一行命令，让AI编程助手学会安全编程。

Semgrep开源了Skills项目，为AI编程助手添加安全技能。安装后，AI助手能处理代码安全、LLM应用安全和Semgrep规则编写。

三个安全技能

• code-security 代码安全

覆盖15+编程语言，检测SQL注入、云配置风险等问题。写代码、审查代码、配置云服务时都可以调用。

• llm-security LLM应用安全

基于OWASP标准，防范提示词注入、数据泄露等AI应用风险。

• semgrep Semgrep工具包

让AI助手学会使用Semgrep静态分析引擎：扫描漏洞、编写自定义检测规则。

安装方法

npx skills add semgrep/skills

安装后问"检查这段代码安全性"或"防SQL注入怎么做"，AI会调用安全知识库回答。

为什么有用

安全知识散落在OWASP文档、各语言安全指南中，普通开发者很难全面掌握。Semgrep Skills把这些知识打包成AI可调用的模块，降低了获取专业安全指导的门槛。

自定义规则

需要编写自定义 Semgrep 规则的话，也可以安装 trailofbits/skills：

/plugin marketplace add trailofbits/skills

包含两个技能：

• semgrep-rule-creator  创建和优化Semgrep规则
• semgrep-rule-variant-creator  将现有规则移植到新语言

GitHub: https://github.com/semgrep/skills

官网: semgrep.dev