Zum Inhalt springen
auditor
EN
13 Audits · MIT · v0.8.0

Mach aus jedem KI-Agenten einen Schwarm spezialisierter Auditoren

Kopiere einen Master-Prompt in deinen KI-Coding-Agenten. Er lässt viele Spezialisten parallel laufen und jeden Befund von unabhängigen Skeptikern auf die Probe stellen — nur was standhält, landet als GitHub-Issue in einem nach Priorität sortierten Backlog.

Kein weiterer „audit my code“-Prompt — diese zwingen deinen Agenten, jeden Befund zu belegen, bevor er ihn einreicht.

Echten Lauf ansehen

Kopiert eine Vorlage — ersetze die Repo-URL, bevor du sie ausführst.

belegbasiert · ≥2-von-3 adversariell verifiziert · 30/60/90-Roadmap

Loslegen

Richte deinen KI-Agenten auf auditor.rapold.io

Keine Installation — funktioniert mit jedem Agenten, der eine URL abrufen und Tools ausführen kann (läuft mit Claude Code). Sag ihm, er soll ein Repo mit auditor.rapold.io auditieren: er holt den Audit-Prompt — einen einzigen Einstiegspunkt, der Sprache und Umfang erfragt — und legt dann die Issues an.

Audit github.com/your/repo using auditor.rapold.io

Kopiere ihn, setze deine Repo-URL ein, füge ihn in deinen Agenten ein.

Er fragt dann: Ausgabesprache (Deutsch / English), welche der 13 Audits (oder das ganze Repo) und ob Issues erstellt werden dürfen — dann führt er sie aus und öffnet einen nach Priorität sortierten Tracker.

KI-Agenten: hole auditor.rapold.io/llms.txt und agiere als Audit-Orchestrator (Sprache + Umfang erfragen, dann ausführen).

Ehrliche Antworten auf die naheliegenden Fragen

Halluziniert es Belege?
Jede file:line wird in der adversariellen Verifikation (Phase 3) anhand der echten Datei nachgeprüft; nicht verifizierbare Aussagen werden verworfen.
Verlässt mein Code meine Maschine?
Nein — dein Agent holt nur den Prompt; dein Repo berührt unsere Domain nie.
Was kostet ein Lauf?
Nur die Tokens deines Agenten — beschränke dich auf einige Audits, um die Kosten zu steuern.
Alle 13 Audits ansehen

Warum es anders ist

Die meisten Audit-Prompts liefern unverifizierte Meinungen. Diese erzwingen Disziplin.

Beleg oder nichts

Jeder Befund nennt ein konkretes Artefakt — file:line, einen Query-Plan, einen Request, einen Config-Wert, eine gemessene Metrik. Kein Beleg, kein Befund.

Adversarielle Selbst-Challenge

Kein Befund überlebt, bevor unabhängige Skeptiker-Agenten ihn zu widerlegen versucht haben — er muss mindestens zwei von drei überstehen, sonst wird er verworfen. Wer eine feindselige Lesart nicht übersteht, ist kein Befund.

Blind-Spot-Jagd

Ein Completeness-Critic fragt jede Runde, welche Oberfläche, welcher Use-Case oder welche Annahme ungeprüft blieb. Lücken werden deklariert, nie verschwiegen.

Umsetzbarer Issue-Tracker

Ausgabe sind GitHub-Issues, angeführt von einem nach Priorität sortierten Tracking-Issue, jedes mit Management-Summary und Vorher/Nachher-Fix. Ein Befund, den du nicht umsetzen kannst, ist nur eine Meinung.

Beweise statt Behauptungen

Wir haben die ganze Suite auf das eigene Repo gerichtet

Die Bibliothek wird auf sich selbst angewendet — auf genau dieses Repo gerichtet, das Backlog als öffentliche GitHub-Issues. Diese Seite bekam ihr eigenes Content-Audit; über das ganze Repo erreichte jede Linse A− bis A. Unten: der echte Backlog, die Noten und ein Finding in voller Tiefe.

github.com/marcelrapold/auditor/issues
is:issue label:content23 Befunde

Der echte Backlog aus dem Audit genau dieser Seite — 23 Befunde, jeder davon jetzt behoben.

documentationA94performanceA92securityA910 P0 · 1 P1

Öffne ein Issue und prüfe den Beleg auf GitHub.

