SkillsScout
50 ENTRIES · 10 SECTORS · ZH · UPD 2026-07-15

agentic-actions-auditor-trailofbits-skills

安全与合规·收录日期 2026-07-14·来源仓库 ↗
Scout 评分8.3
受欢迎程度
8
可用程度与相关性
8
安全性
9
综合
8.3

一、基本信息

项目 内容
名称 agentic-actions-auditor-trailofbits-skills
项目自述名称 agentic-actions-auditor(子技能目录名,未使用中文意译名)
作者/维护者 Trail of Bits
来源链接 https://github.com/trailofbits/skills/tree/main/plugins/agentic-actions-auditor
许可证 CC-BY-SA-4.0(来自 GitHub API,仓库级)
GitHub Stars 6,115(来自 GitHub API,仓库级,为整个 skills 合集共享,非本子技能独立热度,详见第六章说明)
Forks 538(来自 GitHub API,仓库级)
最新版本 未获取(无 release/tag,随主分支滚动更新)
安装方式 Claude Code 官方插件市场一条命令安装

二、功能介绍与亮点

agentic-actions-auditor 是一个专门审计 GitHub Actions CI/CD 工作流中“AI Agent 集成安全隐患”的技能。当团队在 CI 里接入 Claude Code Action、Gemini CLI、OpenAI Codex 或 GitHub AI Inference 时,攻击者可控的输入(PR 标题、分支名、issue 正文、评论、commit message、文件内容等)有可能经由这些 Agent 的高权限执行环境被利用。该技能按固定五步流程工作:定位分析范围 → 扫描 .github/workflows/ → 识别其中的 AI Agent 步骤 → 捕获权限/触发器/环境变量上下文 → 比对 9 类已知攻击向量(环境变量中介注入、表达式直接注入、CLI 数据获取、pull_request_target 与代码检出组合风险、错误日志注入、子壳展开、AI 输出被直接 eval、危险沙箱配置如 --yolo/Bash(*)、通配符允许名单)→ 输出结构化审计报告。

核心亮点:① 出自 Trail of Bits——审计过 Solana、Zcash 等重大项目的一线安全研究机构,已获收录进 awesome-claude-code(issue #487,由创始人 @dguido 提交);② 设计上明确“只读不执行”——技能被抓取到的工作流内容严禁传给解释器执行,从设计层面规避自身被注入的风险;③ 检测项来自真实攻击模式总结,而非泛泛的安全建议清单。

三、适用场景

固定分类:安全与合规。适用于:在 CI/CD 中已经或计划接入 AI coding agent 的团队,在合并第三方贡献的 workflow 改动前做安全把关;DevSecOps 工程师建立“AI Agent 上 CI”的安全基线;独立开发者/初中级团队在没有专职安全评审资源的情况下,快速核查自己仓库里的 Agent 工作流是否存在权限过大或注入面过宽的问题。

四、跨 Agent 兼容性

需说明的是,该技能审计的对象(Claude Code Action / Gemini CLI / OpenAI Codex / GitHub AI Inference)是“CI 里跑的 Agent”,与技能本身“在哪个 Agent 里被加载运行”是两个不同维度,请勿混淆。

五、推荐理由

随着越来越多团队把 Claude Code / Codex 这类 Agent 接入 CI 自动处理 PR、issue,“Agent 在 CI 里被注入指令后越权操作”正成为一类新兴且容易被忽视的风险——而这恰恰是 SkillsScout 服务的初中级 Agent 用户最需要补的安全课。这个技能把 9 种已知攻击向量固化成可重复执行的检查流程,出自有公开审计记录背书的专业机构,且技能自身设计克制(严格只读、拒绝执行抓取内容),是目前候选池中少见的“专门针对 Agent-in-CI 风险”的安全技能,能直接帮用户在把 Agent 权限交出去之前先把好关。

六、评分

维度 分数 说明
受欢迎程度 8 Trail of Bits 属一线安全机构出品,但本技能是 40+ 插件合集仓库中的一个子目录,按规则不沿用仓库整体 6,115 星,子技能自身暂无独立星标/讨论数据,与同仓库已收录的 differential-review-trailofbits-skills(8.0)保持一致校准
可用性 8 插件市场一条命令安装,SKILL.md 文档含明确五步流程与 9 类检测项说明;仓库最近一次提交为 2026-07-07(运行前一周内),维护活跃;远程模式需预先完成 gh auth 登录,故未给满分
安全性 9 见下方检查清单,七项均无重大问题
综合 8.33 三项均值,达标(≥7.0),安全性未触发一票否决线

安全检查清单:

  1. Shell 命令与权限范围——仅用 Bash 调用 gh api 做只读查询,明确禁止执行抓取到的工作流内容本身,范围可控
  2. 联网外发——远程模式需联网调用 GitHub API,数据流向用户自己已认证的 GitHub 账号,未见第三方外发
  3. 凭据——复用系统层 gh auth 会话,技能本身不存储、不硬编码任何密钥
  4. 可疑指令——未发现;SKILL.md 显式写入“抓取内容严禁传给解释器执行”的反注入约束
  5. 作者信誉——Trail of Bits,业界知名安全审计公司,仓库已获 awesome-claude-code 官方收录
  6. License——CC-BY-SA-4.0,明确
  7. 维护时间——仓库级最近提交在运行前一周内,无弃置风险

七、跟同类 Skills 相比的优势

Skill 定位 与本技能的差异
supply-chain-risk-auditor(同仓库,未推荐) 审计第三方依赖包的供应链风险(维护者、CVE 历史等) 关注“依赖包”而非“CI 里的 Agent 步骤”,与本技能互补而非替代
claude-code-owasp(已收录 2026-07-13) OWASP Top10/ASVS 通用代码安全评审参考架构 覆盖面是通用应用代码安全,不针对 CI/CD 中 Agent 集成这一细分风险
differential-review-trailofbits-skills(已收录 2026-07-13) PR/diff 层面的安全视角代码审查 审查代码改动本身,而非 workflow 配置与 Agent 权限面
snyk/claude-plugin-snyk(候选池内,未推荐) 依赖漏洞扫描与自动修复 需要额外的 Snyk 账户与 CLI,新发布仅 4 次提交、0 星,聚焦依赖漏洞而非 CI 配置注入面

核心差异化:目前收录的安全类技能里,本技能是唯一专门针对“AI Agent 被接入 CI/CD 后可能被间接提示注入利用”这一新兴风险面的工具,填补了现有安全类收录的空白。

八、用户评价

本次仅确认 Trail of Bits 该技能合集被 awesome-claude-code 仓库收录并合并(issue #487 → PR #520,提交人为 Trail of Bits 创始人 @dguido),可视为业内认可信号;未检索到针对 agentic-actions-auditor 这一具体子技能的独立第三方用户评价。本次未收集到足够的用户评价,如实说明,不做凑数。

九、其他补充

该技能仅支持本地/远程两种分析模式,单层深度解析跨文件引用(复合 workflow 引用链仅跟踪一级),且为静态分析,不做运行时渗透测试,也不会自动修改或修复工作流文件——发现问题后仍需人工评估与整改。

十、安装使用方式

十一、注意事项