FixVibe

// docs / ai fix prompts

AI-подсказки для исправлений

Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.

Как это работает

При клике объединяются две части данных:

  • The finding — краткое описание проблемы, затронутая поверхность, рекомендации по устранению и безопасные доказательства, необходимые для того, чтобы помочь вашему агенту кодирования исправить ее.
  • Your app context — FixVibe использует контекст сканирования, когда он доступен, для выбора формы исправления с учетом платформы и возвращается к общему рецепту, когда не может вывести достаточный контекст.

Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.

Как выглядит prompt

Fix the "Reflected XSS in /search?q=" vulnerability at /search.

Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.

Codebase context: Next.js.

Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.

Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
  fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
  package manager (npm / pnpm / pip / bundle / composer).

Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html

Поддерживаемые фреймворки

Мы показываем framework-specific snippets для:

  • Next.js, React, Vue, Nuxt, Svelte (интерфейс)
  • Express, Fastify (бэкэнд Node.js)
  • Джанго, Flask (Python)
  • Рубин на рельсах
  • Ларавел (PHP)
  • ASP.NET Основные резервные рекомендации

Контекст фреймворка является лучшим из возможных. Если FixVibe не может сделать достаточно безопасный вывод из сканирования, в подсказке вашему агенту кодирования будет предложено проверить репозиторий перед применением исправления.

Используй это из своего AI-агента

Если ты подключил MCP-сервер, та же подсказка доступна как slash command. Из Claude Desktop:

/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000

Сервер ищет результаты, применяет доступный контекст сканирования, отображает запрос на исправление и вставляет его в ваш разговор в качестве пользовательского сообщения. FixVibe не выполняет никаких сторонних вызовов LLM API для этого шаблонного приглашения.

Почему мы не дергаем Claude при каждом клике

На запуске мы рассматривали вызов Anthropic API при каждом клике, чтобы уточнять prompt с учетом codebase context. Мы этого не сделали, потому что:

  • Agent, в который пользователь вставляет prompt, уже имеет codebase context — ты используешь Cursor / Claude Desktop с открытым repo.
  • Шаблоны на стороне сервера охватывают общие пути исправления без какого-либо вызова модели для каждого щелчка.
  • Opt-in «Refine with AI for my codebase» может позже вызывать API, если пользователи захотят. Сегодня — нет.
AI-подсказки для исправлений — Docs · FixVibe