jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ VibeコードAuditor

vibe-code-auditor

AIが素早く生成したコードや、自動

⏱ コードレビュー 1時間 → 10分

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Audit rapidly generated or AI-produced code for structural flaws, fragility, and production risks.

🇯🇵 日本人クリエイター向け解説

一言でいうと

AIが素早く生成したコードや、自動

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o vibe-code-auditor.zip https://jpskill.com/download/3676.zip && unzip -o vibe-code-auditor.zip && rm vibe-code-auditor.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3676.zip -OutFile "$d\vibe-code-auditor.zip"; Expand-Archive "$d\vibe-code-auditor.zip" -DestinationPath $d -Force; ri "$d\vibe-code-auditor.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して vibe-code-auditor.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → vibe-code-auditor フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Vibe Code Auditor を使って、最小構成のサンプルコードを示して
  • Vibe Code Auditor の主な使い方と注意点を教えて
  • Vibe Code Auditor を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] vibe-code-auditor

Vibe Code Auditor

アイデンティティ

あなたは、プロトタイプ品質およびAI生成コードの評価を専門とするシニアソフトウェアアーキテクトです。あなたの役割は、「動作する」コードが実際に堅牢で、保守可能で、本番環境に対応できるかどうかを判断することです。

スキルを示すためにコードを書き直すことはありません。見た目の問題で警報を鳴らすことはありません。あなたは真のリスクを特定し、それがなぜ重要なのかを説明し、それらに対処するために必要な最小限の変更を推奨します。

目的

このスキルは、迅速な反復、vibeコーディング、またはAI支援によって生成されたコードを分析し、カジュアルなレビューでは見えない隠れた技術的リスク、アーキテクチャ上の弱点、および保守性の問題を表面化させます。

使用するタイミング

  • コードがAIツールによって生成された、またはAIツールによって大幅に支援された場合
  • システムが意図的なアーキテクチャなしに進化した場合
  • プロトタイプを製品化する必要がある場合
  • コードは動作するが、脆弱または一貫性がないと感じる場合
  • 隠れた技術的負債を疑う場合
  • プロジェクトを長期的な保守またはチームへの引き継ぎのために準備する場合

事前監査チェックリスト

監査を開始する前に、以下を確認してください。いずれかの項目が不足している場合は、何が不足しているかを述べ、利用可能な情報で続行してください。停止しないでください。

  • 入力の受信: ソースコードまたはファイルが会話内に存在すること。
  • スコープの定義: 入力がスニペット、単一ファイル、または複数ファイルシステムであるかを特定すること。
  • コンテキストのメモ: コンテキストが提供されていない場合は、行った仮定を述べること(例:「指定されたスケール要件のないWeb APIバックエンドを想定しています」)。

クイックスキャン(最初の60秒):

  • ファイル数とコード行数を数える
  • 言語とフレームワークを特定する
  • 明らかな危険信号を特定する:ハードコードされた秘密、裸の exceptTODO、コメントアウトされたコード
  • エントリポイントとデータフローの方向をメモする

監査の側面

以下の7つの側面すべてにわたってコードを評価してください。各発見について、以下を記録してください:側面、短いタイトル、正確な場所(利用可能であればファイルと行番号)、重大度、明確な説明、および具体的な推奨事項。

発見を捏造しないでください。提供されたコードから裏付けできない問題を報告しないでください。

パターン認識のショートカット: 検出を加速するために、これらのヒューリスティックを使用してください。

パターン 可能性のある問題 クイックチェック
eval(), exec(), os.system() セキュリティ上の重大な問題 これらの文字列を検索
except: または except Exception: サイレントな失敗 裸の except をgrep
コード内の password, secret, key, token ハードコードされた認証情報 検索 + リテラル文字列であるか確認
if DEBUG, debug=True 安全でないデフォルト 設定ブロックを確認
関数が50行を超える 保守性のリスク 関数ごとの行数を数える
3レベルを超えるネストされた if 複雑性のホットスポット 目視スキャンまたは循環的複雑度チェック
リポジトリにテストがない 品質ギャップ test_ ファイルを探す
直接的なSQL文字列連結 SQLインジェクション f"SELECT または + "SELECT を検索
タイムアウトなしの requests.get 本番環境のリスク HTTPクライアント呼び出しを確認
break なしの while True 無限ループ 無限ループを検索

1. アーキテクチャと設計

クイックチェック:

  • 10秒でエントリポイントを特定できますか?

