← 模块首页 · ← Week 5: Warp Agentic 开发 · Week 7: AI 代码审查 → · 术语表
使用 Semgrep 扫描代码漏洞,学习 AI 辅助的安全检查流程。
- 所有使用 AI 写代码的人(安全是每个人的责任)
- 想了解"AI 生成的代码安全吗?"这个问题的人
- 了解基本的 Web 应用结构(Week 2)
- 不需要安全领域的专业知识
4-5 小时
| 讲义 | 主题 |
|---|---|
| Mon 讲义 | AI Testing and Security |
| Fri 嘉宾讲义 | Isaac Evans: Semgrep(讲义未公开) |
- OWASP Top Ten — Web 安全十大风险类型,安全入门必读
- GitHub Copilot RCE via Prompt Injection — Copilot 被提示注入攻击的真实案例
按以下顺序学习本周内容:
- 浏览课程讲义 → 见上方课程讲义(快速翻阅,了解本周框架)
- 阅读前置材料 → 见上方前置阅读
- 阅读并完成中文指南 → assignment-zh.md — 安全概念 + 环境准备 + 练习任务(完整中文版)
- 记录学习笔记 → writeup-zh.md — 结构化笔记模板
- (可选)深入阅读 → 见下方背景扩展阅读
- 进入下一周 → Week 7: AI 代码审查
| 文件 | 说明 |
|---|---|
| assignment-zh.md | 中文学习指南(概念解释 + 环境准备 + 练习任务) |
| writeup-zh.md | 学习笔记模板 |
本周也提供英文原版课程材料(assignment.md、writeup.md),可作为对比参考。所有内容已完整覆盖在中文指南中,无需额外阅读。
- Finding Vulnerabilities with Claude Code & Codex — Semgrep 用 AI 在开源项目中发现 46 个真实漏洞
- Context Rot Research — 上下文衰减对 AI 输出质量的影响研究
- SAST vs DAST — 静态分析与动态分析的对比(安全测试基础)
- Agentic AI Threats — Palo Alto Unit 42 对 AI 代理安全威胁的分析
不建议跳过。即使走快速路径,也建议至少阅读 assignment-zh.md 了解 AI 生成代码的常见安全问题。