Documentation Index
Fetch the complete documentation index at: https://www.macaly.com/docs/llms.txt
Use this file to discover all available pages before exploring further.
Práce na bezpečnosti s agentem vypadá stejně jako jakákoli jiná část konverzace. Agent Macaly aplikuje rozumná výchozí nastavení a vy přidáváte kontext: o jaký projekt jde, s jakými daty pracuje a na čem vám záleží. Čím jasněji svůj projekt popíšete, tím lepší bude výsledek.
Nastavte kontext hned na začátku
Nejlepší, co můžete udělat, je říct agentovi hned na začátku, o jaký projekt jde. Stačí pár slov a výsledek bude výrazně lepší, než když budete bezpečnost řešit až dodatečně.
Když popisujete svůj projekt, zmiňte, jestli zahrnuje uživatelské účty, osobní data nebo cokoli citlivého. Agent to zohlední napříč celým projektem, od struktury databáze po ochranu API endpointů.
Když napíšete „zajisti, aby každý uživatel viděl jen svá data” až poté, co je aplikace hotová, agent často musí předělávat to, co už vytvořil. Když informaci zmíníte na začátku, agent rovnou aplikaci navrhne tak, aby vše fungovalo.
Příklady užitečného kontextu:
Stavím SaaS aplikaci s uživatelskými účty. Každý uživatel by měl
vidět jen své projekty a data. Přistup k tomu jako k produkční
aplikaci, kde záleží na bezpečnosti a ochraně dat.
Tohle je interní nástroj pro náš tým na správu zákaznických
požadavků. Budeme mít role admin a člen. E-maily zákazníků
a historie konverzací jsou citlivé, zacházej s nimi opatrně.
Stavím veřejný marketingový web pro moji poradenskou firmu.
Žádné uživatelské účty, žádné platby, jen obsah a kontaktní
formulář.
Kdy dát agentovi víc kontextu
U jednoduchého webu bez účtů a externích integrací výchozí nastavení platformy většinou stačí. Krátký prompt je dostačující.
Podrobnější úvodní prompt pomůže, když váš projekt bude zahrnovat:
- Uživatelské účty a osobní data
- Různé úrovně oprávnění (např. admin a člen)
- Citlivá firemní data v interních nástrojích
- Veřejná API nebo formuláře s otevřeným odesíláním
V těchto případech vám pár vět navíc v prvním promptu ušetří pozdější opravy.
Co jsou osobní data? Cokoli, co může někoho identifikovat: jméno, e-mail, telefonní číslo, adresa, IP adresa, fotografie. Citlivá data jsou o stupeň výš: zdravotní informace, finanční údaje, soukromé zprávy nebo cokoli týkající se dětí. Pokud bude váš projekt ukládat jedno nebo druhé, zmiňte to v prvním promptu, agent podle toho vše nastaví.
Úpravy zabezpečení v průběhu projektu
Jak váš projekt roste, můžete chtít upravit konkrétní věci. Agent dokáže doladit validaci vstupů, limitování požadavků, přístupy na základě rolí, jaká data se posílají na stránku a podobné chování. Nepotřebujete rozumět technickým výrazům – prostě popište, co chcete.
Pár příkladů:
Přes kontaktní formulář chodí spam. Omez odesílání na 3 zprávy
za hodinu na jednoho návštěvníka.
Na veřejném žebříčku zobrazuj jen přezdívky a skóre. Žádné
další informace o uživatelích nezobrazuj.
Přidej administrátorskou sekci, kam mám přístup jen já.
Zajisti, aby se tam nikdo jiný nedostal, ani když zkusí
uhádnout URL.
Když jste kontext nenastavili na začátku
Máte hotový projekt a chcete ho zkontrolovat, než ho pustíte mezi lidi? Agent projde, co je vytvořené, a navrhne, co vylepšit. Nic nemusíte předělávat od začátku.
Pár promptů, které pro takovou analýzu fungují dobře:
Chci tenhle projekt publikovat. Projdi, co je hotové,
a navrhni, co bych měl z hlediska bezpečnosti vylepšit,
než to zveřejním.
Chystám se tuhle aplikaci sdílet se skutečnými uživateli.
Projdi se mnou, jak se zachází s uživatelskými daty, a dej
mi vědět, jestli něco nevypadá správně.
Kontrola konkrétních oblastí s agentem
Agenta se můžete kdykoli zeptat, jak něco ve vašem projektu funguje. Pár promptů, které obvykle vedou k jasné odpovědi:
Ukaž mi, jak jsou v téhle aplikaci chráněná uživatelská data.
Co přesně vrací endpoint veřejného žebříčku návštěvníkům?
Ukaž mi, kde jsou limitované pokusy o přihlášení.
Kdo má přístup do administrátorské sekce a jak je to chráněné?
