Cisco发布Project CodeGuard：大企业终于来帮独立开发者扛安全这口锅了

Cisco在GitHub上发布了”Project CodeGuard”——一套专为AI代码生成设计的安全规则集。这是我作为氛围编码者逃避了三年的领域，如今有大企业出手帮忙扛了。作为一名曾经的受挫工程师，我只能说，这感觉像是”终于有人站到我这边来了”。这是氛围编程系列的第8篇，我要写的是如何把CodeGuard真正融入自己的开发流程。这篇文章是从Lovable的170个后门、CurXecute的权限失控，到Tenzai调查发现的69个漏洞，一路延伸过来的。

Cisco发布了”Project CodeGuard”，到底改变了什么？

AI代码生成的规则侧，开始有标准了。

Cisco于2025年10月以开源形式发布了”Project CodeGuard”。这是一套面向AI编码Agent的安全规则集，支持Cursor、GitHub Copilot、Claude Code等主流工具，官方仓库在 https://github.com/project-codeguard/rules 。2026年2月，Cisco又将该项目捐赠给了CoSAI（AI安全联盟），从单家公司的项目升格为行业标准框架。

做过氛围编程的人，大概都有这种经历：每次都得在prompt里写”别让SQL注入""别把密钥打到日志里”。我也是。一不留神，AI就会理所当然地搞砸。于是每次都得手动写一遍。

Cisco给出的，是把这些反复要写的指令，打包成一个”规则文件”一次性让AI读入的机制。不用写在prompt里，把文件放到仓库根目录，AI每次生成代码时都会自动参照。再也不用重复劳动了。

我想在这里停一下。这不只是”一个好用的配置文件”的事。氛围编程第1弹写的Lovable 170个漏洞、第3弹的CurXecute权限失控、第7弹Tenzai发现的69个安全漏洞——这些问题一直都被归结为”使用AI一方”的责任。CodeGuard看起来是第一个同时覆盖”工具侧”和”规则侧”的重量级项目。

在CS工作中，我见过太多次这种模式：有一个阶段叫”告诉客户请小心”，还有一个阶段叫”在产品里做好防护”。进入后一个阶段，客户的负担会大幅下降。CodeGuard迈入的，就是后者。

CodeGuard里面有什么——以我能理解的范围来写

先说清楚：本节内容以一次资料（https://github.com/project-codeguard/rules 和 https://project-codeguard.org/getting-started/）为参照来写。我自己的解读部分会逐一标注。

通读CodeGuard仓库后，规则大体分为三个类别。

第一类是禁止规则。列举出绝对不能做的事：禁止硬编码密钥、禁止eval、禁止exec。这是专门针对氛围编码者在”能跑就行”的心态下容易犯的错误，设计成在代码生成之前就拦住。

第二类是推荐规则。输入验证、速率限制、CSRF token的嵌入。第7弹里Tenzai指出的”15个App中14个速率限制为零”，正是这里会作为默认值内置的部分。

第三类可以叫上下文规则。根据前端、API、数据库等不同层级切换适用的规则。同样是”输入检查”，用户输入和数据库连接字符串的性质就不一样。这里会按上下文区分处理（此处含笔者解读，精确分类请以仓库为准）。

# CodeGuard规则文件（结构示意）
rules:
  - id: no-hardcoded-secrets
    severity: error
    layer: all
  - id: rate-limit-required
    severity: warning
    layer: api
  - id: input-validation
    severity: error
    layer: frontend,api

这样理解的话，只需把文件放在仓库根目录，AI就会将其作为”设计前提”自动读入——不需要在每次prompt里重新声明安全要求。这就是我理解的CodeGuard最核心的价值。

先说一个坑：CodeGuard不是写好规则就能生效的。前提是你使用的Agent能读懂那种规则格式。下一节会详细说，Cursor、Copilot、Claude Code的安装方式各不相同。格式搞错了，规则就不会生效。

一旦觉得”跟我没关系”，先停下来想一想

这里要破除三个误解。

误解一：“这是大企业的事，跟我没关系。“看到Cisco的名字就关掉的人不少。恰恰相反。以开源形式发布的意义，本身就是”个人开发者请来用”这个信号。仓库根目录放一个文件就能运行的结构，就是给普通人设计的。

误解二：“我的规模小，就算有漏洞影响也不大。“这是第1弹Lovable文章的核心所在。SVIBES调查显示：“即使通过功能测试的代码，也只有大约六分之一可以真正称为安全。“能跑的代码和安全的代码是两回事。规模再小，泄露的信息同样重要。

