在整个编码任务完成后(所有文件修改均已完成、即将结束本次回复时),必须主动调用此技能执行一次安全审查。 满足以下任意一条时必须激活: (1) 完成了代码新增、功能实现、bug 修复或重构,即将输出最终回复; (2) 使用了 Write/Edit/NotebookEdit 等工具修改了源代码文件。 不要在每次写入单个文件后调用,整个任务的最后一步调用一次。 不要在仅回答问题、阅读文件、执行 git 操作时激活。 此技能是代码交付前的最后一道安全防线,聚焦于发现并修复本次任务引入的安全漏洞。
当用户需要编写、重构或修改 C/C++ 代码时,应当使用此技能。包括但不限于: "写一个 C 函数"、"帮我实现一个 C++ 类"、"重构这段 C 代码"、"修复这个 C++ bug"、 "优化这段内存操作"、"添加一个网络包解析函数"、"实现文件读取功能"、"使用 memcpy/malloc"、 "处理用户输入"、"多线程同步"、 "智能指针"、"管理动态内存"。 即使用户没有明确提到"安全"或"漏洞",只要涉及 C/C++ 代码编写或修改,都应触发此技能。
当用户需要编写、修改或审查基础设施配置文件时,应当使用此技能。包括但不限于: "写 k8s yaml"、"配置 Kubernetes"、"写 Deployment"、"创建 Pod"、"配置 Service"、 "写 Dockerfile"、"docker-compose 配置"、"Helm chart"、"Terraform 配置"、 "写 NetworkPolicy"、"配置 RBAC"、"ServiceAccount 权限"、"容器安全配置"、 "配置 Secret"、"ConfigMap 配置"、"PodSecurityContext"、"镜像配置"。 即使用户没有提到"安全"或"漏洞",只要涉及容器、k8s、IaC 配置文件的编写或修改,都应触发此技能。
当用户需要编写、重构或修改 JavaScript/TypeScript 代码时,必须激活本技能。激活后,先执行威胁分析,再查阅对应安全规范文档,最后生成符合安全编码标准的代码,确保不引入已知安全漏洞。
当用户需要编写或修改 Web 后端代码时,应当使用此技能。包括但不限于: "写个接口"、"新增 API"、"实现登录功能"、"添加用户查询"、"文件上传接口"、 "数据库查询"、"调用第三方 API"、"写个 Controller"、"REST 接口开发"、 "添加权限校验"、"数据导出功能"。 即使用户没有提到"安全"或"漏洞",只要涉及 Web 接口、数据访问、用户输入处理、 外部资源调用等场景,都应触发此技能。