北京
AI寫代碼最大的坑不是語(yǔ)法錯(cuò)誤,是自以為懂安全。Claude Code和Copilot用戶最近集體吐槽:讓AI搭個(gè)登錄系統(tǒng),它能給你造出三個(gè)XSS漏洞,JWT解碼寫得像小學(xué)生作文——能跑,但生產(chǎn)環(huán)境不敢用。
Auth0今天甩了個(gè)新工具叫Agent Skills,本質(zhì)是給AI塞本"安全手冊(cè)"。以前AI學(xué)認(rèn)證靠爬GitHub,學(xué)來的代碼參差不齊;現(xiàn)在直接對(duì)接Auth0官方文檔,Claude寫`auth0-react`配置時(shí),會(huì)自動(dòng)調(diào)用經(jīng)過審計(jì)的模板。
開發(fā)者原話很扎心:「我花了兩小時(shí)讓Claude修JWT驗(yàn)證,它給我換了四種錯(cuò)誤寫法。」Agent Skills的做法是把常見坑提前標(biāo)紅——比如禁止把token存在localStorage、強(qiáng)制校驗(yàn)state參數(shù)——AI生成代碼時(shí)直接繞過這些雷區(qū)。
目前支持Claude Code和GitHub Copilot,覆蓋React、Next.js、Python FastAPI等棧。一個(gè)細(xì)節(jié):模板不是靜態(tài)代碼片段,而是帶上下文的決策樹,AI能根據(jù)你的技術(shù)棧自動(dòng)選實(shí)現(xiàn)方案。
首批用上的團(tuán)隊(duì)反饋,認(rèn)證相關(guān)代碼的返工率從40%壓到5%以下。安全工程師的加班時(shí)間,終于不用花在給AI擦屁股上了。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
