Olivia
Online
Edmund.X
@leixing0309
HongKong
Joined November 2021
626 Following
238 Followers
1K Posts
Pinned Tweet
我做了一个开源项目:AI Security Audit Playbook。
https://t.co/ISKYFGJgca
它不是一个新的漏洞扫描器,而是想把 AI 辅助安全审查变成一套更结构化、更本地化、更可复查的工作流。
现在很多人会用 ChatGPT、Codex 或其他 coding agent 看代码、审 PR、找安全问题。但如果只靠临时 prompt,结果往往不稳定、不可复盘,也容易过度相信 AI 的判断。
所以我把这些流程整理成了一个 playbook。
项目包含:
安全审计提示词
Codex-style skills
只读 MCP registry
finding taxonomy
PR security review 模板
regression test 建议
worked examples
public static trials
适合用在 PR review、后端授权审计、CI/CD、secrets、LLM agent、智能合约等场景。
我在项目里特别强调了几个边界:
默认 audit-only
不替代人工安全审计
不自动 exploit
不上传私有源码
不自动 merge
不自动修复高风险业务逻辑、IAM、合约资金逻辑或治理逻辑
AI finding 只能当作 hypothesis,需要验证。
我希望它解决的问题不是“AI 帮我保证代码安全”,而是:
让 AI 在安全 review 中有更稳定的角色、输入、输出和边界。
也就是让安全审查变成一个可以复用、可以 review、可以持续迭代的流程。
项目地址:
https://t.co/ISKYFGJgca
欢迎试用、fork、提 issue,也欢迎贡献新的审计场景、prompt、skill 或 incident-to-prompt pattern。
@NXR_NIROX 而且还是14寸的。。。。这是烧烤摊么
我也中招了,大家可以自己查一下,提示词
帮我检测 ~/.codex/logs_2.sqlite 是否因 TRACE 日志持续高频写盘
Linux/Mac下直接看:
$ ls -lh ~/.codex/logs_2.sqlite
$ sqlite3 ~/.codex/logs_2.sqlite "SELECT level, COUNT(*) FROM logs GROUP BY level ORDER BY COUNT(*) DESC"
要是TRACE占了一大半、文件还在不停长,那就是中招了。
...
目前止血的办法有三个,从糙到稳。
最暴力的,直接拿sqlite触发器把日志写入掐死。反正这文件里只有诊断日志,没有你的对话历史,删了、屏蔽了都不心疼:
$ sqlite3 ~/.codex/logs_2.sqlite "CREATE TRIGGER IF NOT EXISTS block_log_inserts BEFORE INSERT ON logs BEGIN SELECT RAISE(IGNORE); END;"
温和一点的,把这个文件软链到内存盘(tmpfs),让它在内存里折腾,不碰你的SSD,重启自动清空:
$ mv ~/.codex/logs_2.sqlite ~/.codex/logs_2.sqlite.bak
$ ln -s /tmp/logs_2.sqlite ~/.codex/logs_2.sqlit
实在不想动命令行、家里又有第二块机械硬盘的,把这文件挪过去就行。 机械盘耐写,磨就磨吧。
有感而发,无审查的本地大模型,才是AI的完整形态,QWen3.6-35B-A3B的无审查版,今天给了我深刻的印象!
@btc_life_jp 这图单一指标已经没用了
@Bitcoin188 稳定收益在哪里
今天被疑似钓鱼前置交易 / 垃圾币空投 / dusting attack,这次是账面金额最高的一次钓鱼。可是你18 decimals 下只有 0.0000000009 DIXT,稍微弄的真实一点也行啊。。。。。。。
一站式解决了远程codex的问题,不需要在用三方的软件cli。我考虑要升级到M5 max 128G了,现在全流程便捷性得到极大的提升。
@evilcos 还好,我能回复
这次给 AI Security Audit Playbook 增加了一个更清晰的 Agent 调用入口。
之前它更像一套完整的安全审查 playbook:prompts、skills、MCP、examples、validation 都有,但新用户可能还是要先理解目录结构。
现在新增了一个长期分支:
agent/ai-security-reviewer
它把 playbook 包装成一个本地可调用的 AI Security Review Agent。
我想做的不是“让 AI 自动黑盒审计代码”,而是把 AI-assisted security review 变成一个更可控、可复核、可持续改进的工程流程。
https://t.co/ISKYFGIImC
@hotpot_dao 亲切感回来了
@ai_xiaomu 相信我,这内存不能小,苹果很坏,pro芯片最高64G
@evilcos 我得提醒一下身边朋友们
@evilcos 这个假期基本都给这个事情了。不过今天提交完,松了一口气😋
这几天一直在肝这个项目,假期基本长在了电脑前,今天正式把AI Security Audit Playbook 更新到 v3.3。这一版充分考虑了非专业安全人员的使用便利性和降低对这个工具的理解门槛。
这版重点不是做 scanner,而是让开发者在 PR / diff 阶段就能做一轮有纪律的安全自查。
新增 30 秒上手路径、依赖 advisory triage、security gates、路径边界加固,以及 evidence 边界说明。
继续保持 local-first / audit-only:
不上传私有源码,不执行 exploit,不自动修复,不 auto-merge。
目标很简单:把安全问题尽量提前暴露在开发阶段。
欢迎大佬们,同行们批评指正,如果觉得有一些价值,也非常欢迎转发宣传,完全开源,完全共享。
https://t.co/ISKYFGJgca
Last Seen Users on Sotwe
Liseli İfşa Aysel
Seen from Turkey
แอบถ่ายอาบน้ำ-วางยานอนหลับ
pecinta stw
Seen from Indonesia
typing.......
Seen from Singapore
Cangcut ibu mertua
Seen from Indonesia
فوفو وحمودي
MARYAM
Seen from Turkey
😈Gordita Jugosa RD🌈
Seen from United States
狗狗先生《接多推》
Seen from Malaysia
🐈 캣피바라 커플 🐻
Seen from Korea
Most Popular Users
Elon Musk
@elonmusk
240.4M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.7M followers
Cristiano Ronaldo
@cristiano
110.2M followers
Narendra Modi
@narendramodi
107M followers
Rihanna
@rihanna
97.6M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.8M followers
KATY PERRY
@katyperry
87.5M followers
Taylor Swift
@taylorswift13
81.3M followers
Lady Gaga
@ladygaga
72.8M followers
Kim Kardashian
@kimkardashian
69.7M followers
Virat Kohli
@imvkohli
69.6M followers
YouTube
@youtube
68.7M followers
Bill Gates
@billgates
63.8M followers
The Ellen Show
@theellenshow
62.5M followers
Neymar Jr
@neymarjr
62.3M followers
CNN
@cnn
61.9M followers
X
@x
60.8M followers
Selena Gomez
@selenagomez
60.6M followers