FixVibe

// docs / ai fix prompts

KI-Fix-Prompts

Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.

So funktioniert es

Beim Klick werden zwei DatenstĂŒcke kombiniert:

  • The finding – die Problemzusammenfassung, die betroffene OberflĂ€che, Hinweise zur Behebung und sichere Beweise, die Sie benötigen, um Ihrem Coding-Agenten bei der Behebung zu helfen.
  • Your app context – FixVibe verwendet den Scan-Kontext, sofern verfĂŒgbar, um eine Framework-fĂ€hige Behebungsform auszuwĂ€hlen, und greift auf ein generisches Rezept zurĂŒck, wenn es nicht genĂŒgend Kontext ableiten kann.

Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.

Wie der Prompt aussieht

Fix the "Reflected XSS in /search?q=" vulnerability at /search.

Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.

Codebase context: Next.js.

Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.

Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
  fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
  package manager (npm / pnpm / pip / bundle / composer).

Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html

UnterstĂŒtzte Frameworks

Wir zeigen framework-spezifische Snippets fĂŒr:

  • Next.js, React, Vue, Nuxt, Svelte (Frontend)
  • Express, Fastify (Node.js Backend)
  • Django, Flasche (Python)
  • Ruby auf Schienen
  • Laravel (PHP)
  • ASP.NET Kern-Fallback-Anleitung

Rahmenkontext ist Best-Effort. Wenn FixVibe aus dem Scan keine ausreichenden sicheren Schlussfolgerungen ziehen kann, fordert die Eingabeaufforderung Ihren Codierungsagenten auf, das Repository zu ĂŒberprĂŒfen, bevor er den Fix anwendet.

Aus deinem KI-Agenten verwenden

Wenn du den MCP-Server eingerichtet hast, ist derselbe Prompt als Slash-Command verfĂŒgbar. Aus Claude Desktop:

/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000

Der Server sucht nach dem Ergebnis, wendet den verfĂŒgbaren Scan-Kontext an, rendert die Aufforderung zur Behebung und fĂŒgt sie als Benutzernachricht in Ihre Konversation ein. FĂŒr diese vorgefertigte Eingabeaufforderung wird von FixVibe kein Anruf Dritter LLM API getĂ€tigt.

Warum wir Claude nicht pro Klick aufrufen

Beim Launch haben wir ĂŒberlegt, bei jedem Klick die Anthropic API aufzurufen, um den Prompt mit Codebase-Kontext zu verfeinern. Wir haben es nicht getan, weil:

  • Der Agent, in den du einfĂŒgst, hat bereits Codebase-Kontext: Du nutzt Cursor / Claude Desktop mit geöffnetem Repo.
  • Serverseitiges Templating deckt die gĂ€ngigen Korrekturpfade ab, ohne dass ein Modellaufruf pro Klick erforderlich ist.
  • Ein Opt-in „Mit KI fĂŒr meine Codebase verfeinern“ könnte spĂ€ter die API aufrufen, wenn Nutzer das möchten. Heute: nein.
KI-Fix-Prompts — Docs · FixVibe