我对Auto-Coder说:Kotti这个项目使用的依赖库比较老,有些有安全隐患,请帮我根据下面的安全检测信息,升级相关依赖库,并更新Kotti项目里面的相关代码。

已于 2025-05-23 10:40:34 修改
阅读量974 收藏 16
点赞数 24
分类专栏: 软硬件调试 人工智能 文章标签: 安全 web安全 人工智能 aoto-coder
于 2025-05-23 10:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skywalk8163/article/details/148117126
版权

Auto-Coder 是一个基于终端(terminal)的、利用大语言模型(LLM,比如 GPT 或类似模型)为开发者进行代码补全、解释和重构的 AI 辅助编程工具。它的理念很像“ChatGPT for terminal”,但专为程序员场景优化,可以无缝和本地代码、终端流程结合。初学使用参见这篇文档:把AI装进你的terminal终端:Auto-Coder终极编程助手体验-CSDN博客

Kotti是一个非常好的基于pyramid框架的web搭建项目,官方已停止更新,不支持pyramid2.x库。使用Auto-Coder将Kotti 的pyramid依赖库从1.x升级到2.x,参见:使用auto-coder将kotti项目的pyramid依赖从1.x升级到2.x,将SQLALchemy从1.x升级到2.x-CSDN博客

Kotti的其它库也大多老旧,有安全隐患,因此对它们进行安全检验,方法见:https://blog.csdn.net/skywalk8163/article/details/148102970 ,并使用Auto-Coder 来解决因版本升级带来的问题。

开始行动

在auto-coder里面使用的提示词为组合形式,由两部分组成,第一部分说明当前项目情况,第二部分布置当前的调试任务,一般一个任务只负责更新一个库。

第一部分能提示词:

Kotti这个项目使用的依赖库比较老,有些有安全隐患,请帮
我根据下面的安全检测信息,升级相关依赖库,并更新Kotti项目里面的相关代码。

第二部分提示词

将Kotti项目的requirements.txt文件发给大模型,比如gpt-4o,它会总结出当前有哪些库存在安全隐患。安全隐患最高的部分如下,将它们以单个依赖库拆分,不用修改,或者适当增加补充设定,如:建议升到4.3.0版本 等语句。

然后将每个部分跟第一部分组合,发送给Autocoder即可。

AI指出的安全隐患:

(0.6版本等字样,是在autocoder处理完毕后,手工保存项目设定的版本号)

bleach==4.1.0

这个版本存在多处 XSS 绕过漏洞(比如 CVE-2021-23980:标签过滤器逃逸,可以插入恶意脚本)。
建议强烈升级到 bleach>=6.0.0(前后API有变,需适配)。

0.6版本

  1. bcrypt==3.2.2

    • 有一些边界溢出修复(虽然不是直接可远程利用,但建议关注,见 bcrypt releases)。不是最紧急,但能升到3.2.7或更高更好。建议升到4.3.0版本

0.7版本

  1. waitress==2.1.1

  2. html2text==2020.1.16

    • 旧版存在XSS和标签解析逃逸,详见 html2text CVEs
    • 建议升级至 >=2023.9.1。

  3. bleach-allowlist==1.0.3

    • 这个包本就是 bleach 的扩展,“allowlist”名为该系列已弃用命名,内容很久没更新。建议只在必要时用,并确认和 bleach 版本兼容,否则考虑替换掉

在处理bleach-allowlist==1.0.3的时候,把系统给搞崩了,具体来说就是把bleach又退回到4.1.0版本了。

想找方法退回,但是没找到。(后来问作者,得知web版本可退回)也许终端版本无法任务回退吧。

于是只好让auto-coder再来一次:

Kotti这个项目使用的依赖库比较老,有些有安全隐患,请帮
我根据下面的安全检测信息,升级相关依赖库,并更新Kotti项目里面的相关代码。bleach=
=4.1.0
 
这个版本存在多处 XSS 绕过漏洞(比如 CVE-2021-23980:标签过滤器逃逸,可以插入恶意
脚本)。
建议强烈升级到 bleach>=6.0.0(前后API有变,需适配)。
现在版本是0.8,但是pytest是报错的:

修改

现在版本是0.9

requirements.txt文件已经修正

还需要继续解决pytest报错

明白了,是kotti自己的问题,没有重新安装

FAILED Kotti/kotti/tests/test_app.py::TestGetVersion::test_it - pkg_resources.ContextualVersionConflict: (bleach 6.2.0 (/home/skywalk/ub22p...

