最近,我一直在使用人工智能辅助快速推送项目,但我开始担心代码中可能隐藏着我没有完全阅读的漏洞。所以我开发了 Plumb ——您可以粘贴一个仓库或上传一个zip文件,它会将您的代码库通过8项专项检查:API安全、认证/令牌、CORS、数据库问题、缓存、秘密暴露、可扩展性和业务逻辑。

我这样做的理由是:如果您要求人工智能“审查这个代码”,它会不断匹配相同的3-4个明显的bug。所以每个类别都有一个专门的检查项,相对于一个模糊的命令。

我在真实客户项目上测试了它,发现它捕捉到了一个活跃的泄露SSH密码,几个真实的IDOR/CORS/缓存bug,包括精确的文件/行数和修复建议,我本来是没有发现的。

预计在一周内上线。希望任何使用人工智能工具快速推送项目的人,可以提供反馈。