toh-framework

Toh Framework 的 Security Engineer 技能为使用 AI 辅助开发的工程师提供严谨的自动化安全防护层。该工具遵循「信任但验证」的原则，确保 AI 生成的代码在进入生产环境前经过漏洞审查。它专为使用 Claude Code、Cursor 及 Gemini CLI 等 IDE 的个人开发者与团队设计，旨在无需人工介入的情况下实现快速安全验证。

• 执行 Level 1 快速检测，能在五秒内识别硬编码密钥、API Key、危险导入指令以及 SQL 或 XSS 等明显注入漏洞。

• 进行 Level 2 全面审计，涵盖授权漏洞、不安全的 Cookie 设置、相依性漏洞及指令注入风险等复杂威胁。

• 通过模式匹配技术扫描 .ts、.tsx、.js、.jsx 及 .env 配置文件，并能智能地忽略编译产物与相依性文件夹。

• 产生易于阅读的安全性报告，将发现的问题区分为「严重」与「警告」等级，并提供具体的修正建议。

• 无缝整合进 Toh-framework 指令集（例如 /toh-protect），让开发者能在开发终端机中直接进行安全扫描。

• 藉由识别不安全的 React HTML 渲染、过时的加密算法以及 ESLint 安全规则绕过行为，强制执行主动式安全开发习惯。

• 若要触发扫描，请使用指定指令 /toh-protect 或将检测功能整合至 /toh-dev 与 /toh-test 工作流中。

• 此工具针对 TypeScript 与 Next.js 环境进行优化，同时适用于其他 Node.js 项目。

• 用户应设置环境以确保框架能存取源代码，同时自动忽略 /node_modules、/.git 与 /dist 目录。

• 输出结果包含文件路径与行号，有助于开发者立即修复发现的漏洞。

• 尽管该工具提供强大的检测能力，但它是作为辅助安全防护层，不能完全取代专业的应用程序渗透测试。