// docs / ai fix prompts
Prompts de corrección con IA
Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.
Cómo funciona
Dos piezas de datos se combinan al hacer clic:
- The finding: el resumen del problema, la superficie afectada, la guía de solución y la evidencia segura necesaria para ayudar a su agente de codificación a solucionarlo.
- Your app context — FixVibe utiliza el contexto de escaneo cuando está disponible para elegir una forma de corrección compatible con el marco y recurre a una receta genérica cuando no puede inferir suficiente contexto.
Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.
Cómo se ve el prompt
Fix the "Reflected XSS in /search?q=" vulnerability at /search.
Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.
Codebase context: Next.js.
Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.
Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
package manager (npm / pnpm / pip / bundle / composer).
Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.htmlFrameworks compatibles
Mostramos snippets específicos por framework para:
- Next.js, React, Vue, Nuxt, Svelte (interfaz)
- Express, Fastify (backend Node.js)
- Django, matraz (Python)
- Rubí sobre rieles
- Laravel (PHP)
- ASP.NET Guía básica de respaldo
El contexto marco es el mejor esfuerzo. Si FixVibe no puede inferir con suficiente seguridad a partir del escaneo, el mensaje le pide a su agente de codificación que inspeccione el repositorio antes de aplicar la solución.
Úsalo desde tu agente de IA
Si conectaste el servidor MCP, el mismo prompt se expone como comando slash. Desde Claude Desktop:
/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000
El servidor busca el hallazgo, aplica el contexto de escaneo disponible, genera el mensaje de solución y lo inserta en su conversación como mensaje de usuario. FixVibe no realiza ninguna llamada de terceros LLM API para este mensaje con plantilla.
Por qué no llamamos a Claude en cada clic
En el lanzamiento consideramos llamar a la API de Anthropic en cada clic para refinar el prompt con contexto del código. No lo hicimos porque:
- El agente donde pegas el prompt ya tiene contexto del código: estás usando Cursor / Claude Desktop con tu repo abierto.
- Las plantillas del lado del servidor cubren las rutas de corrección comunes sin ninguna llamada de modelo por clic.
- Más adelante, una opción “Refinar con IA para mi código” podría disparar la API si los usuarios la quieren. Hoy, no.
