FixVibe

// docs / ai fix prompts

AI 修正プロンプト

Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.

仕組み

クリック時に2つのデータが組み合わさります。

  • The finding — 問題の概要、影響を受ける表面、修復ガイダンス、およびコーディング エージェントが問題を修正するのに必要な安全な証拠。
  • Your app context — FixVibe は、フレームワーク対応の修復形式を選択できる場合はスキャン コンテキストを使用し、十分なコンテキストを推測できない場合は汎用レシピにフォールバックします。

Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.

プロンプトの見た目

Fix the "Reflected XSS in /search?q=" vulnerability at /search.

Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.

Codebase context: Next.js.

Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.

Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
  fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
  package manager (npm / pnpm / pip / bundle / composer).

Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html

対応フレームワーク

次のフレームワーク向けのスニペットを表示します。

  • Next.js、React、Vue、Nuxt、Svelte(フロントエンド)
  • Express、Fastify(Node.js バックエンド)
  • Django、Flask(Python)
  • ルビー・オン・レール
  • Laravel(PHP)
  • ASP.NET コア フォールバック ガイダンス

フレームワークのコンテキストはベストエフォート型です。 FixVibe がスキャンから十分に安全に推論できない場合、修正を適用する前にコーディング エージェントにリポジトリを検査するようプロンプトが表示されます。

AI エージェントから使う

MCP server を接続している場合、同じプロンプトがスラッシュコマンドとして公開されます。Claude Desktop からは次のように使います。

/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000

サーバーは検出結果を検索し、利用可能なスキャン コンテキストを適用し、修復プロンプトを表示して、それをユーザー メッセージとして会話に挿入します。このテンプレート化されたプロンプトに対して、FixVibe によってサードパーティの LLM API 呼び出しは行われません。

クリックごとに Claude を呼ばない理由

ローンチ時には、コードベースの文脈でプロンプトを洗練するため、クリックごとに Anthropic API を呼ぶことも検討しました。そうしなかった理由は次のとおりです。

  • ユーザーが貼り付ける先のエージェントには、すでにコードベースの文脈があります。Cursor / Claude Desktop でリポジトリを開いて使っているためです。
  • サーバー側のテンプレートは、クリックごとのモデル呼び出しを行わずに、一般的な修復パスをカバーします。
  • ユーザーが望む場合、将来的に「自分のコードベース向けに AI で洗練する」オプトインで API を呼べます。現時点では呼びません。
AI 修正プロンプト — Docs · FixVibe