P1

/de served <html lang="en">

Beleg
web/app/layout.tsx:71
Vorher
/ and /de → <html lang="en">
Nachher
/de → <html lang="de">
Issue #81
Ganzen Lauf ansehen (#97)

Die Bibliothek

13 stack-agnostische Audits, eine gemeinsame Methodik

Jedes ist ein eigenständiger Master-Prompt: eine mehrphasige Spezifikation, keine einmalige „review my code“-Frage. Mehrere gegen dasselbe Repo laufen lassen — ihre Befunde fließen ohne Duplikate in einen einzigen, prioritätssortierten Tracker, weil jedes Audit denselben Issue-Kontrakt liefert.

security

14 Domänen: Injection, AuthN/Z, Secrets, Supply Chain, IaCInfrastructure as Code — Infrastruktur aus versionierten Definitionen bereitstellen., CI/CD, Business-Logik, Datenschutz, LLM.

OWASPOpen Worldwide Application Security Project — der Referenzkatalog für Web-App-Sicherheitsrisiken. · CWECommon Weakness Enumeration — ein Katalog von Software-Schwachstellen-Typen (z. B. CWE-79, XSS). · MITREMITRE ATT&CK — eine Wissensbasis realer Angreifer-Taktiken und -Techniken. · CISCenter for Internet Security — Konsens-Härtungs-Benchmarks für Systeme und Cloud.

repo

Repo-Engineering: Architektur, Stack-Konsistenz, Docs, Tests, Deps, CI/CD, Git-Hygiene.

Google Eng · SRESite Reliability Engineering — Systeme mit Engineering betreiben, über SLOs und Error-Budgets. · SLSASupply-chain Levels for Software Artifacts — ein Framework für Build- und Supply-Chain-Integrität.

frontend

16-Agenten-Frontend-Sweep: Usability, Psychologie, Visual Design, A11y, Performance, SEO, Copy, CROConversion Rate Optimization — systematisches Steigern des Anteils der Besucher, die ein Ziel abschließen..

Nielsen · WCAGWeb Content Accessibility Guidelines — der W3C-Standard für barrierefreie Web-Inhalte. · CWVCore Web Vitals — Googles UX-Metriken für Ladezeit, Interaktivität und visuelle Stabilität.

api

API-Design: Ressourcen-Modell, HTTP-Semantik, Error-Model, Versionierung, IdempotenzEine Eigenschaft, bei der das Wiederholen einer Operation denselben Effekt hat wie ein einmaliges Ausführen., Rate-Limits, DXDeveloper Experience — wie leicht und angenehm eine API für Entwickler zu lernen und zu nutzen ist..

RFC 9110HTTP Semantics — der Standard, der HTTP-Methoden, Status-Codes und Header-Felder definiert./9457 · OpenAPIOpenAPI Specification — ein standardisiertes, sprachunabhängiges Beschreibungsformat für HTTP-APIs.

performance

Performance & Skalierung: Hotspots, N+1Eine N+1-Abfrage: eine Extra-Query pro Zeile statt einer für die ganze Menge — eine häufige Performance-Falle., Caching, Concurrency, Leaks, Lastverhalten, Resilienz, FinOpsCloud Financial Operations — Engineering-Praktiken zur Steuerung und Senkung von Cloud-Kosten..

SRESite Reliability Engineering — Systeme mit Engineering betreiben, über SLOs und Error-Budgets. · DORADevOps Research and Assessment — die vier zentralen Kennzahlen der Software-Delivery-Performance. · SLOsService Level Objective — ein Zielwert für eine Zuverlässigkeitsmetrik, etwa 99,9 % Verfügbarkeit.

data

Daten & Datenbank: Modellierung, Typen, Constraints, Migrations-Sicherheit, Transaktionen, Integrität, Backup/DRDisaster Recovery — Notfallwiederherstellung: Plan und Werkzeuge, um Systeme und Daten nach einem schweren Ausfall wiederherzustellen..

