文章总结： 本文介绍利用AI构建个性化代码审计助手的方法，通过NotionMCP整合个人笔记，结合ClaudeCode与skill-creator生成Java审计专用技能。文章详述了从笔记读取、技能编写到迭代优化的完整流程，实现了对大华、海康等大型Java项目的自动化路由提取与参数分析，并生成Burp数据包。该方法展示了如何通过人机协作提升代码审计效率与质量。 综合评分： 92 文章分类： AI安全,代码审计,安全工具

AI+skill=MY

原创

弱鸡 弱鸡

角宿安全

2026年1月23日 16:32 江苏

“让AI作为你的技术分身，AI+skill=MY”

在此篇文章中，会让你重新对AI以及skill有一个全新的认识。

0.1 将自己的经验技能赋能给AI

“让AI作为你的技术分身，AI+skill=MY”

0.1.1 结果展示

其中可以审计出：大华(压缩后：738MB)，海康(压缩后：997MB)可以审计路由以及参数相关信息，同时还会列出教程文档，使用者可以查看如何自己定位路由。

海康历史漏洞路由展示

AI结果（我并未投喂海康漏洞信息，纯根据https://github.com/RuoJi6/java-audit-skills项目生成）：

历史POC：

0.2 前期配置

notion mcp：https://github.com/makenotion/notion-mcp-server

安装skill(官方skill，可以让AI帮助你编写skill)：skill-creator

agent：claude code

0.2.1 让AI读懂自己的笔记

通过notion mcp，让AI读懂自己的笔记，并总结为提纲：

0.2.2 让AI根据笔记写出skill

让AI根据skill-creator结合笔记编写出属于自己技能的skill

可以通过/skill-creator-zh去触发也可以通过对话进行触发（ skill-creator-zh这个是我自己官方汉化版本的skill ）

编写skill技巧

gemini询问你的目的

通过让gemini询问你的目的，得到一段好的提示词，再给claude code编写出skill。

需要提问，帮助解决问题，背景：编写一个网络安全java 路由代码审计skill，现在需要一段提示词给claude code来编写skill，需要提问信息，完善提示词

经过AI提问之后的提示词：

Task: 请为我编写一个高级自定义 Skill，命名为 java-route-extractor-pro。
Skill 核心逻辑: 该 Skill 需要集成 Notion MCP（用于检索参考规范）和 Java Decompiler MCP（用于分析字节码），自动化提取 Java 全量路由并生成 Burp 数据包。
请按以下步骤实现该 Skill：
1. 知识库对齐 (Notion Integration)参考检索: 在开始编写 Skill 逻辑前，必须调用 Notion MCP 搜索关键词（如 "Java 审计规范"、"Burp 模板"、"路由规则"）。
规则注入: 将从 Notion 中检索到的数据包格式要求或特殊路由处理逻辑，注入到本 Skill 的生成策略中。
2. 增强型路由识别 (Hybrid Discovery)静态分析: 扫描源码中的 Spring Boot (@RequestMapping), JAX-RS, Servlet 注解。
深度反编译: 遇到依赖库或 .class 文件定义的路由/DTO，必须调用 java-decompiler-mcp。即使参数定义在父类或关联的 JAR 包中，也要追踪到底。
3. 全参数 DTO 展开 (Deep Parameter Mapping)参数完整性: 禁止省略任何字段。对于拥有 20+ 参数的复杂对象，需递归解析所有层级的成员变量。
智能 Mock: 根据 Java 类型生成测试值。
若 Notion 中定义了特定的测试 Payload（如 XSS/SQLI 探测符），请优先使用 Notion 提供的 Mock 值。
4. 自动化交付 (Output & File Action)Burp 数据包构造: 生成 Markdown 格式的原始 HTTP 请求包。
文件持久化: 遍历全项目后，将结果汇总写入根目录的 audit_full_api_report.md。

先审查-在执行

只需要列出方案，需要审核内容方案通过之后，才能实际编写

在完成之后，我们可以新开一个claude 窗口，用于训练数据提升skill

让AI训练数据提升skill

让AI开始测试数据并提升skill：

1. 让AI开始跑skill，并得到结果

2. 审计结果并找到不足，让AI总结不足

3. 这里可以让AI读取结果，并结合你的提示词得到不足点：

读取当前目录下的结果，这个是java-skill生成的结果，不足点：1、xxx  2、xxx 3、xxx,除了这些还有没有什么的不足的地方？（目的是：审计出java路由以及参数，形成burpsuite数据包并写成md文档）列出不足点，以及如何优化的方案，如何优化java-skill

通过不断重复上面的步骤，查看结果得到真正满足的结果。

0.3 总结

此项目：https://github.com/RuoJi6/java-audit-skills，是我根据的我的笔记以及经验生成的一份skill，专用于java的代码审计流程结果。

其中可以审计出：大华(压缩后：738MB)，海康(压缩后：997MB)可以审计路由以及参数相关信息，同时还会列出教程文档，使用者可以查看如何自己定位路由。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：角宿安全 弱鸡 弱鸡《AI+skill=MY》