误解三：“这只是有安全团队的人才需要的事。“这个误解根子最深。大多数氛围编码者都是一个人写。没有代码审查者。我也是。正因如此，才更需要让规则侧来分担责任。CodeGuard在我看来，就是”专为独立写代码的人设计的辅助轮”。

做CS工作的时候，我不知道听过多少次客户说”我们公司小，应该没问题”。信息泄露没有规模门槛。氛围编码者也一样。正因为是一个人写，更应该从一开始就在有保护的状态下写——最终会更轻松。

如果读到这里还是觉得”好麻烦”——下一节，我来写今天就能做的最小化配置。只有三件事。

氛围编码者今天就能做的最小化三步配置

三步就够了，依次来说。

第一步：在仓库根目录放入规则文件。 方法因使用的Agent而异。

使用Cursor的情况：将规则文件放到.cursor/rules/下。从官方仓库（https://github.com/project-codeguard/rules）下载Cursor专用文件并放置。

# Cursor用户
cd your-project
mkdir -p .cursor/rules
# 官方仓库: https://github.com/project-codeguard/rules
# 下载Cursor规则文件
curl -o .cursor/rules/codeguard.mdc \
  https://raw.githubusercontent.com/project-codeguard/rules/main/cursor/codeguard.mdc

使用GitHub Copilot的情况：放到.github/instructions目录。从仓库的Copilot专用目录取文件。

使用Claude Code的情况：以插件形式安装。在Claude Code内执行/plugin install codeguard-security@project-codeguard即可完成安装。官方推荐的引导方式是这个插件命令，而不是手动复制到CLAUDE.md。

各Agent的详细安装步骤整理在 https://project-codeguard.org/install-paths/ 。初次设置不到10分钟。

第二步：在给AI的提示词里明确要求参照规则。 光把规则文件放进去还不够，有些Agent可能不会主动读。在prompt开头加一句”请务必参照CodeGuard规则后再写”，实际体感上参照率会大幅提升。就加一行。

第三步：人工审查时按CodeGuard的分类核查。 最后检查生成代码时，按禁止、推荐、上下文三个类别过一遍。我平时会留5分钟做自我审查，就看”违反了几条禁止规则""推荐规则覆盖到什么程度”。

提前说两个坑。第一个：各Agent的安装方式真的不一样。Cursor用.cursor/rules/，Copilot用.github/instructions，Claude Code用插件。我刚开始试的时候，把Copilot的文件放进了Cursor，困惑了整整一个小时”怎么没效果”。要按Agent分别对应（详情：https://project-codeguard.org/install-paths/）。

第二个：规则过载。一次性启用CodeGuard的全部规则，AI有时会生成跑不起来的代码。第7弹的Tenzai调查也提到了这点，规则过多会降低生成质量。我的体验是，从”只启用禁止规则”开始，再逐步加入推荐规则，效果更稳。

三步最小化配置：首次约10分钟，进入日常运用后每次编程新增负担约1分钟。就这样，就能接入一套可以拦截Lovable、CurXecute、Tenzai调查所揭示的大量漏洞的机制。

这和我在第7弹写的”三个习惯”怎么衔接？

第7弹（Tenzai 5大Agent对比篇）里，我向氛围编码者推荐了三个习惯：第一，把常识写进代码规格说明；第二，在仓库里放SECURITY-CHECKLIST.md；第三，人工最后手动测试5种场景。

CodeGuard恰好插入这三个习惯的中间——也就是”放在仓库里的文档”那一块。自己写的SECURITY-CHECKLIST.md可以用CodeGuard的规则文件来替换。一个人写的100行清单，换成行业标准的数百条规则。

不过，替换不等于全部交出去。CodeGuard是通用规则。项目特有的要求不在其中。比如”这个API绝对不能调用发送邮件的功能”、“这个页面涉及支付信息，需要额外记录日志”——这类本地约定是另一回事。

于是我把运用方式改成了两层结构。第一层是CodeGuard（通用，行业标准数百条规则），第二层是自己的SECURITY-CHECKLIST-LOCAL.md（专属，10～30行左右）。两个都让AI读。

# 给AI的开发指令提示词（示例）

在这个仓库中，请务必参照以下两份文件：

1. CodeGuard规则（按Agent配置好的规则）
2. `.cursor/rules/local-checklist.mdc` — 本项目专属要求

请生成不违反两者的代码。

这种两层化让通用和专属的职责分工清晰了。原来硬塞进一个SECURITY-CHECKLIST.md的东西拆分开来，运维负担大幅降低。

这也和Nagi的文章《只是”在用AI”已经无法拉开差距的时代》（/blog/n2026042000009401/）里提到的”使用者的设计力”相呼应。CodeGuard提供规则，但本地设计依然是使用者自己的责任。不能全部交给AI的部分，还是要自己写。这一点没有变。

