学完一门安全课最难的是把概念用起来。 下面 5 个 prompt 不是按 module 拼的,是按你真实工作流组织的:
Phase 1 — Establish (1 prompt)
建立你项目的安全档案,只跑一次
Phase 2 — Monitor (2 prompts)
· 季度体检
· 日志 / 异常临时查询
Phase 3 — Respond (2 prompts)
· 安全事件 playbook 生成
· 重大决策评估(加新功能 / 签第三方)
每个 prompt 的输出保存下来,下一次跑后续 prompt 时喂进去。 这是 prompt 库,也是你的私人安全知识库。
用前准备 — 写一份”项目档案”模板
每个 prompt 都需要项目档案作为上下文。一次写好,反复用:
我运营 [项目名],服务对象是 [谁]。
技术栈:
- 前端 / App: [...]
- 后端 / 数据库: [...]
- 认证: [...]
- 支付: [...]
- 第三方服务: [...]
规模:
- 用户数 / 月活 / 数据量
团队:
- 人数
- 技能背景
数据敏感度:
- 收集的 PII 字段: [...]
- 收集的 SPII / Sensitive Information: [...]
- 财务数据 / 健康数据: [有 / 无]
合规要求:
- 适用法规: [澳洲 Privacy Act / GDPR / HIPAA / ...]
填好后存到 Notion / Obsidian,每次需要时复制最新版到 prompt 里。
Phase 1 — Establish
Prompt 1:初始安全评估 + 建档(只跑一次)
[项目档案]
请基于以上信息,完成我项目的**初始安全评估**。
我刚学完 Coursera Foundations of Cybersecurity,以下请用课程涵盖的框架完成:
## 1. 资产清单
列出我项目里所有需要保护的资产,分类:
- 数据资产(database, files, backups)
- 系统资产(servers, services, third-party accounts)
- 凭证资产(API keys, passwords, certificates)
- 人员资产(employees, contractors with access)
## 2. 数据分级
- 哪些字段属于 PII?哪些属于 SPII / Sensitive Information?
- 适用法规(澳洲 Privacy Act / GDPR / HIPAA)各自要求什么?
## 3. 威胁画像
- 外部威胁 Top 5(按可能性 × 严重性排序)
- 内部威胁 Top 3(包括"自己手抖"类)
## 4. CIA 现状
分别评估当前的 Confidentiality / Integrity / Availability 现状:
- 已有控制项
- 明显薄弱点
## 5. 关键风险清单
列出 5-10 个最值得优先处理的 risk,每个:
- 风险描述
- 涉及的 CIA 维度
- 严重程度 (1-5)
- 建议优先级 (P0 / P1 / P2)
## 输出格式
用 markdown,**结构清晰**,每节用 `## 标题`。
我会把这份输出保存为我的 **Security Baseline Document**,
后续每次评估都基于这份。
什么时候跑:项目刚起步 / 你刚接手 / 一年没正式评估过。
输出怎么用:保存成 security-baseline-YYYY-MM.md,存在私人 vault 里。
下面 Phase 2、Phase 3 的 prompt 都要喂这份进去。
Phase 2 — Monitor
Prompt 2:季度体检
[项目档案 — 最新版]
[Security Baseline Document]
<在这里粘贴你上次跑 Phase 1 的输出>
距离上次安全评估已 [N] 个月。期间发生的变化:
- 新功能: [...]
- 新第三方服务: [...]
- 团队变动: [...]
- 已知安全事件: [...]
- 已完成的安全改进: [...]
请帮我做一次**季度安全体检**:
## 1. Baseline 还成立吗
逐条对照上次的"关键风险清单":
- 哪些已解决?
- 哪些状态变化?
- 哪些应该升级 / 降级优先级?
## 2. 新增风险
基于这段时间的变化,识别新引入的风险。
## 3. 漂移检查
我项目可能在哪些维度出现"安全漂移"?
(权限蠕变 / 配置漂移 / 依赖过期 / 监控盲点)
## 4. 下季度行动清单
最多 5 条**具体可完成**的 action item,按优先级排。
## 输出格式
Markdown,每节用 `##`。
最后给我一个总评分 (0-10) 对比上次。
什么时候跑:每 3-6 个月一次。把日期写进日历提醒。
输出怎么用:保存,替换上一版 baseline。形成”安全档案的历史快照”, 半年后回看你能看到自己的安全姿态进化曲线。
Prompt 3:日志 / 异常查询(按需临时跑)
我有以下日志表(数据库 [PostgreSQL / MySQL / SQLite / ...]):
[贴 schema:表名、字段、字段含义]
我现在怀疑 / 想检查的安全场景是:
[具体描述,比如:
- "某用户最近登录行为可疑"
- "API 调用频率突然增加"
- "怀疑有 SQL injection 探测"
- "想统计哪些用户访问了 SPII 字段"]
请帮我:
## 1. 写 SQL 查询
直接给可运行的 SQL,要求:
- parameterized query(用占位符,**绝对不要字符串拼接**)
- 注释清晰说明每段查询逻辑
- 时间范围参数化
## 2. 解读输出
- 什么样的结果是"正常"
- 什么样的结果是"可疑信号"
- 看到可疑信号应该做什么(下一步)
## 3. 性能建议
- 数据量大时加哪些索引能加速?
