SkillsScout
50 ENTRIES · 10 SECTORS · ZH · UPD 2026-07-15

differential-review-trailofbits-skills

安全与合规·收录日期 2026-07-13·来源仓库 ↗
Scout 评分8.3
受欢迎程度
8
可用程度与相关性
9
安全性
8
综合
8.3

一、基本信息

项目 内容 数据来源
正式名称 differential-review 合集仓库子目录名(见下方说明)
所属合集仓库 trailofbits/skills(Trail of Bits Skills Marketplace,30 个插件的官方安全技能市场) GitHub API
作者/维护者 Omar Inuwa(Trail of Bits,opensource@trailofbits.com 插件 plugin.json
来源链接 https://github.com/trailofbits/skills/tree/main/plugins/differential-review
许可证 CC-BY-SA-4.0(署名-相同方式共享,仓库根目录统一声明) GitHub API + README
合集仓库整体 Stars/Forks 6,084 / 535(:按规则不计入本技能个体热度,仅供了解所属市场规模) GitHub API
该技能自身活跃度 触及该插件目录的提交 6 次,关联 Issue/PR 5 条(含功能增强、代理集成讨论) GitHub API(commits + issue 搜索)
插件版本 v1.1.1 plugin.json
安装方式 Claude Code 插件市场一条命令安装(见第十章) 官方 README

二、功能介绍与亮点

differential-review 专注于安全视角代码差异审查,审查 PR/commit/diff 中的安全问题,而非泛用代码风格。核心能力:

亮点:① 出自安全研究公司 Trail of Bits,仓库设“Trophy Case”公开记录市场内插件(如 constant-time-analysis)发现的真实漏洞(已合并的 RustCrypto PR);② 文档模块化渐进披露(主 SKILL.md 217 行 + 4 份专题分文档);③ 内置“合理化陷阱”清单(如“小 PR 快速过”),提醒不要跳步骤。

三、适用场景

固定分类:安全与合规

适用于 PR/commit/diff 安全把关:日常评审加入安全复核、发布前重点抽查鉴权/加密/支付模块、复盘“漏洞为何重现”。受益人群:后端/全栈工程师、安全工程师、无专职安全团队的小团队负责人。

四、跨 Agent 兼容性

Agent 结论 依据
Claude Code 原生支持 官方安装方式即 Claude Code 插件市场机制(/plugin marketplace add + /plugin install
Codex 原生支持 仓库 README 明确说明“Codex supports Claude plugin marketplaces directly”,且提交历史中有专门的 feat(codex): add UI metadata for skills 改动
OpenClaw 未验证 已抓取材料未提及 OpenClaw 支持,本次未为兼容性单独搜索
Hermes Agent 未验证 已抓取材料未提及 Hermes 支持

五、推荐理由

多数通用代码审查工具(含 AI 辅助审查)关注代码风格与常见 bug,安全视角往往只是附带一节。differential-review 反其道而行:把“这次改动有没有引入或重新引入安全漏洞”作为唯一焦点,给出可执行方法论(风险分级→历史溯源→影响半径→测试缺口→攻击场景→报告)。对没有专职安全团队、又不想每次改鉴权/加密代码都心里没底的团队,相当于把专业安全审计公司的审查思路封装成一条可重复技能,一条命令安装,不依赖任何额外付费工具。

六、评分

维度 分数 说明
受欢迎程度 8 所属市场由 Trail of Bits(一线安全研究机构)官方出品并持续维护(6 天前刚有提交);该子技能自身有 6 次专项提交与 5 条关联 Issue/PR 的真实迭代记录;另有 tl;dr sec 安全社区周刊、BotBeat 等 ≥3 个独立信息源报道该市场。未直接借用合集仓库 6,084 Stars 计入本技能得分
可用性 9 一条命令安装(/plugin install .../differential-review);文档完整且模块化(含方法论、对抗建模、报告模板、漏洞模式库);该插件目录最近一次提交为 2026-06-05,在 3 个月维护窗口内;无任何付费依赖
安全性 8 见下方安全检查清单
综合评分 8.3 三项均值

安全检查清单

检查项 结果
① Shell 命令与权限范围 allowed-tools 声明为 Read/Write/Grep/Glob/Bash;用途明确限定在本地 git blame、代码检索与报告文件生成,无广域系统操作
② 运行时联网外发 SKILL.md 全文未发现任何外部网络调用,纯本地代码与 Git 历史分析
③ API Key/凭据 不需要任何 API Key 或凭据
④ 可疑指令排查 已完整抓取并逐段阅读主 SKILL.md,未发现 prompt injection 或隐藏指令迹象
⑤ 作者/组织信誉 Trail of Bits——知名安全研究与审计公司,作者具名(Omar Inuwa)且使用公司邮箱,信誉良好
⑥ License CC-BY-SA-4.0,仓库根目录明确声明,条款清晰
⑦ 最近维护 该插件目录最近提交 2026-06-05,市场仓库整体最近提交为运行前 6 天,维护活跃

因存在 Bash 执行能力(范围明确可审计),未达“纯提示词无代码执行”的 9-10 档,定为 8 分(“有代码执行但范围明确、可审计;无外联或外联目标透明;License 清晰”档位)。

七、跟同类 Skills 相比的优势

对比对象 定位 与本 skill 的差异
通用代码审查类 Skill(覆盖 React/Vue/Rust/TS 等框架) 广谱代码质量把关 安全只是附带一节,不做风险分级、历史回归检测或攻击场景建模
同市场 static-analysis 插件(CodeQL/Semgrep 工具包) 工具驱动规则化扫描 依赖安装外部工具,配置门槛高;本 skill 无需额外工具,聚焦上下文化人工审查逻辑而非全库扫描
人工安全代码评审(无工具辅助) 依赖评审人经验 缺乏标准化方法论,易漏看历史回归;本 skill 把审计方法论固化为可重复流程

核心差异化:填补“通用代码审查”与“重型静态分析工具”间的空白——无需额外工具链,比泛用审查更聚焦、更有方法论支撑。

八、用户评价

本次完成 2 次专门检索,收录已验证来源:

  1. tl;dr sec(安全社区周刊,作者 Clint Gibler) 第 316 期报道 Trail of Bits 如何使用 Claude Code 及其技能市场,提到姊妹仓库 trailofbits/skills-curated 是“经过审查与批准的插件,每个技能都经过质量与安全性审核”。(来源:tldrsec.com/p/tldr-sec-316)
  2. BotBeat 科技新闻站 评价该市场“代表了让 Claude Code 成为专业安全团队实用工具的有意义一步”。(来源:botbeat.news)

两条评价均针对 Trail of Bits 整个技能市场而非 differential-review 单个插件,本次未抓取到针对该子技能本身的独立评测。

九、其他补充

该插件可与市场内 audit-context-building(构建审计基线上下文)、issue-writer(转成正式审计报告)配合使用;仓库同时提供 Codex 兼容的 UI 元数据。

十、安装使用方式

Claude Code 插件市场(推荐):

/plugin marketplace add trailofbits/skills
/plugin install trailofbits/skills/plugins/differential-review

也可通过 /plugin menu 交互式浏览并安装。

Codex:

codex plugin marketplace add trailofbits/skills
codex plugin add differential-review@trailofbits

安装后注意事项: 安装后无需重启,直接对某个 PR/commit/diff 发起审查请求即可触发(例如:“对这个 PR 做一次安全视角的差异审查”);技能会根据改动规模自动选择审查深度,高风险改动可自动委派 adversarial-modeler 子代理做攻击场景建模,审查结束会在工作目录生成 Markdown 报告文件。

十一、注意事项