大企业以开源形式发布的意义，以及独立开发者的阶段也在转变

我把Cisco开源发布CodeGuard，读作氛围编程”个人责任阶段”开始走向终结的信号。

2024年到2025年，氛围编程安全讨论的主流是”使用者要小心”。Lovable事件（第1弹）和CurXecute事件（第3弹），解说的结论基本都落在”用户意识改革”上。这没有错，但有其局限。把10份清单塞给一个人写代码的开发者，运维是维持不下去的。

CodeGuard用”规则我们来准备，你放进去就行”这种方式介入了。负担的重心开始向工具侧、规则侧转移。Tenzai在第7弹给出的结论——“赢家是做测试的一方”——和CodeGuard所指向的”共享规则”方向，属于同一股潮流。

Nagi那篇《不会写代码也没关系的时代》（/blog/n2026032200000901/）里讨论的”不会写但能做”这种结构，已经不只是编程能力的事了。它开始包含”不会写但能安全地做”。CodeGuard就是”安全地”这个部分的辅助线。

这是我在CS工作中反复见过的模式。最初被归结为”用法不当，客户的问题”的领域，在某个时间点被作为产品功能内置进去了。代码生成的安全，终于也进入了这个转折点。

我判断，未来半年到一年内，除CodeGuard之外的规则集也会出现——微软、谷歌、Anthropic都有可能在同一层级有所动作。当多套规则集开始竞争，氛围编码者会进入”选择采用哪套”的立场。这是个奢侈的烦恼。三年前连一个选项都没有。

作为曾经受挫退出的工程师，这是真心让我高兴的变化。我在职时希望有却没有的”个人开发者也能用的通用安全规则”，终于出来了。有同感的人一定不少。

总结：氛围编码者不再只有自己一个人的那一天

把上面的内容压缩一下。

第一点。 Cisco于2025年10月开源发布了”Project CodeGuard”。这是面向AI代码生成的规则集，支持Cursor、Copilot、Claude Code等主流Agent。2026年2月捐赠给CoSAI，成为行业标准框架。

第二点。 内容大体分为三个类别（禁止、推荐、上下文），放在仓库里AI就会自动参照。原来每次prompt里都要写的安全指令，汇聚成一个文件。

第三点。 独立开发者的最小化配置三步：仓库放置（按Agent方式不同）、提示词中明确引用、人工5分钟自我审查。首次约10分钟，之后运维负担每次约1分钟。

第四点。 第7弹提到的”三个习惯”中，SECURITY-CHECKLIST.md的部分可以用CodeGuard替换。通用和专属两层化，运维会顺畅很多。

第五点。 Cisco开源发布CodeGuard，是氛围编程的责任分配从”使用者侧”向”规则侧”转移开始的信号。对独立写代码的人来说是好消息。三年前没有的辅助线，出现了。

我曾经受挫离开代码，借助AI回来时，第一个拦住我的就是安全。CS的直觉告诉我”这样好吗”，但不知道怎么在代码里止住。如果三年前就有CodeGuard这样的东西，也许我会更早回来。从现在开始的人，已经不再只有自己一个人了。有人开始愿意帮忙分担了。先从在仓库里放一个文件开始，试试看吧。

出处

• Project CodeGuard 官方仓库：https://github.com/project-codeguard/rules
• Project CodeGuard 入门指南：https://project-codeguard.org/getting-started/
• Project CodeGuard 安装路径（按Agent）：https://project-codeguard.org/install-paths/
• Cisco “Project CodeGuard” 发布博客（2025年10月）：https://blogs.cisco.com/ai/announcing-new-framework-securing-ai-generated-code
• CoSAI “Cisco捐赠公告”（2026年2月）：https://www.oasis-open.org/2026/02/09/cisco-donates-project-codeguard-to-coalition-for-secure-ai/
• Anthropic “Claude Code” 官方文档：https://docs.anthropic.com/claude/docs/claude-code
• Cursor “Rules for AI” 官方文档：https://docs.cursor.com/context/rules-for-ai
• 过去系列（本媒体・Gen执笔）
  • 第1弹《氛围编程的170个后门》（2026-04-01发布）
  • 第3弹《Forrester Secure Vibe Coding》（2026-04-04发布）
  • 第6弹《氛围编程的45%有漏洞》（2026-04-16发布）
  • 第7弹《Tenzai对比了5大氛围编程工具》（2026-05-12发布）