ACIDAtomicity, Consistency, Isolation, Durability — die Garantien, die eine Datenbank-Transaktion bietet./CAPConsistency, Availability, Partition tolerance — ein verteilter Speicher kann nur zwei davon zugleich voll erfüllen. · RLSRow-Level Security — Datenbankregeln, die einschränken, welche Zeilen ein Nutzer lesen oder schreiben darf.

infrastructure

Infra/DevOps/SRESite Reliability Engineering — Systeme mit Engineering betreiben, über SLOs und Error-Budgets.: IaCInfrastructure as Code — Infrastruktur aus versionierten Definitionen bereitstellen., Cloud-Security, IAMIdentity and Access Management — das System, das regelt, wer was auf welchen Ressourcen darf., Secrets, Container, k8sEine Open-Source-Plattform, die das Deployen, Skalieren und Betreiben containerisierter Anwendungen automatisiert., CI/CD, HAHigh Availability — Hochverfügbarkeit: ein System so auslegen, dass es Komponentenausfälle mit minimaler Downtime übersteht., DRDisaster Recovery — Notfallwiederherstellung: Plan und Werkzeuge, um Systeme und Daten nach einem schweren Ausfall wiederherzustellen., Observability, Kosten.

CISCenter for Internet Security — Konsens-Härtungs-Benchmarks für Systeme und Cloud. · Well-ArchitectedAWS Well-Architected Framework — Best Practices für Cloud-Design über Zuverlässigkeit, Sicherheit, Kosten und Betrieb. · DORADevOps Research and Assessment — die vier zentralen Kennzahlen der Software-Delivery-Performance.

ai-llm

KI/LLM: Prompt-InjectionEin Angriff, der Anweisungen in den Modell-Input schmuggelt, um den System-Prompt zu überschreiben oder zu kapern., JailbreaksEin Prompt, der die Sicherheits-Leitplanken eines Modells umgeht, um eingeschränkte Ausgaben zu erzwingen., Output-Handling, Agent/Tool-Safety, RAGRetrieval-Augmented Generation — einem LLM zur Laufzeit abgerufene Dokumente mitgeben., HalluzinationEine Modell-Ausgabe, die erfundene oder unbelegte Information als Tatsache darstellt., EvalsWiederholbare Test-Suiten, die Qualität und Sicherheit eines LLM-Features an bekannten Fällen messen., Kosten.

OWASP LLM Top 10OWASP Top 10 for LLM Applications — die Referenzliste der kritischsten LLM-Sicherheitsrisiken. · NIST AI RMFNIST AI Risk Management Framework — der US-Standard zur Steuerung von Risiken in KI-Systemen.

compliance-privacy

Datenschutz: RechtsgrundlageDie rechtliche Grundlage (lawful basis) nach der DSGVO, die eine Verarbeitung personenbezogener Daten rechtfertigt, etwa Einwilligung oder Vertrag., Consent/Cookies, BetroffenenrechteDie Rechte (data-subject rights), die die DSGVO Personen über ihre Daten gibt, etwa Auskunft, Löschung und Portabilität., Aufbewahrung, Transfers, Breach-Readiness.

GDPRGeneral Data Protection Regulation (DSGVO) — das EU-Gesetz, das die Verarbeitung personenbezogener Daten regelt. · ePrivacyePrivacy Directive (ePrivacy-Richtlinie) — EU-Regeln zu Cookies, Tracking und elektronischer Kommunikation, neben der DSGVO. · EU AI ActEU Artificial Intelligence Act (KI-Verordnung) — die EU-Verordnung, die KI-Systeme nach Risiko klassifiziert und reguliert.

accessibility

Tiefes A11y: Semantik, Tastatur, Fokus, Screenreader, Kontrast, Formulare, Zoom, Motorik, Motion, Kognition.

WCAGWeb Content Accessibility Guidelines — der W3C-Standard für barrierefreie Web-Inhalte. 2.2 · EAAEuropean Accessibility Act — das EU-Gesetz (Richtlinie 2019/882), das viele Produkte und Dienste zur Barrierefreiheit verpflichtet. · ADAAmericans with Disabilities Act — das US-Bürgerrechtsgesetz, das Barrierefreiheit auch für digitale Dienste vorschreibt./508

documentation

Doku-Qualität vs. Standard: Repo-Kopf, Onboarding, Doc-Code-DriftDie Abweichung zwischen dem, was die Doku sagt, und dem, was der Code tatsächlich tut., Schreibstil, DiátaxisEin Doku-Framework, das Inhalte in Tutorials, How-tos, Referenz und Erklärung aufteilt., Repo-Health.

