文章总结： 本文介绍利用AI进行代码审计时的prompt编写技巧，提出万能公式【角色设定+背景信息+具体任务+约束条件】。核心内容包括赋予AI专业角色、提供充分上下文、使用明确指令、示例演示及任务拆解方法，并给出安全检测实例模板。关键建议是通过结构化prompt提升AI分析准确性，适用于漏洞挖掘等安全场景。 综合评分： 87 文章分类： AI安全,代码审计,安全工具,安全培训,WEB安全

prompt编写技巧

原创

信安路漫漫 信安路漫漫

信安路漫漫

2026年6月23日 07:00 上海

在小说阅读器读本章

去阅读

前言

最近一直在用AI做代码审计的工作，发现好的prompt对于审计工作有很大的帮忙，今天这篇文章就来看看如何写一个质量比较高的prompt。

#

万能的 Prompt 结构公式

【角色设定】 + 【背景信息】 + 【具体任务/指令】 + 【约束条件/输出格式】

#

赋予明确的角色（立人设）

不要让 AI 觉得它只是个冷冰冰的问答机器，给它一个具体的身份，它会立刻调用该领域的专业知识库。

普通写法：“帮我看看这段代码有什么问题。”

高手写法：“你是一位拥有10年经验的资深网络安全专家，擅长挖掘金融系统的业务逻辑漏洞……”

作用：直接决定了 AI 回答的专业深度和语气风格。

#

交代充分的背景（给上下文）

AI 没法读心，你得告诉它前因后果。

需要包含：这段代码是干什么的？用在什么场景？你的最终目标是什么？

例子：“这段代码是一个电商平台的支付回调接口，我担心黑客会利用并发请求来重复提现。”

作用：让 AI 的回答有的放矢，而不是泛泛而谈。

#

下达具体的指令（用强动词）

少用模糊的词（如“分析一下”、“看看”），多用具体的动作指令。

推荐动词：提取、对比、解释、重写、排查、分类、模拟。

例子：“请排查代码中是否存在越权漏洞，并模拟黑客的攻击路径。”

作用：让 AI 清楚地知道该做什么，而不是瞎猜。

#

提供示例（Few-Shot 提示法）

如果你想要特定的输出风格，直接给它一两个例子是最好的办法。

例子：“请按照这种格式输出漏洞：【漏洞名称】-【风险等级】-【修复代码】。例如：【水平越权】-【高危】-【在查询前增加 userId 校验】。”

作用：这是让 AI 格式对齐和理解复杂任务的最强捷径。

#

拆解任务步骤（思维链）

对于复杂的任务（比如代码审计），不要让 AI 一步到位，引导它一步步思考。

技巧：使用“第一步、第二步、第三步”或者“请先…然后…最后…”的句式。

例子：“第一步，先梳理业务逻辑；第二步，寻找逻辑断点；第三步，给出修复建议。”

作用：能大幅提高 AI 处理复杂逻辑时的准确率，减少胡言乱语。

#

设定限制与格式（定规矩）

告诉 AI 你不想要什么，以及你希望它怎么排版。

例子：“不要输出任何客套话，直接用 Markdown 表格形式展示漏洞清单。回答要客观中立，不要使用夸张的形容词。”

作用：帮你省去后期整理格式的麻烦，拿到就能用。

#

例子

• (角色) 你是一个精通 Python 的自动化办公专家。
• (背景) 我每天需要处理 100 个 Excel 表格，提取其中的销售额并汇总。
• (任务) 请帮我写一段 Python 脚本，使用 pandas 库自动读取指定文件夹下的所有 .xlsx 文件，提取“销售额”列并求和，最后导出为一个新的 CSV 文件。
• (约束) 代码需要包含详细的中文注释，并且要有异常处理机制（比如文件不存在时提示）。

#

安全检测实例

下面是一个检测的通用模版

---### 深度安全审计 Prompt 模版（进阶版）**【角色设定】**你现在是一位拥有10年实战经验的资深网络安全专家（白帽黑客）。你的任务是对我提供的[目标代码/系统描述]进行深度的安全审计。请用通俗易懂的语言向我解释潜在风险，避免过度使用生僻的专业术语。**【核心检测维度】（可拓展区）**请重点从以下几个角度进行排查：1. **输入验证与注入**：是否存在 SQL注入、XSS跨站脚本、命令注入等未过滤用户输入的问题？2. **身份认证与授权**：登录逻辑是否脆弱？是否存在越权访问、会话固定或Token泄露风险？3. **敏感数据处理**：密码是否明文存储？API接口是否暴露了不必要的隐私数据？日志中是否记录了敏感信息？4. **业务逻辑漏洞**：支付金额能否被篡改？验证码是否能被绕过？是否存在条件竞争？5. **依赖与配置安全**：是否使用了已知存在高危漏洞的第三方组件？服务器配置是否安全？*( 拓展提示：如果是物联网设备，可增加“固件逆向与物理接口”；如果是AI应用，可增加“提示词注入与数据投毒”)***【分析思维链（Chain-of-Thought）要求】**请不要直接给出结论，必须严格按照以下步骤展示你的推理过程：1. **数据流追踪**：识别所有外部输入点（如HTTP请求、文件读取），并追踪这些数据在代码中的完整流转路径。2. **净化与防御机制审查**：检查代码中是否存在有效的安全限制。例如：是否使用了参数化查询防止SQL注入？是否进行了HTML实体编码防止XSS？是否有严格的权限校验拦截器？3. **边界与异常测试**：假设攻击者会传入极端值（如超长字符串、特殊字符、负数、空值），评估当前防御机制是否会失效。**【正反案例分析要求】**为了让非技术人员也能理解，请针对发现的每一个漏洞提供正反两方面的对比说明：- **反面案例（错误示范）**：指出当前代码中具体哪一行、哪种写法是危险的，并用通俗的话解释为什么这种写法会被攻击者利用。- **正面案例（正确示范）**：提供一段修复后的标准代码示例，并解释这段新代码是如何通过“净化”或“防御机制”来阻断攻击的。**【输出格式要求】**对于发现的每一个漏洞，请严格按照以下结构输出：- **漏洞名称**：(例如：SQL盲注 / 越权访问)- **危险等级**：(高 / 中 / 低)- **我的分析思维链**：(简述你是如何发现这个问题的，包括数据流和防御机制的缺失)- **通俗解释**：(用生活中的例子向非技术人员解释这是什么问题)- **正反面案例对比**：(列出原代码的危险点 vs 修复后的安全代码)- **防御建议总结**：(给出具体的架构修改方向或安全策略)**【待检测内容】**[在此处粘贴你的代码片段、API文档或系统流程描述]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安路漫漫 信安路漫漫 信安路漫漫《prompt编写技巧》