背景

某项目现场针对某工程源码给出了一份源代码安全扫描报告，报告总页数2500+，中高危漏洞 2000+，加上低危漏洞总量 5000+，要求必须解决中高危漏洞。

重复分析了三五个漏洞后，提炼出了操作步骤，让 Claude Code 编写 Skill 自动完成这个漏洞分析并给出修复方案。

本文将分享这个过程，从单一简单对话到重复操作抽取 Skill，思路打开后，AI 提效真实可见！

文档分析

首先，我需要统计出有多少类、具体哪一行有什么类型的漏洞。就需要解析漏洞 PDF 文件，这个文件比较有规律，从漏洞正文部分开始，每一个漏洞第一行都是都是一个表头：

ClaudeCode Token 天或周限额会超，正式解决漏洞之前，先用 OpenClaw 提取漏洞的表头信息。

有运气的成分，反复提问几轮后，它完成了数据提取，数据量也是对的，总量五千多，相当吓人：

接着，查看生成的漏洞信息，发现有重复的内容，而且是按漏洞类型分类的，不方便处理。继续优化输出，按类名称分组，并按行号的升序排序；此外过滤掉配置文件相关的漏洞。

这就得到了一个完整的、没有重复的、按类名称、行号升序打印的漏洞文件。

HTTP响应拆分 ClassA.java:180 风险等级：高危
HTTP响应拆分 ClassA.java:181 风险等级：高危
HTTP响应拆分 ClassA.java:232 风险等级：高危
HTTP响应拆分 ClassA.java:440 风险等级：高危
HTTP响应拆分 ClassB.java:123 风险等级：高危
HTTP响应拆分 ClassB.java:124 风险等级：高危
……

创建 Skill

已知的信息如下：

1. 我梳理出了漏洞列表。
2. 我需要分析每一行的类名称行号处的代码是否存在漏洞名称的问题。
3. 最后我想输出整个漏洞分析报告。

这个过程让 Claude 创建一个 Skill ，描述信息后问它怎么创建：

等待它创建完成：

虽然我描述的不是特别清楚，神奇的是，它竟然听懂了，而且成功创建出了 Skill 。

验证 Skill

输入 /vuln-code-reviewer 验证技能，它要你选择需要分析的漏洞类型：

先选择一种类型进行分析，它要求输入第二个信息，源码路径：

手动输入源码路径后，等待它分析完成：

让它生成分析报告：

查看报告：

不愧是专业编程模型，这个 Skill 效果就是我之前人工对话的过程，直接自动化了！

总结

Skill 执行过程中，它能记录之前完成过的漏洞类型，给你提示：

以类为单位，使用 Skill 分析漏洞后，再检查漏洞报告中的解决方案，方向正确后，就可以继续优化 Skill ，加上修复操作了，这比之前通过对话逐个进行修复高效多了！

虽然还没开始修复，感觉已经很容易了！