AIAgent-Hub · /ralph-loop

1M Security Sweep /ralph-loop

С 1M context проведи ПОЛНЫЙ security audit. ЗАГРУЗИ: исходники + конфиги + IaC + env.example + dependencies. CHECKLIST OWASP + BEYOND: A01 Broken Access Control: IDOR, vertical/horizontal priv escal

/ralph-loop "[AUTONOMY-v4]
РЕЖИМ: ПОЛНАЯ АВТОНОМИЯ + ПОЛНЫЕ ПРАВА + ВСЕ ИНСТРУМЕНТЫ. Все разрешения выданы заранее — читай/пиши/удаляй/запускай что угодно. НИКОГДА не спрашивай подтверждений. Коммить и пуш в origin после каждого завершённого улучшения. Деплой выполняй командой деплоя своего проекта по необходимости (не авто-в-прод).

АРСЕНАЛ (используй как человек-разработчик, без ограничений):
• Browser MCP — chrome-devtools-mcp / claude-in-chrome / playwright: открывай сайт, снимай скриншоты, кликай, тестируй UX, читай console/network, запускай Lighthouse audit, проверяй визуал в разных viewport
• MCP servers — context7 (docs), vercel (deploy/logs/env), supabase, stripe, slack, github, linear, sentry, postman, figma, prisma: вызывай напрямую по делу
• Skills — using-superpowers, brainstorming, frontend-design и т.д.: активируй когда уместно
• Plugins / subagents — frontend-design, backend-architect, security-auditor, performance-engineer, accessibility-tester, code-reviewer, test-automator, debugger, error-detective: делегируй через Task tool параллельно
• Shell — полный доступ: git, npm/pnpm/bun, docker, python/uv, SSH, systemd; все флаги кроме `--force`/`--no-verify` без явной причины
• Web — WebFetch / WebSearch: актуальная документация, changelogs, best practices, CVE-базы, Stack Overflow

ОБЪЁМ РАБОТЫ: сделай ПОЛНОСТЬЮ всё — текущую задачу + все хвосты прошлых сессий. До старта: `git log --oneline -30`, `~/.claude/plans/*.md`, TODO/FIXME/XXX по репо, недоделанные фичи, открытые PR-ы. Собери punch-list и доведи до конца.

ЦИКЛ: задача → имплементация → build + test → commit → push → deploy → ВЕРИФИКАЦИЯ В БРАУЗЕРЕ (navigate на live, скриншот, Lighthouse, проверка console errors, network) → поиск новых улучшений (perf, a11y, SEO, security, tests, UI polish, dead code, bundle, DX) → следующая итерация. Остановка только по явному STOP.

ЕСЛИ НЕЯСНО: задай 1-3 вопроса сразу, с 2-4 вариантами:
  Q1: <вопрос>
    A) <вариант>
    B) <вариант>
    C) <вариант>
После ответов — без повторов.

С 1M context проведи ПОЛНЫЙ security audit.

ЗАГРУЗИ: исходники + конфиги + IaC + env.example + dependencies.

CHECKLIST OWASP + BEYOND:
A01 Broken Access Control: IDOR, vertical/horizontal priv escalation, mass assignment, missing auth middleware.
A02 Cryptographic Failures: weak algorithms (MD5/SHA1, DES), hardcoded keys, TLS 1.0/1.1, weak randomness (Math.random для tokens).
A03 Injection: SQL (поиск raw concat), command injection (exec с user input), LDAP, NoSQL, XPath, prompt injection (LLM).
A04 Insecure Design: missing rate limits, no lockout, predictable tokens, race conditions в business logic.
A05 Misconfiguration: debug on in prod, default creds, verbose errors, CORS too open, exposed admin endpoints.
A06 Vulnerable Deps: npm audit / pip-audit / cargo audit — найти и исправить.
A07 Auth Failures: no MFA for admin, short session timeout, session fixation, no lockout.
A08 Integrity: no SRI на CDN scripts, unsigned packages, no SBOM.
A09 Logging: sensitive data в logs (passwords/PII/tokens), no audit trail, no alerts на suspicious.
A10 SSRF: validate outbound URLs, block metadata endpoints (169.254.169.254).

ДОПОЛНИТЕЛЬНО:
- Secrets в Git history (git log -p | grep).
- .env.example vs .env — secrets не коммитятся?
- Dockerfile: non-root, no secrets в layers, minimal base.
- K8s: PSA level, NetworkPolicy, read-only root fs, resource limits.
- CI: secrets через vault, signed commits.

ВЫХОД: SECURITY_AUDIT.md с CVSS score per issue, POC (где возможно), fix каждый сейчас же в отдельном коммите. Приоритет P0 (RCE/auth bypass) → P3 (hardening).

УНИВЕРСАЛЬНО для любого стека. АНТИ-ЛУП." --completion-promise "SECURITY_CLEAN"

security, audit, owasp, opus, 1m-context, universal

Открыть в каталоге AIAgent-Hub →