Гайд
Скиллы для безопасности AI-проекта
Безопасность нельзя закрыть общим чеклистом. Агент должен найти конкретные места: секреты, админку, API-эндпоинты, внешние вебхуки и права доступа.
Где смотреть в первую очередь
Публичные API, авторизация, админские маршруты, cookies, rate limit, CORS, секреты, webhook Telegram-бота, Cloudflare secrets и любые интеграции с AI API.
Особенно важно не печатать токены в ответах и не хранить приватные ключи в клиентском коде.
Какие скиллы брать
security-best-practices, secrets-check, auth-flow-review, prompt-injection-lab, dependency-review и release-risk-scan.
Для AI-продукта prompt injection важен отдельно: пользовательский текст не должен ломать системную логику, вызывать лишние инструменты или вытаскивать приватные данные.
Какой результат нужен
Нужны не рассуждения, а список рисков с файлами, понятным сценарием атаки, приоритетом и коротким исправлением.