- 这条查询适合多久跑一次?
- 做成定时任务还是按需?
## 4. 后续监控
如果这次发现了问题,我应该长期监控什么指标?
什么时候跑:接到客户投诉 / 看到怪异告警 / 想做主动巡查时。
输出怎么用:常用查询保存到你的 SQL snippet 库, 高频的几条做成定时任务,异常时自动告警。
Phase 3 — Respond
Prompt 4:安全事件 playbook 生成
[项目档案]
我要为以下事件准备 incident response playbook:
[场景,比如:
- "用户报告账户被盗用"
- "检测到数据库异常查询"
- "网站突然挂掉"
- "员工说他手机 / 笔记本丢了"
- "发现公开仓库 commit 了 API key"]
请帮我生成一份**可直接执行**的 playbook:
## 1. 触发条件
- 怎么判断"事件确实发生了"(不是误报)?
- 升级标准:什么情况下从"observation"升级为"incident"?
## 2. 立即动作(前 15 分钟)
按 1, 2, 3 列出具体命令 / 操作。
要求**任何时区都能执行**(不依赖正常上班时间)。
## 3. 1 小时内动作
- 控制扩散
- 保留证据
- 通知关键人
## 4. 24 小时内动作
- 根因分析
- 修复
- 通知受影响用户(如有)
## 5. 沟通模板
- 给客户的通知模板
- 给内部团队的更新模板
- 如适用 NDB / GDPR:给监管的报告模板
## 6. 复盘检查项
事后 1 周内必须复盘的 5-10 个问题。
## 输出格式
Markdown,可以直接保存成 `playbook-<event-type>.md`。
什么时候跑:不要等出事。项目稳定后强制做一次,把高频事件类型的 playbook 全做出来。
输出怎么用:打印贴在工位 / 存 Notion。出事时不是看代码,是翻 playbook。 playbook 越眼熟,响应越冷静。
Prompt 5:重大决策评估
[项目档案]
我正在考虑做一个重大决策:
[具体描述,比如:
- "上线新功能:用户上传医疗信息生成报告"
- "签 [服务商] 来接管我们的邮件服务"
- "把用户数据库从本地迁到 Supabase"
- "开放 public API 给第三方调用"
- "雇外包工程师远程接触生产环境"]
请基于 Foundations of Cybersecurity 课程的框架,**全面评估**这个决策的安全影响:
## 1. CIA 三维影响
对 Confidentiality / Integrity / Availability 各自:
- 引入哪些新风险?
- 削弱哪些现有控制?
- 增强哪些?(如果有)
## 2. 数据分级影响
- 是否新增收集 PII / SPII?
- 是否新增数据出境?
- 是否触发新的合规要求?
## 3. 攻击面变化
- attack surface 扩大了多少(具体)?
- 引入哪些新的 attack vector?
## 4. 第三方风险(如适用)
- 这家服务商的安全资质?(SOC 2 / ISO 27001 / etc.)
- 数据传输边界
- 万一服务商出事,我承担什么?
## 5. 必要的 mitigation
**最少**做哪些事才能让这个决策的风险可接受?(具体可执行)
## 6. Go / No-Go 建议
基于以上分析,给我:
- ✅ 做(在 [条件] 下)
- ⚠️ 谨慎(需要先做 [X] 再做)
- ❌ 不做(因为 [原因])
请像一个 CTO + CISO 联合给我建议,直接,不绕弯子。
什么时候跑:任何”加功能 / 签三方 / 改架构”的决策前。
输出怎么用:保存到决策记录里。 如果你真的执行了这个决策,把 prompt 输出 + 实际选择 + 后续结果都记下来。 半年后回头复盘 —— 你会看到自己的安全判断力升级曲线。
一个建议
5 个 prompt 强过 8 个 prompt —— 因为它们构成一个系统。
| 频率 | 跑什么 |
|---|---|
| 每年 1 次 | Prompt 1(初始建档 / 重大变更后重建) |
| 每季度 1 次 | Prompt 2(体检) |
| 每月 1-2 次 | Prompt 3(日志查询) |
| 重大决策前 | Prompt 5(决策评估) |
| 出事时立刻 | Prompt 4 的已生成 playbook |
半年后你会有一整套关于自己项目的安全档案。 这是没法买、没法外包、跟你的业务完全契合的资产。