先保存个0.10版本。

另,从这个版本开始,kotti开始生成版本

生成

重新编译,ok

pip install -e .

测试test_app.py ok

====================== 16 passed, 5463 warnings in 7.12s =======================

生成了kotti1.0.tar.gz文件

该版本已经支持pyramid ,且SQLACchemy 等也升到较新的版本。bleach等四个库也升级到了新版本。

安装好后kotti显示2.0.10.dev1

总结

使用 Auto-coder完成Kotti项目的依赖库版本升级问题非常简单方便,只要把问题描述清楚,让它把指定的库升上去,后面它会自动更新代码,解决版本升级可能带来的各种代码问题。

当然过程是曲折的,毕竟依赖库牵一发而动全身,Auto-coder跟其它AI助手比起来又聪明又能干,不用询问就会自己修改代码,但是有时候也挺担心它太智能把项目搞崩,索性最终也没出现无法收拾情况。另外刚刚使用Auto-coder,不太熟悉操作,也走了一些弯路。

总之这次使用Auto-coder来自动更新项目的依赖库非常成功,是一次非常棒的体验,大家也都来试试吧!

用同样的办法,后续又升级了几个库 beaker==1.13.0 mako==1.3.10 waitress==3.0.2 webob==1.8.9 ,Kotti项目迎来了打包1.2 ,项目2.0.10dev2 版本,参见:https://skywalk.blog.csdn.net/article/details/148102970