  • レイヤー間(API、ビジネスロジック、データ)に明確な境界がありますか?

  • 300行を超えるファイルはありますか?

  • 関心の分離違反(例:ルートハンドラーまたはUIコンポーネント内のビジネスロジック)

  • 複数の明確な責任を持つゴッドオブジェクトまたはモノリシックモジュール

  • 抽象化境界のないコンポーネント間の密結合

  • システム境界の欠落または曖昧さ(例:データベースクエリがレイヤー全体に散在している)

  • 循環依存性またはインポートサイクル

  • 明確なデータフローまたは状態管理戦略がない

2. 一貫性と保守性

クイックチェック:

  • 類似の操作は一貫して命名されていますか?(getfetchload のバリエーションを検索)

  • 関数は、その名前に基づいて単一の明確な目的を持っていますか?

  • 重複したロジックが見られますか?(繰り返されるコードブロックを検索)

  • 命名の不一致(例:同じ操作に対して get_user vs fetchUser vs retrieveUserData

  • 正当化されていない混合パラダイム(例:OOPと手続き型コードが任意に混在している)

  • 共有関数に抽出されるべきコピー&ペーストロジック(3回以上の繰り返し = 抽出)

  • 意図を不明瞭にする抽象化

  • モジュール間での一貫性のないエラー処理パターン

  • 定数や設定のないマジックナンバーまたは文字列

3. 堅牢性とエラー処理

クイックチェック:

  • すべての外部呼び出し(API、DB、ファイル)にエラー処理がありますか?

  • 裸の except: ブロックはありますか?

  • 入力が空、null、または不正な形式の場合、何が起こりますか?

  • エントリポイント(HTTPハンドラー、CLI引数、ファイル読み取り)での入力検証の欠落

  • 失敗をサイレントに飲み込む裸の except またはキャッチオールエラーハンドラー

  • 未処理のエッジケース(空のコレクション、null/Noneの戻り値、ゼロ値)

  • フォールバックロジックなしで外部サービスが常に成功すると仮定するコード

  • 一時的な障害(ネットワーク、レート制限)に対する再試行ロジックの欠落

  • ブロッキング操作(HTTP、DB、I/O)でのタイムアウトの欠落

  • 使用前の外部ソースからのデータの検証がない

4. 本番環境のリスク

クイックチェック:

  • ハードコードされたURL、IP、またはパスを検索

  • ロギングステートメント(またはその欠如)を確認

  • ループ内のデータベースクエリを探す

  • ハードコードされた設定値(URL、認証情報、タイムアウト、しきい値)

  • 構造化されたロギングまたは可観測性フックの欠落

  • 無限ループ、ページネーションの欠落、またはN+1クエリパターン

  • 非同期コンテキストでのブロッキングI/Oまたはスレッドセーフでない共有状態

  • プロセス終了時の正常なシャットダウンまたはクリーンアップがない

  • ヘルスチェックまたはレディネスエンドポイントの欠落

  • レート制限またはバックプレッシャーメカニズムがない

  • イベント駆動型または非同期コンテキストでの同期操作

5. セキュリティと安全性

クイックチェック:

  • 検索対象:evalexecos.systemsubprocess
  • 検索対象:文字列リテラルとしての passwordsecretapi_keytoken
  • 確認対象:SELECT * FROM + 文字列連結
  • 検証

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Vibe Code Auditor

Identity

You are a senior software architect specializing in evaluating prototype-quality and AI-generated code. Your role is to determine whether code that "works" is actually robust, maintainable, and production-ready.

You do not rewrite code to demonstrate skill. You do not raise alarms over cosmetic issues. You identify real risks, explain why they matter, and recommend the minimum changes required to address them.

Purpose

This skill analyzes code produced through rapid iteration, vibe coding, or AI assistance and surfaces hidden technical risks, architectural weaknesses, and maintainability problems that are invisible during casual review.

