find-bugs

find-bugs 技能为在合并代码前提供专家级的系统化审计工作流。专为 Claude Code、Cursor 及 Gemini CLI 等 AI 编码代理设计，此工具强制对本地分支差异进行严格检查，以识别高风险安全漏洞、关键软件缺陷及重大代码质量问题。对于需要结构化审计以确保新代码未在身份验证、授权或数据库操作等敏感区域引入回归或安全漏洞的开发者与安全工程师而言，它是理想的选择。

• 对当前分支与预设分支之间的 Git 差异进行完整的递归扫描，确保不会遗漏任何变更行。

• 执行攻击面映射阶段，识别敏感输入、数据库查询、身份验证检查、会话状态转换及加密操作。

• 实施全面的多点安全检查清单，涵盖 SQL 注入、XSS、CSRF、竞态条件 (TOCTOU)、信息泄露及业务逻辑缺陷。

• 进行总结前的审计流程，要求对所有审查档案进行明确确认，并对每项检查清单条目提供验证状态。

• 生成优先级明确的可执行报告，按严重程度（严重/高/中/低）排序，并为每个发现的问题提供问题描述、证据、修复建议及参考资料。

• 当您需要审计敏感代码变更或审查专注于安全性和可靠性的 PR 时，请使用此工具。

• 代理需存取 Git 历史记录及本地档案系统；请确保环境具有必要的读取权限。

• 优先处理安全及功能性缺陷，而非风格或格式偏好，以保持高质量的输出信号。

• 不会执行自动化的代码重构或补丁应用；它提供分析结果与建议供开发者审阅并执行。

• 若差异输出被截断，代理会被指示逐一读取文件，直到完全理解变更范围。

• 与标准开发工作流整合，在将潜在问题标记为真实漏洞之前，先行验证现有测试或防御措施的存在性。