simple-threads-coder:用于MATLAB Coder的简单POSIX线程库
02-04
"simple-threads-coder"项目正是为此目的而设计的一个简化版的POSIX线程库,它专为MATLAB Coder提供了一个友好的接口,使开发者能更轻松地在MATLAB生成的代码中实现多线程。 POSIX线程(也称为pthreads)是UNIX和类...
matlab的idft代码-DFT-coder:这个python项目实现了基于DFT的音频编码器的第一种方法。基于FFT的子带编码
05-27
这是大学的最后一个主题项目,其中包括迁移到Python改进我们在该主题过程中使用Matlab编写的DFT编码器。 DFT-编码器:框图 设置 先决条件 为了运行代码没有问题,我们建议您安装python3。 在函数中调用了所需的...
智能守护:用AI和pip-audit为Web项目装上安全雷达(升级依赖库到新版本beaker==1.13.0 mako==1.3.10 waitress==3.0.2 webob==1.8.9)
最新发布
skywalk8163的专栏
05-24 654
在AI的加持下,安全检测安全修复方便又快捷!这里要重点表扬一下Auto-coder,使用了那么多的AI助手,感觉它是最智能最体贴的,是实实在在能干事的AI工具。我对Auto-CoderKotti这个项目使用依赖库较老,有些有安全隐患根据下面安全检测信息升级相关依赖库更新Kotti项目里面的相关代码-CSDN博客。
machine-bem-coder:简单的BEM项目示例
05-05
【标题】"machine-bem-coder:简单的BEM项目示例"揭示了这是一个与前端开发相关项目,特别关注于BEM(Block Element Modifier)方法论的应用。BEM是一种流行的前端开发架构模式,用于构建可维护和可扩展的CSS代码。...
hugo-coder-bg:我将其用作辅助项目,因为找不到更简单的解决方案
03-31
一个简单干净的博客主题。 现场演示 看。 快速开始 将存储库作为子git submodule add https://github.com/luizdepra/hugo-coder.git themes/hugo-coder到您的Hugo Project存储库中, git submodule add ...
number-trivia-flutter-reso-coder:这是由Reso Coder使用提供程序由Flutter制作的Number Trivia应用程序
03-31
我们将使用Bob Martin提出的Clean Architecture,而该项目则是提出的。 我们将使用提供程序包,而不是使用Bloc模式/包。 您将学到什么 明和项目结构。 实体和用例。 域层重构。 数据层概述和模型。 数据源...
TDengine 安全部署配置建议
TDengine(老段)专注时序数据库领域
05-19 1163
数据安全是 TDengine 产品的一项关键指标,这些措施旨在保护 TDengine 部署免受未经授权的访问和数据泄露,同时保持性能和功能。但 TDengine 自身的安全配置不是生产中的唯一保障,结合用户业务系统制定更加匹配客户需求的解决方案更加重要。
保密行业工作沟通安全:吱吱软件的“四重防泄露”设计
Zhizhitalk的博客
05-20 421
工作沟通安全威胁是指在金融、科技、医疗等保密行业中,错发、泄露、窃取一条消息或者一份文件,都有可能引发数据安全灾难性失控。以往的即时通讯软件仅依赖单一的加密手段,无法满足保密行业从发送、传输到接受全链路加密的更高规格的数据安全要求。国产企业级别的加密通讯软件“吱吱”,凭借其“四重防泄漏”设计,正在为保密行业构建立体全方位的保护防线。
灾备认证助力构建数据资产安全防线‌
wanganshiji01的博客
05-21 732
在网络安全威胁日益复杂的背景下,灾备认证体系发挥着不可替代的关键作用。IP 地址划分与应用、灾备网络的设计、常见网络故障的定位和排查、基于存储的灾备、基于数据库的灾备、基于持续数据保护技术的灾备、基于文件的灾备、基于操作系统的灾备。灾备需求的引导与发掘、灾备方案的规划与设计、灾备方案的评估、灾备选址中的注意事项、灾备组织架构和人员、灾备设施建设和运维、灾备响应和灾难恢复、灾备制度的制订。云灾备的概念、云灾备的服务模式、跨云灾备技术、虚拟化的种类和实现方式、虚拟化技术在灾备方案设计及实施过程中的应用。
2025年渗透测试面试题总结-匿名[社招]安全工程师(红队方向)2(题目+回答)
soc的博客
05-23 812
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
智慧化工园区安全风险管控平台建设方案(Word)
xx_123321456的博客
05-23 480
