果黑客输入的是一段恶意脚本,网站也会原样执行,那这就很可怕了,它可以生成个诈骗链接,也可以生成弹窗骗你输入密码和手机号,还可能直接偷你的Cookie,盗你的账号。
这一查给我吓一跳,我平时Vibe Coding的产品,基本上处于不设防状态。。。
于是,我就赶紧对自己的产品做了层检测,包括前段时间的AI排版工具(mocheng.mowan.work)。
当然一般来说不会有人来攻击我们这种小卡拉米,但有句话叫有备无患。
可能目前大多数人Vibe Coding的时候都不会去考虑安全防护,一般更多专注于实现功能、做产品体验,安全无小事,一旦真碰上了,损失还是挺大的。
所以我和AI一拍即合,做了个安全审计Skill。
我不是让它按照常规思路去做安全审计,而是反其道而行之,让它先扮演黑客角色,攻击我们的应用,寻找可以攻破的破绽,找到之后再提出修复建议。
我在Skill的Reference里有个人设文件,告诉AI它是谁。
一般来说,我们做的产品涉及到安卓App、iOS App、网站等等,不同的技术栈漏洞也不一样,它能自适应检测,适应各种不同的产品形态。
考虑到现在很多人做AI产品,会有提示词注入攻击的风险,加上了防提示词注入检测。
下面以我前段时间做的AI排版工具为例,让它对这个项目进行安全审计。
首先它会对项目的技术栈和结构进行扫描,按照既定流程一步步探索:
接下来会出一份初步报告:
它跟我说"项目已有一些完善的风控体系,但需要进一步扫描边界情况和实现细节。"
我就让它继续进入下一阶段。
过了一会,审计完了,会给我出一份完整的审计报告:
可以看到它还是发现了一些安全隐患的,我就及时把这些问题修复了。
这样以后做产品,我怕安全有问题,就可以调用这个Skill做做安全审计。
这个Skill我也开源了,地址在这里:
github.com/limowan/mowan-skill/tree/main/mowan-secure-review
不过,目前这个属于我和AI共创的,效果肯定不如专业的程序员,大家有问题也可以提交反馈,一起完善。