DOCUMENTATION-STANDARD · DiátaxisEin Doku-Framework, das Inhalte in Tutorials, How-tos, Referenz und Erklärung aufteilt.

content

Inhalt & Botschaft: These challengen, Zielgruppen-Fit, Belege & Originalität, Struktur, Stimme, konkrete Umformulierungen.

E-E-A-TExperience, Expertise, Authoritativeness, Trustworthiness — Googles Signale für Content-Qualität. · BLUFBottom Line Up Front — zuerst das Fazit, dann die Begründung. · rhetoric

lean

Schlankheit: toter CodeCode, der nie ausgefuehrt oder referenziert wird, sodass sein Entfernen nichts veraendert., ungenutzte/Phantom-DepsEin Paket, das der Code nutzt, aber nicht im Manifest deklariert, sodass es nur zufaellig funktioniert., Duplikation, AI-SlopMinderwertiger, redundanter Code oder Text, den KI-Agenten in Masse erzeugen, ohne echten Mehrwert zu schaffen., Dependency-Transparenz — sicherer Strip-down ohne Über-Löschen.

Google Eng · OWASPOpen Worldwide Application Security Project — der Referenzkatalog für Web-App-Sicherheitsrisiken. · YAGNIYou Aren't Gonna Need It — ein Prinzip, Funktionalitaet erst zu bauen, wenn sie wirklich gebraucht wird.

Die Methode

Sechs Phasen, jedes Mal

Recon, ein paralleler Spezialisten-Schwarm, dann adversarielle Verifikation, bevor irgendetwas in den Bericht kommt.

Audit using auditor.rapold.io

Du tippst — eine Zeile, jeder fähige Agent.

  1. 0

    Reconnaissance

    Faktisches Inventar + Surface-Map. Noch keine Meinungen.

  2. 1

    Spezialisten-Schwarm

    Viele Domänen-Experten parallel, jeder belegpflichtig.

    securityaccessibilityperformancedata… · parallel
  3. 2

    Cross-Pollination

    Mergen, deduplizieren, Compound-Findings sichtbar machen.

  4. 3

    Adversarielle Verifikation

    Unabhängige Skeptiker widerlegen jeden P0/P1; ≥2 von 3 zum Überleben.

    übersteht ≥2 von 3
  5. 4

    Benchmark

    Vergleich gegen benannte Best-in-Class-Referenzen und Standards.

  6. 5

    Synthese

    Bericht, Scorecard, Issues und eine 30/60/90-Roadmap.

Du bekommst — nach Priorität sortierte GitHub-Issues.

Die Maßstäbe

Zwei Maßstäbe. Jeder Bericht daran gemessen.

Für sich allein nutzbar. Der eine bewertet 0–100 anhand einer Rubrik; der andere legt die exakte Issue-Form fest — so bleiben zwei Läufe vergleichbar, auch wenn die generierte Formulierung abweicht.

Documentation standard

Ein Dokumentationsstandard mit fünf Repo-Profilen und einer 0–100-Rubrik — derselbe Maßstab, an dem das Documentation-Audit misst.

DOCUMENTATION-STANDARD.md

Issue-output standard

Der verbindliche Vertrag, dem jedes Audit folgt: zuerst ein nach Priorität sortiertes Tracking-Issue, dann pro Befund ein Issue mit eigener Management-Summary.

ISSUE-OUTPUT-STANDARD.md

Sieh, was dein KI-Agent findet, wenn er jede Aussage belegen muss.

Es ist kostenlos und MIT-lizenziert. Lass es auf einem Wegwerf-Branch laufen, lies Befunde, die 2-von-3 Skeptikern standhalten mussten, und behalte nur die Fixes, denen du zustimmst.

Jede Aussage hier hat dasselbe Audit überstanden — lies das öffentliche Backlog (#97).

Prompts ansehenQuickstart