FixVibe

// docs / ai fix prompts

Prompt di correzione AI

Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.

Come funziona

Al clic si combinano due pezzi di dati:

  • The finding: riepilogo del problema, superficie interessata, indicazioni per la risoluzione e prove sicure necessarie per aiutare l'agente di codifica a risolverlo.
  • Your app context — FixVibe utilizza il contesto di scansione quando disponibile per scegliere una forma di riparazione compatibile con il framework e ricorre a una ricetta generica quando non riesce a dedurre un contesto sufficiente.

Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.

Com'è fatto il prompt

Fix the "Reflected XSS in /search?q=" vulnerability at /search.

Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.

Codebase context: Next.js.

Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.

Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
  fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
  package manager (npm / pnpm / pip / bundle / composer).

Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html

Framework supportati

Mostriamo snippet specifici per framework per:

  • Next.js, React, Vue, Nuxt, Svelte (frontend)
  • Express, Fastify (backend Node.js)
  • Django, Pallone (Python)
  • Rubino sui binari
  • Laravel (PHP)
  • ASP.NET Linee guida di fallback principali

Il contesto del framework è il massimo sforzo. Se FixVibe non riesce a dedurre in modo sufficientemente sicuro dalla scansione, il messaggio chiede all'agente di codifica di ispezionare il repository prima di applicare la correzione.

Usalo dal tuo agente AI

Se hai collegato il server MCP, lo stesso prompt è esposto come comando slash. Da Claude Desktop:

/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000

Il server cerca il risultato, applica il contesto di scansione disponibile, visualizza la richiesta di riparazione e la inserisce nella conversazione come messaggio utente. Nessuna chiamata di terze parti LLM API viene effettuata da FixVibe per questo prompt basato su modello.

Perché non chiamiamo Claude a ogni clic

Al lancio abbiamo considerato di chiamare la Anthropic API a ogni clic per rifinire il prompt con il contesto del codebase. Non l'abbiamo fatto, perché:

  • L'agente in cui l'utente incolla il prompt ha già il contesto del codebase: sta usando Cursor / Claude Desktop con il repo aperto.
  • I modelli lato server coprono i percorsi di correzione comuni senza alcuna chiamata al modello per clic.
  • Un opt-in “Rifinisci con AI per il mio codebase” potrebbe chiamare l'API più avanti se gli utenti lo vogliono. Oggi no.
Prompt di correzione AI — Docs · FixVibe