// docs / ai fix prompts
Prompt di correzione AI
Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.
Come funziona
Al clic si combinano due pezzi di dati:
- The finding: riepilogo del problema, superficie interessata, indicazioni per la risoluzione e prove sicure necessarie per aiutare l'agente di codifica a risolverlo.
- Your app context — FixVibe utilizza il contesto di scansione quando disponibile per scegliere una forma di riparazione compatibile con il framework e ricorre a una ricetta generica quando non riesce a dedurre un contesto sufficiente.
Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.
Com'è fatto il prompt
Fix the "Reflected XSS in /search?q=" vulnerability at /search.
Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.
Codebase context: Next.js.
Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.
Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
package manager (npm / pnpm / pip / bundle / composer).
Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.htmlFramework supportati
Mostriamo snippet specifici per framework per:
- Next.js, React, Vue, Nuxt, Svelte (frontend)
- Express, Fastify (backend Node.js)
- Django, Pallone (Python)
- Rubino sui binari
- Laravel (PHP)
- ASP.NET Linee guida di fallback principali
Il contesto del framework è il massimo sforzo. Se FixVibe non riesce a dedurre in modo sufficientemente sicuro dalla scansione, il messaggio chiede all'agente di codifica di ispezionare il repository prima di applicare la correzione.
Usalo dal tuo agente AI
Se hai collegato il server MCP, lo stesso prompt è esposto come comando slash. Da Claude Desktop:
/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000
Il server cerca il risultato, applica il contesto di scansione disponibile, visualizza la richiesta di riparazione e la inserisce nella conversazione come messaggio utente. Nessuna chiamata di terze parti LLM API viene effettuata da FixVibe per questo prompt basato su modello.
Perché non chiamiamo Claude a ogni clic
Al lancio abbiamo considerato di chiamare la Anthropic API a ogni clic per rifinire il prompt con il contesto del codebase. Non l'abbiamo fatto, perché:
- L'agente in cui l'utente incolla il prompt ha già il contesto del codebase: sta usando Cursor / Claude Desktop con il repo aperto.
- I modelli lato server coprono i percorsi di correzione comuni senza alcuna chiamata al modello per clic.
- Un opt-in “Rifinisci con AI per il mio codebase” potrebbe chiamare l'API più avanti se gli utenti lo vogliono. Oggi no.