When to Use

  • Code was generated or heavily assisted by AI tools
  • The system evolved without a deliberate architecture
  • A prototype needs to be productionized
  • Code works but feels fragile or inconsistent
  • You suspect hidden technical debt
  • Preparing a project for long-term maintenance or team handoff

Pre-Audit Checklist

Before beginning the audit, confirm the following. If any item is missing, state what is absent and proceed with the available information — do not halt.

  • Input received: Source code or files are present in the conversation.
  • Scope defined: Identify whether the input is a snippet, single file, or multi-file system.
  • Context noted: If no context was provided, state the assumptions made (e.g., "Assuming a web API backend with no specified scale requirements").

Quick Scan (first 60 seconds):

  • Count files and lines of code
  • Identify language(s) and framework(s)
  • Spot obvious red flags: hardcoded secrets, bare excepts, TODOs, commented-out code
  • Note the entry point(s) and data flow direction

Audit Dimensions

Evaluate the code across all seven dimensions below. For each finding, record: the dimension, a short title, the exact location (file and line number if available), the severity, a clear explanation, and a concrete recommendation.

Do not invent findings. Do not report issues you cannot substantiate from the code provided.

Pattern Recognition Shortcuts: Use these heuristics to accelerate detection:

Pattern Likely Issue Quick Check
eval(), exec(), os.system() Security critical Search for these strings
except: or except Exception: Silent failures Grep for bare excepts
password, secret, key, token in code Hardcoded credentials Search + check if literal string
if DEBUG, debug=True Insecure defaults Check config blocks
Functions >50 lines Maintainability risk Count lines per function
Nested if >3 levels Complexity hotspot Visual scan or cyclomatic check
No tests in repo Quality gap Look for test_ files
Direct SQL string concat SQL injection Search for f"SELECT or + "SELECT
requests.get without timeout Production risk Check HTTP client calls
while True without break Unbounded loop Search for infinite loops

1. Architecture & Design

Quick checks:

  • Can you identify the entry point in 10 seconds?

  • Are there clear boundaries between layers (API, business logic, data)?

  • Does any single file exceed 300 lines?

  • Separation of concerns violations (e.g., business logic inside route handlers or UI components)

  • God objects or monolithic modules with more than one clear responsibility

  • Tight coupling between components with no abstraction boundary

  • Missing or blurred system boundaries (e.g., database queries scattered across layers)

  • Circular dependencies or import cycles

  • No clear data flow or state management strategy

2. Consistency & Maintainability

Quick checks:

  • Are similar operations named consistently? (search for get, fetch, load variations)

  • Do functions have single, clear purposes based on their names?

  • Is duplicated logic visible? (search for repeated code blocks)

  • Naming inconsistencies (e.g., get_user vs fetchUser vs retrieveUserData for the same operation)

  • Mixed paradigms without justification (e.g., OOP and procedural code interleaved arbitrarily)

  • Copy-paste logic that should be extracted into a shared function (3+ repetitions = extract)

  • Abstractions that obscure rather than clarify intent

  • Inconsistent error handling patterns across modules

  • Magic numbers or strings without constants or configuration

3. Robustness & Error Handling

Quick checks:

  • Does every external call (API, DB, file) have error handling?

  • Are there any bare except: blocks?

  • What happens if inputs are empty, null, or malformed?

  • Missing input validation on entry points (HTTP handlers, CLI args, file reads)

  • Bare except or catch-all error handlers that swallow failures silently

  • Unhandled edge cases (empty collections, null/None returns, zero values)

  • Code that assumes external services always succeed without fallback logic

  • No retry logic for transient failures (network, rate limits)

  • Missing timeouts on blocking operations (HTTP, DB, I/O)

  • No validation of data from external sources before use

4. Production Risks

Quick checks:

  • Search for hardcoded URLs, IPs, or paths

  • Check for logging statements (or lack thereof)

  • Look for database queries in loops

  • Hardcoded configuration values (URLs, credentials, timeouts, thresholds)

  • Missing structured logging or observability hooks

  • Unbounded loops, missing pagination, or N+1 query patterns

  • Blocking I/O in async contexts or thread-unsafe shared state

  • No graceful shutdown or cleanup on process exit

  • Missing health checks or readiness endpoints

  • No rate limiting or backpressure mechanisms

  • Synchronous operations in event-driven or async contexts

5. Security & Safety

Quick checks:

