用一行提示词，让AI成为你的代码安全守门员

独立开发者Arvid Kahl分享了一个简单却实用的技巧：在Claude Code中创建一个名为/security-check的skill，只需一行提示词——“彻底检查当前功能的安全问题和权限漏洞，像红队渗透测试员一样思考，并给出修复建议。”

每次提交代码前运行一下，就这么简单。

这个做法的价值在于：最理想的情况，它能发现你从未想象过的潜在漏洞；最差的情况，至少有“人”帮你审查了那些你自认为万无一失的代码。对于95%以上的开发者来说，这已经比现状好太多了。

有人调侃说，我们正式进入了“用AI检查AI生成的代码，确保AI没有幻觉出一个后门”的时代。Arvid的回应很妙：以前这些工作本来就是由不同的人分别完成的，现在只是换了个形式。

这里有几个值得深思的延伸：

一是交叉验证的思路。有开发者建议用不同的模型来做安全审查，因为Claude可能对自己的错误存在盲区。用Sonnet写代码，用Opus做审查，形成制衡。

二是主动触发机制。可以在配置文件中加一条规则：当完成复杂实现或可能引入安全风险的功能时，主动提示运行安全检查。让工具来提醒你，而不是依赖记忆。

三是扩展到更多维度。同样的思路可以复制到无障碍检查、性能审查、代码规范等方面。一个skill对应一个质量维度，简单直接。

当开发速度越来越快，每周上百次AI辅助提交成为常态时，这种自动化的质量门禁就不再是锦上添花，而是必需品。

安全提示词不应该是独立的工作流，而应该是一个随手可用的斜杠命令。

x.com/arvidkahl/status/2011857112939544991