// docs / ai fix prompts
AI 修復提示
Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.
運作方式
點擊時會結合兩份資料:
- The finding — 問題摘要、受影響的表面、修復指南以及幫助您的編碼代理修復問題所需的安全證據。
- Your app context - FixVibe 在可用時使用掃描上下文來選擇框架感知的修復形狀,並在無法推斷足夠的上下文時回退到通用配方。
Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.
提示長什麼樣
Fix the "Reflected XSS in /search?q=" vulnerability at /search.
Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.
Codebase context: Next.js.
Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.
Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
package manager (npm / pnpm / pip / bundle / composer).
Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html支援的框架
我們會針對以下框架提供特定片段:
- Next.js、React、Vue、Nuxt、Svelte(frontend)
- Express、Fastify(Node.js backend)
- Django、Flask(Python)
- 紅寶石 on Rails
- Laravel(PHP)
- ASP.NET 核心回退指導
框架上下文是盡力而為的。如果 FixVibe 無法從掃描中進行足夠安全的推斷,則提示會要求您的編碼代理在應用修復之前檢查儲存庫。
從你的 AI agent 使用
如果你已經接好 MCP 伺服器,同一份提示也會以 slash command 形式公開。從 Claude Desktop:
/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000
伺服器尋找結果,應用可用的掃描上下文,呈現修復提示,並將其作為用戶訊息注入到您的對話中。 FixVibe 不會為此模板化提示進行第三方LLM API 呼叫。
為什麼我們不在每次點擊時呼叫 Claude
推出前,我們曾考慮每次點擊都呼叫 Anthropic API,用 codebase context 精煉提示。最後沒有這麼做,原因是:
- 使用者貼入的 agent 已經有 codebase context:他們是在開著 repo 的 Cursor / Claude Desktop 裡使用。
- 伺服器端模板涵蓋了常見的修復路徑,無需任何每次點擊模型呼叫。
- 未來可以加入「Refine with AI for my codebase」的 opt-in,讓想要的使用者再觸發 API。今天不會。