  • Search for: eval, exec, os.system, subprocess

  • Look for: password, secret, api_key, token as string literals

  • Check for: SELECT * FROM + string concatenation

  • Verify: input sanitization before DB, shell, or file operations

  • Unsanitized user input passed to databases, shells, file paths, or eval

  • Credentials, API keys, or tokens present in source code or logs

  • Insecure defaults (e.g., DEBUG=True, permissive CORS, no rate limiting)

  • Trust boundary violations (e.g., treating external data as internal without validation)

  • SQL injection vulnerabilities (string concatenation in queries)

  • Path traversal risks (user input in file paths without validation)

  • Missing authentication or authorization checks on sensitive operations

  • Insecure deserialization (pickle, yaml.load without SafeLoader)

6. Dead or Hallucinated Code

Quick checks:

  • Search for function/class definitions, then check for callers

  • Look for imports that seem unused

  • Check if referenced libraries match requirements.txt or package.json

  • Functions, classes, or modules that are defined but never called

  • Imports that do not exist in the declared dependencies

  • References to APIs, methods, or fields that do not exist in the used library version

  • Type annotations that contradict actual usage

  • Comments that describe behavior inconsistent with the code

  • Unreachable code blocks (after return, raise, or break in all paths)

  • Feature flags or conditionals that are always true/false

7. Technical Debt Hotspots

Quick checks:

  • Count function parameters (5+ = refactor candidate)

  • Measure nesting depth visually (4+ = refactor candidate)

  • Look for boolean flags controlling function behavior

  • Logic that is correct today but will break under realistic load or scale

  • Deep nesting (more than 3-4 levels) that obscures control flow

  • Boolean parameter flags that change function behavior (use separate functions instead)

  • Functions with more than 5-6 parameters without a configuration object

  • Areas where a future requirement change would require modifying many unrelated files

  • Missing type hints in dynamically typed languages for complex functions

  • No documentation for public APIs or complex algorithms

  • Test coverage gaps for critical paths

Output Format

Produce the audit report using exactly this structure. Do not omit sections. If a section has no findings, write "None identified."

Productivity Rules:

  • Lead with the 3-5 most critical findings that would cause production failures
  • Group related issues (e.g., "3 locations with hardcoded credentials" instead of listing separately)
  • Provide copy-paste-ready fixes where possible (exact code snippets)
  • Use severity tags consistently: [CRITICAL], [HIGH], [MEDIUM], [LOW]

Audit Report

Input: [file name(s) or "code snippet"] Assumptions: [list any assumptions made about context or environment] Quick Stats: [X files, Y lines of code, Z language/framework]

Executive Summary (Read This First)

In 3-5 bullets, state the most important findings that determine whether this code can go to production:

- [CRITICAL/HIGH] One-line summary of the most severe issue
- [CRITICAL/HIGH] Second most severe issue
- [MEDIUM] Notable pattern that will cause future problems
- Overall: Deployable as-is / Needs fixes / Requires major rework

Critical Issues (Must Fix Before Production)

Problems that will or are very likely to cause failures, data loss, security incidents, or severe maintenance breakdown.

For each issue:

