打开网易新闻 查看精彩图片

AI写代码最大的坑不是语法错误,是自以为懂安全。Claude Code和Copilot用户最近集体吐槽:让AI搭个登录系统,它能给你造出三个XSS漏洞,JWT解码写得像小学生作文——能跑,但生产环境不敢用。

Auth0今天甩了个新工具叫Agent Skills,本质是给AI塞本"安全手册"。以前AI学认证靠爬GitHub,学来的代码参差不齐;现在直接对接Auth0官方文档,Claude写`auth0-react`配置时,会自动调用经过审计的模板。

开发者原话很扎心:「我花了两小时让Claude修JWT验证,它给我换了四种错误写法。」Agent Skills的做法是把常见坑提前标红——比如禁止把token存在localStorage、强制校验state参数——AI生成代码时直接绕过这些雷区。

目前支持Claude Code和GitHub Copilot,覆盖React、Next.js、Python FastAPI等栈。一个细节:模板不是静态代码片段,而是带上下文的决策树,AI能根据你的技术栈自动选实现方案。

首批用上的团队反馈,认证相关代码的返工率从40%压到5%以下。安全工程师的加班时间,终于不用花在给AI擦屁股上了。