Mẫu prompt kiểm tra bảo mật code

Trong bối cảnh các hệ thống phần mềm ngày càng phức tạp và liên tục đối mặt với những mối đe dọa an ninh mạng, việc đảm bảo bảo mật code trở thành một yêu cầu không thể thiếu trong quy trình phát triển. Tuy nhiên, việc rà soát lỗ hổng bảo mật thủ công thường tốn nhiều thời gian và dễ bị bỏ sót, đặc biệt khi khối lượng mã nguồn ngày càng lớn.

Sự hỗ trợ của trí tuệ nhân tạo (AI) đã mở ra một hướng tiếp cận hiệu quả hơn, cho phép tự động phát hiện các điểm yếu như SQL Injection, XSS, hay lỗi xác thực và phân quyền. Trong đó, việc xây dựng các mẫu prompt kiểm tra bảo mật code đóng vai trò quan trọng, giúp định hướng AI phân tích sâu, có hệ thống và đưa ra những khuyến nghị phù hợp. Nhờ đó, lập trình viên có thể chủ động nâng cao mức độ an toàn cho ứng dụng ngay từ giai đoạn phát triển ban đầu.

Mẫu prompt kiểm tra bảo mật code

Giúp tăng cường bảo mật

Thực hiện kiểm tra bảo mật trên code này:

[DÁN CODE]

Loại ứng dụng: [ví dụ: Ứng dụng web, API, Ứng dụng di động]

Kiểm tra:
- Lỗ hổng tấn công SQL injection
- Lỗ hổng XSS
- Lỗi xác thực/ủy quyền
- Rủi ro rò rỉ dữ liệu
- Vấn đề xác thực đầu vào
- Vi phạm OWASP Top 10

Cung cấp xếp hạng mức độ nghiêm trọng và các bước khắc phục.

Phù hợp nhất cho: GPT-5, Claude 4 Sonnet

Kết quả tham khảo thực hiện bằng GPT-5

Thực hiện kiểm tra bảo mật trên code này:

// LoginActivity.kt
package com.example.insecureapp

import android.os.Bundle
import android.util.Log
import android.widget.Button
import android.widget.EditText
import androidx.appcompat.app.AppCompatActivity
import okhttp3.*
import java.io.IOException

class LoginActivity : AppCompatActivity() {

    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)

        val usernameInput = EditText(this)
        val passwordInput = EditText(this)
        val loginButton = Button(this)

        loginButton.setOnClickListener {
            val username = usernameInput.text.toString()
            val password = passwordInput.text.toString()

            // ❌ Log thông tin nhạy cảm
            Log.d("LOGIN_DEBUG", "Username: $username, Password: $password")

            // ❌ Hardcode API URL (HTTP, không HTTPS)
            val url = "http://api.example.com/login?user=$username&pass=$password"

            val client = OkHttpClient()

            val request = Request.Builder()
                .url(url)
                .build()

            client.newCall(request).enqueue(object : Callback {
                override fun onFailure(call: Call, e: IOException) {
                    Log.e("API_ERROR", e.message.toString())
                }

                override fun onResponse(call: Call, response: Response) {
                    val responseBody = response.body?.string()

                    // ❌ Không kiểm tra HTTPS / certificate
                    // ❌ Không validate response

                    // ❌ Lưu token vào SharedPreferences không mã hóa
                    val prefs = getSharedPreferences("app_prefs", MODE_PRIVATE)
                    prefs.edit().putString("auth_token", responseBody).apply()
                }
            })
        }
    }
}

Loại ứng dụng: Ứng dụng di động Android (Kotlin)

Kiểm tra:
- Lỗ hổng tấn công SQL injection
- Lỗ hổng XSS
- Lỗi xác thực/ủy quyền
- Rủi ro rò rỉ dữ liệu
- Vấn đề xác thực đầu vào
- Vi phạm OWASP Top 10

Cung cấp xếp hạng mức độ nghiêm trọng và các bước khắc phục.