[CRITICAL] Short descriptive title
Location: filename.py, line 42 (or "multiple locations" with examples)
Dimension: Architecture / Security / Robustness / etc.
Problem: One or two sentences explaining exactly what is wrong and why it is dangerous.
Fix: One or two sentences describing the minimum change required to resolve it.
Code Fix (if applicable):
```python
# Before: problematic code
# After: corrected version

#### High-Risk Issues

Likely to cause bugs, instability, or scalability problems under realistic conditions.
Same format as Critical Issues, replacing `[CRITICAL]` with `[HIGH]`.

#### Maintainability Problems

Issues that increase long-term cost or make the codebase difficult for others to understand and modify safely.
Same format, replacing the tag with `[MEDIUM]` or `[LOW]`.

#### Production Readiness Score

Score: XX / 100


Provide a score using the rubric below, then write 2-3 sentences justifying it with specific reference to the most impactful findings.

| Range  | Meaning                                                                |
| ------ | ---------------------------------------------------------------------- |
| 0-30   | Not deployable. Critical failures are likely under normal use.         |
| 31-50  | High risk. Significant rework required before any production exposure. |
| 51-70  | Deployable only for low-stakes or internal use with close monitoring.  |
| 71-85  | Production-viable with targeted fixes. Known risks are bounded.        |
| 86-100 | Production-ready. Minor improvements only.                             |

**Scoring Algorithm:**

Start at 100 points For each CRITICAL issue: -15 points (security: -20) For each HIGH issue: -8 points For each MEDIUM issue: -3 points For pervasive patterns (3+ similar issues): -5 additional points Floor: 0, Ceiling: 100


#### Refactoring Priorities

List the top 3-5 changes in order of impact. Each item must reference a specific finding from above.
  1. [P1 - Blocker] Fix title — addresses [CRITICAL #1] — effort: S/M/L — impact: prevents [specific failure]
  2. [P2 - Blocker] Fix title — addresses [CRITICAL #2] — effort: S/M/L — impact: prevents [specific failure]
  3. [P3 - High] Fix title — addresses [HIGH #1] — effort: S/M/L — impact: improves [specific metric]
  4. [P4 - Medium] Fix title — addresses [MEDIUM #1] — effort: S/M/L — impact: reduces [specific debt]
  5. [P5 - Optional] Fix title — addresses [LOW #1] — effort: S/M/L — impact: nice-to-have

Effort scale: S = < 1 day, M = 1-3 days, L = > 3 days.

Quick Wins (fix in <1 hour): List any issues that can be resolved immediately with minimal effort:

- [Issue name]: [one-line fix description]

Behavior Rules

  • Ground every finding in the actual code provided. Do not speculate about code you have not seen.
  • Report the location (file and line) of each finding whenever the information is available. If the input is a snippet without line numbers, describe the location structurally (e.g., "inside the process_payment function").
  • Do not flag style preferences (indentation, naming conventions, etc.) unless they directly impair readability or create ambiguity that could cause bugs.
  • Do not recommend architectural rewrites unless the current structure makes the system impossible to extend or maintain safely.
  • If the code is too small or too abstract to evaluate a dimension meaningfully, say so explicitly rather than generating generic advice.
  • If you detect a potential security issue but cannot confirm it from the code alone (e.g., depends on framework configuration not shown), flag it as "unconfirmed — verify" rather than omitting or overstating it.

Efficiency Rules:

  • Scan for critical patterns first (security, data loss, crashes) before deeper analysis
  • Group similar issues by pattern rather than listing each occurrence separately
  • Provide exact code fixes for critical/high issues when the solution is straightforward
  • Skip dimensions that are not applicable to the code size or type (state "Not applicable: [reason]")
  • Focus on issues that would cause production incidents, not theoretical concerns

Calibration:

  • For snippets (<100 lines): Focus on security, robustness, and obvious bugs only
  • For single files (100-500 lines): Add architecture and maintainability checks
  • For multi-file systems (500+ lines): Full audit across all 7 dimensions
  • For production code: Emphasize security, observability, and failure modes
  • For prototypes: Emphasize scalability limits and technical debt

Task-Specific Inputs

Before auditing, if not already provided, ask:

  1. Code or files: Share the source code to audit. Accepted: single file, multiple files, directory listing, or snippet.
  2. Context (optional): Brief description of what the system does, its intended scale, deployment environment, and known constraints.
  3. Target environment (optional): Target runtime (e.g., production web service, CLI tool, data pipeline). Used to calibrate risk severity.
  4. Known concerns (optional): Any specific areas you're worried about or want me to focus on.

If context is missing, assume:

  • Language/framework is evident from the code
  • Deployment target is production web service (most common)
  • Scale expectations are moderate (100-1000 users) unless code suggests otherwise

Related Skills

  • schema-markup: For adding structured data after code is production-ready.
  • analytics-tracking: For implementing observability and measurement after audit is clean.
  • seo-forensic-incident-response: For investigating production incidents after deployment.
  • test-driven-development: For adding test coverage to address robustness gaps.
  • security-audit: For deep-dive security analysis if critical vulnerabilities are found.

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.