// docs / ai fix prompts
KI-Fix-Prompts
Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.
So funktioniert es
Beim Klick werden zwei DatenstĂŒcke kombiniert:
- The finding â die Problemzusammenfassung, die betroffene OberflĂ€che, Hinweise zur Behebung und sichere Beweise, die Sie benötigen, um Ihrem Coding-Agenten bei der Behebung zu helfen.
- Your app context â FixVibe verwendet den Scan-Kontext, sofern verfĂŒgbar, um eine Framework-fĂ€hige Behebungsform auszuwĂ€hlen, und greift auf ein generisches Rezept zurĂŒck, wenn es nicht genĂŒgend Kontext ableiten kann.
Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.
Wie der Prompt aussieht
Fix the "Reflected XSS in /search?q=" vulnerability at /search.
Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.
Codebase context: Next.js.
Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.
Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
package manager (npm / pnpm / pip / bundle / composer).
Reference: CWE-79 â see https://cwe.mitre.org/data/definitions/79.htmlUnterstĂŒtzte Frameworks
Wir zeigen framework-spezifische Snippets fĂŒr:
- Next.js, React, Vue, Nuxt, Svelte (Frontend)
- Express, Fastify (Node.js Backend)
- Django, Flasche (Python)
- Ruby auf Schienen
- Laravel (PHP)
- ASP.NET Kern-Fallback-Anleitung
Rahmenkontext ist Best-Effort. Wenn FixVibe aus dem Scan keine ausreichenden sicheren Schlussfolgerungen ziehen kann, fordert die Eingabeaufforderung Ihren Codierungsagenten auf, das Repository zu ĂŒberprĂŒfen, bevor er den Fix anwendet.
Aus deinem KI-Agenten verwenden
Wenn du den MCP-Server eingerichtet hast, ist derselbe Prompt als Slash-Command verfĂŒgbar. Aus Claude Desktop:
/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000
Der Server sucht nach dem Ergebnis, wendet den verfĂŒgbaren Scan-Kontext an, rendert die Aufforderung zur Behebung und fĂŒgt sie als Benutzernachricht in Ihre Konversation ein. FĂŒr diese vorgefertigte Eingabeaufforderung wird von FixVibe kein Anruf Dritter LLM API getĂ€tigt.
Warum wir Claude nicht pro Klick aufrufen
Beim Launch haben wir ĂŒberlegt, bei jedem Klick die Anthropic API aufzurufen, um den Prompt mit Codebase-Kontext zu verfeinern. Wir haben es nicht getan, weil:
- Der Agent, in den du einfĂŒgst, hat bereits Codebase-Kontext: Du nutzt Cursor / Claude Desktop mit geöffnetem Repo.
- Serverseitiges Templating deckt die gÀngigen Korrekturpfade ab, ohne dass ein Modellaufruf pro Klick erforderlich ist.
- Ein Opt-in âMit KI fĂŒr meine Codebase verfeinernâ könnte spĂ€ter die API aufrufen, wenn Nutzer das möchten. Heute: nein.
