▲ VH-001 · 獻給 VIBE CODER ·REV 0.4.0 · CHAN 25LAT 25.03°N · LNG 121.56°E▲ LAUNCH 2026-05-13 ▲
▲ 五秒資安威脅評估

VIBE CODED.
VIBE HARDENED.®

一個指令、零設定。掃 Cursor、Claude Code、OpenClaw、Hermes、v0、Lovable、Bolt 寫的 code 跟 agent skill 檔案——知道每個工具各自最常漏掉什麼。

$npx vibe-hardening scan
執行
▶ READY
可供一般民用 · 不建議用於正式環境
產品規格
● 74 條 CODE 規則
● 65 條 AGENT 規則
● 9 家即時驗證
支援語言
4
Agent 平台
10
一般 repo 掃描時間
<5 秒
LLM token 費用
$0
支援的平台指紋
NEXT.JS · SUPABASE · TRPC · PRISMA
DRIZZLE · CONVEX · VERCEL · NETLIFY
[ LIVE FEED ]每 6 秒重跑 · 範例專案
/DEV/TTY/VH-001 · DEMO REC▶ LIVE
判決
F
42 / 100
4 CRIT · 3 HIGH
可上線? ▲ 不行
你的 repo
很可能也長這樣。
怎麼用 — 七個指令,全部 terminal first。
vibe-hardening scan

主指令。掃完給 0–100 分配 A–F 等級。74 條規則涵蓋硬寫的金鑰、SQL injection、缺驗證的路由、CORS、Supabase RLS、eval(req.body)、localStorage 存 token、bcrypt 弱 rounds、被 LLM 幻想出來的 npm 套件。

scan --changed-only [ref]

只掃 git diff 變動的檔案。不加 ref 是跟 HEAD 比;加 origin/main 這種 ref 走 3-dot diff,PR 模式 CI 用。大 repo 快 10 倍。

scan --verify --own

掃到的金鑰真的拿去打對應 provider API。9 家支援。告訴你還活著還是已撤銷。--own 是安全帶,沒加就拒絕去探不是你的金鑰。

scan --suggest-fix

印複製貼上的 diff,把硬寫的 key 換成 process.env.X,附 .env.example 範本。只影響 console,絕對不會改你的檔案。

scan --roast

毒舌模式。中性訊息換成一句話。只影響 console,JSON / HTML 產出維持專業給 CI 用。

vh explain <rule-id>

每條規則的詳細說明:嚴重度、抓什麼、為什麼重要、怎麼修。每條 ship 出去的 rule 都涵蓋。把文件塞回 terminal,不用開瀏覽器。

vh badge

吐一個 SVG 出來。貼在 README 顯示這個 repo 的安全分數。配定期 CI 跑就會自動更新。

我們檢查什麼 — 74 條 code 規則 + 65 條 agent skill 規則。4 種語言、10 個 agent 平台。
SEC-01

AI 專屬規則庫

針對 v0 匯出、Cursor 循環、Lovable scaffold、Bolt 骨架、Claude Code diff 手動調校過的規則。知道它們各自最常漏掉什麼,也不會挑它們做對的事。

AUT-02

平台指紋辨識

偵測 Next.js、Supabase、tRPC、Prisma、Drizzle、Convex、Vercel、Netlify,只跑適用於你堆疊的規則,一般專案可在 5 秒內掃完。

KEY-03

密鑰即時驗證

在 git 歷史裡找出候選密鑰,打去上游 provider 驗證,告訴你哪些還活著。不是 grep — 是一通電話。

AGT-04

Agent skill 掃描器

0.4.0 新增。靜態掃 Cursor、Claude Code、OpenClaw、Hermes、Gemini CLI、Goose 等 10 個 agent 平台的 skill 檔。抓硬編密鑰、prompt injection、危險 shell、MCP 設定異常—— 在 agent 載入之前。

CLI · MIT

永久免費。

任何 repo 都可掃、不限次數,程式碼絕不離開你的機器;只有 opt-in 匿名統計(哪些規則觸發、絕不送路徑或內容)。

npx vibe-hardening scan

SHIP
HARDENED.

上線當天寄一封信,2026-05-13,14:00 UTC。沒有行銷。