FixVibe

// docs / ai fix prompts

AI 修復提示

Code and configuration findings have a Copy coding-agent prompt button beneath the remediation. DNS, provider-console, secret-rotation, and manual-review findings show operator steps instead, because an IDE agent cannot change those settings for you. No Claude API call is made by FixVibe.

運作方式

點擊時會結合兩份資料:

  • The finding — 問題摘要、受影響的表面、修復指南以及幫助您的編碼代理修復問題所需的安全證據。
  • Your app context - FixVibe 在可用時使用掃描上下文來選擇框架感知的修復形狀,並在無法推斷足夠的上下文時回退到通用配方。

Coding-agent prompts and operator steps are rendered server-side from FixVibe remediation guidance. They are designed for copy-paste use in Cursor, Claude Desktop, Copilot, or the relevant provider console without exposing the internal prompt registry in the browser.

提示長什麼樣

Fix the "Reflected XSS in /search?q=" vulnerability at /search.

Issue: Query parameter q is rendered into the response body without
escaping; an attacker can inject <script> via crafted URLs.

Codebase context: Next.js.

Recommended fix:
In Next.js, render user-supplied values through JSX ({value}) so React's
automatic escaping kicks in. For server components rendering rich HTML,
sanitize with DOMPurify (server-side via JSDOM) before output.

Constraints:
- Don't break existing tests; run the test suite after the change.
- Match the codebase's existing style and lint config.
- Add a brief comment explaining the security reasoning only where the
  fix would otherwise look arbitrary.
- If the fix needs a new dependency, install it via the project's
  package manager (npm / pnpm / pip / bundle / composer).

Reference: CWE-79 — see https://cwe.mitre.org/data/definitions/79.html

支援的框架

我們會針對以下框架提供特定片段:

  • Next.js、React、Vue、Nuxt、Svelte(frontend)
  • Express、Fastify(Node.js backend)
  • Django、Flask(Python)
  • 紅寶石 on Rails
  • Laravel(PHP)
  • ASP.NET 核心回退指導

框架上下文是盡力而為的。如果 FixVibe 無法從掃描中進行足夠安全的推斷,則提示會要求您的編碼代理在應用修復之前檢查儲存庫。

從你的 AI agent 使用

如果你已經接好 MCP 伺服器,同一份提示也會以 slash command 形式公開。從 Claude Desktop:

/fixvibe-fix finding_id=550e8400-e29b-41d4-a716-446655440000

伺服器尋找結果,應用可用的掃描上下文,呈現修復提示,並將其作為用戶訊息注入到您的對話中。 FixVibe 不會為此模板化提示進行第三方LLM API 呼叫。

為什麼我們不在每次點擊時呼叫 Claude

推出前,我們曾考慮每次點擊都呼叫 Anthropic API,用 codebase context 精煉提示。最後沒有這麼做,原因是:

  • 使用者貼入的 agent 已經有 codebase context:他們是在開著 repo 的 Cursor / Claude Desktop 裡使用。
  • 伺服器端模板涵蓋了常見的修復路徑,無需任何每次點擊模型呼叫。
  • 未來可以加入「Refine with AI for my codebase」的 opt-in,讓想要的使用者再觸發 API。今天不會。
AI 修復提示 — Docs · FixVibe