项目旨在为XX化工园区打造一个集安全监管、封闭化管理、应急管理于一体的智慧化平台。项目背景基于政策需求、安全生产监管需求及工业互联网+安全生产的智慧应用需求,通过技术、经济和社会效益的可行性分析,确定了建设目标和内容。总体方案设计遵循统筹发展、标准规范、经济实用等原则,采用微服务架构、边缘计算、机器视觉等关键技术,构建了包括安全监管体系、封闭化管理体系、应急管理体系在内的综合平台。项目推进计划详细规划了项目组织保障、管理措施和质量保障,同时制定了全面的培训方案和验收方案,确保项目顺利实施和高效运行。售后服
腾讯游戏安全与高通合作构建PC端游安全新格局
AntiCheatExpert的博客
05-21 434
高通技术公司(中国)产品市场总监姚轶非表示:“高通技术公司与腾讯游戏在手游和端游领域有着深厚的合作,包括新技术的落地,对游戏的深度调优,游戏技术的联合市场宣发以及游戏电竞领域的合作等等,双方建立了长期的技术合作关系。此次合作中,腾讯游戏安全ACE作为行业先进的安全解决方案,通过与高通(中国)的合作,将先进的游戏安全方案与骁龙X系列紧密结合,为搭载骁龙X系列的PC设备游戏场景提供安全保障,推动游戏产业生态发展,构建PC端游安全新格局。双方的技术协同为行业提供了终端侧安全实践的新思路,推动游戏安全生态建设。
AI智能分析网关V4人员摔倒检测打造医院/工厂等多场景智能安全防护体系
Oliverro的博客
05-20 579
随着全球老龄化加剧,我国老年人口占比持续攀升,老年人摔倒伤亡事件频发,居家、养老机构等场景的摔倒防控成为社会焦点。
城市地下“隐形卫士”:激光甲烷传感器如何保障燃气安全
ShengSe_Sensor的博客
05-23 166
城市地下管网作为城市运行的“生命线”,承担着燃气、供水、电力、通信等重要功能,但其安全面临严峻挑战。管线老化、违规施工和监管困难等问题导致燃气泄漏事故频发,甚至引发爆炸,造成人员伤亡和财产损失。传统的人工巡检方式效率低、漏检率高,难以应对隐蔽性强、破坏力大的燃气泄漏问题。为解决这一难题,行业推出了基于物联网和激光传感技术的智能监测方案,通过实时监测甲烷浓度、井盖异动和液位等数据,实现全天候监控和智能预警,有效防范燃气泄漏事故,保障城市安全运行。
关于 Web安全:1. Web 安全基础知识
Triste__chengxi的博客
05-16 1373
内容明HTTP 求行 + 求头 + 空行 + 求体(可选)HTTP 响应状态行 + 响应头 + 空行 + 响应体状态码1xx信息,2xx成功,3xx重定向,4xx客户端错,5xx服务器错HTTPSHTTP + SSL/TLS加密HTTPS 工作流程证书交换、密钥协商、加密通信属性用途是否可防攻击HttpOnly禁止 JS 访问防止 XSSSecure只在 HTTPS 传输防止 MITMSameSite跨站求限制防止 CSRFExpires。
继电保护与安全自动装置:电力系统安全的守护神
安科瑞袁媛的博客
05-23 614
继电保护是一种自动保护系统,它利用装设在电力系统各个环节的保护装置,对电力系统的各种故障进行监测、判断和处理。当电力系统出现短路、过载、电压异常等故障时,继电保护能够迅速动作,切除故障元件,防止故障扩大,保护电力设备,维持电力系统的稳定运行。安全自动装置是指在电力系统出现异常运行状态时,能够自动采取措施,防止系统崩溃,维持电力系统稳定的装置。它是一种高级的保护装置,通常用于处理比较复杂的电力系统问题。继电保护和安全自动装置是电力系统安全稳定运行的重要保障。
【杂谈】-智领安全新篇:人工智能驱动现代物理安全防护体系
视觉与物联智能
05-21 539
在当今现代公司与各类组织中,潜藏着亟待挖掘的新价值源泉。传统上,组织的有序运转依赖于实体建筑空间所提供的坚实基础、办公设备所赋予的高效工具以及高素质员工所具备的专业能力。然而,随着时代的发展,数据已成为组织核心资产的重要组成部分。如今,多达五分之四的组织在其复杂的系统架构中,管理着规模超过PB级的数据量。这些海量数据犹如一座蕴藏着巨大财富的宝库,其中蕴含着数万亿美元的市场价值。更为重要的是,组织在管理这些数据时,已具备了完善的法律和道德框架,能够确保数据的合理运用与安全保障。
黑马点评-实现安全秒杀优惠券(使发一人一单,防止发超卖)
2301_81230656的博客
05-23 570
出现的问题:在高法的情况下存在多买的情况,导致商品成为负数。
质检LIMS系统检测数据可视化大屏 全流程提效 + 合规安全双保障方案
低代码博客
05-19 1096
走进启用白码系统的实验室,可视化大屏如同 24 小时在线的「数据灯塔」,实时投射出实验室运营的精准画像:超期任务以红色脉冲警示,设备故障率用动态曲线预警,人员任务饱和度通过热力图一目了然。它不仅是数据展示工具,更是串联设备、人员、流程的智能中枢,让管理决策有「数」可依,让合规安全有「技」可恃,让效率提升有「速」可求。如果你想告别数据混乱、决策滞后、合规风险的管理困境,不妨让白码系统的可视化大屏成为你的「数据天眼」—— 一个月时间,见证实验室的智能蜕变。一、大屏可视化:让数据从「沉睡」到「觉醒」
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值