cs-audit 启动必读 开始任何判断或动作前,先读取 ;缺失则视为骨架不完整,提示先补齐或运行 ,不要回退到外部 AI 入口文件。 等你报 bug, 等你指优化点, 等你提问题——但"我也不知道哪有问题,你先扫一遍看看"这个诉求没人接。 补上这块: 在用户限定的范围内主动扫描,产出一份按严重度 × 性质交叉分类的发现清单 。 本技能只发现、不定修。修是 / 的事。 --- 文件放哪儿 日期取审计当天。slug 短到一眼看出审计目标( 、 、 )。 所有 audit 文档带 YAML frontmatter( 分别为 和 )便于 检索。 --- 维度矩阵(交叉分类) 每个发现打两个标签: 性质 : | | | | 严重度 : (必须修)| (应该修)| (可以修) 交叉示例: - × :SQL 注入、明文存密码 - × :特定边界条件下空指针,实际触发概率低 - × :循环内多余的对象分配,热点路径才需要改 另外每个发现带 置信度 ( / / )和 建议动作 ( / )。 完整模板见 。 --- 工作流 Phase 1:范围收敛 审计不能全仓库盲扫——成本高、噪音大。先帮用户把范围收窄到可执行。 问用户三样(有一样就能起步): 1. 关键词 :"跟 auth / payment / upload 相关的" 2. 模块 / 目录 :" 下面" 3. 一段话描述 :"最近用户反馈订…