一、基本信息
| 项目 | 内容 |
|---|---|
| 名称 | agentic-actions-auditor-trailofbits-skills |
| 项目自述名称 | agentic-actions-auditor(子技能目录名,未使用中文意译名) |
| 作者/维护者 | Trail of Bits |
| 来源链接 | https://github.com/trailofbits/skills/tree/main/plugins/agentic-actions-auditor |
| 许可证 | CC-BY-SA-4.0(来自 GitHub API,仓库级) |
| GitHub Stars | 6,115(来自 GitHub API,仓库级,为整个 skills 合集共享,非本子技能独立热度,详见第六章说明) |
| Forks | 538(来自 GitHub API,仓库级) |
| 最新版本 | 未获取(无 release/tag,随主分支滚动更新) |
| 安装方式 | Claude Code 官方插件市场一条命令安装 |
二、功能介绍与亮点
agentic-actions-auditor 是一个专门审计 GitHub Actions CI/CD 工作流中“AI Agent 集成安全隐患”的技能。当团队在 CI 里接入 Claude Code Action、Gemini CLI、OpenAI Codex 或 GitHub AI Inference 时,攻击者可控的输入(PR 标题、分支名、issue 正文、评论、commit message、文件内容等)有可能经由这些 Agent 的高权限执行环境被利用。该技能按固定五步流程工作:定位分析范围 → 扫描 .github/workflows/ → 识别其中的 AI Agent 步骤 → 捕获权限/触发器/环境变量上下文 → 比对 9 类已知攻击向量(环境变量中介注入、表达式直接注入、CLI 数据获取、pull_request_target 与代码检出组合风险、错误日志注入、子壳展开、AI 输出被直接 eval、危险沙箱配置如 --yolo/Bash(*)、通配符允许名单)→ 输出结构化审计报告。
核心亮点:① 出自 Trail of Bits——审计过 Solana、Zcash 等重大项目的一线安全研究机构,已获收录进 awesome-claude-code(issue #487,由创始人 @dguido 提交);② 设计上明确“只读不执行”——技能被抓取到的工作流内容严禁传给解释器执行,从设计层面规避自身被注入的风险;③ 检测项来自真实攻击模式总结,而非泛泛的安全建议清单。
三、适用场景
固定分类:安全与合规。适用于:在 CI/CD 中已经或计划接入 AI coding agent 的团队,在合并第三方贡献的 workflow 改动前做安全把关;DevSecOps 工程师建立“AI Agent 上 CI”的安全基线;独立开发者/初中级团队在没有专职安全评审资源的情况下,快速核查自己仓库里的 Agent 工作流是否存在权限过大或注入面过宽的问题。
四、跨 Agent 兼容性
- Claude Code:原生支持。仓库 README 明确给出
/plugin marketplace add trailofbits/skills安装方式,或通过/plugin menu在 Security Tooling 分类下选取。 - Codex:原生支持。仓库 README 明确写明“Codex: Direct marketplace compatibility without additional metadata”。
- OpenClaw:未验证——已抓取材料未提及。
- Hermes Agent:未验证——已抓取材料未提及。
需说明的是,该技能审计的对象(Claude Code Action / Gemini CLI / OpenAI Codex / GitHub AI Inference)是“CI 里跑的 Agent”,与技能本身“在哪个 Agent 里被加载运行”是两个不同维度,请勿混淆。
五、推荐理由
随着越来越多团队把 Claude Code / Codex 这类 Agent 接入 CI 自动处理 PR、issue,“Agent 在 CI 里被注入指令后越权操作”正成为一类新兴且容易被忽视的风险——而这恰恰是 SkillsScout 服务的初中级 Agent 用户最需要补的安全课。这个技能把 9 种已知攻击向量固化成可重复执行的检查流程,出自有公开审计记录背书的专业机构,且技能自身设计克制(严格只读、拒绝执行抓取内容),是目前候选池中少见的“专门针对 Agent-in-CI 风险”的安全技能,能直接帮用户在把 Agent 权限交出去之前先把好关。
六、评分
| 维度 | 分数 | 说明 |
|---|---|---|
| 受欢迎程度 | 8 | Trail of Bits 属一线安全机构出品,但本技能是 40+ 插件合集仓库中的一个子目录,按规则不沿用仓库整体 6,115 星,子技能自身暂无独立星标/讨论数据,与同仓库已收录的 differential-review-trailofbits-skills(8.0)保持一致校准 |
| 可用性 | 8 | 插件市场一条命令安装,SKILL.md 文档含明确五步流程与 9 类检测项说明;仓库最近一次提交为 2026-07-07(运行前一周内),维护活跃;远程模式需预先完成 gh auth 登录,故未给满分 |
| 安全性 | 9 | 见下方检查清单,七项均无重大问题 |
| 综合 | 8.33 | 三项均值,达标(≥7.0),安全性未触发一票否决线 |
安全检查清单:
- Shell 命令与权限范围——仅用 Bash 调用
gh api做只读查询,明确禁止执行抓取到的工作流内容本身,范围可控 - 联网外发——远程模式需联网调用 GitHub API,数据流向用户自己已认证的 GitHub 账号,未见第三方外发
- 凭据——复用系统层
gh auth会话,技能本身不存储、不硬编码任何密钥 - 可疑指令——未发现;SKILL.md 显式写入“抓取内容严禁传给解释器执行”的反注入约束
- 作者信誉——Trail of Bits,业界知名安全审计公司,仓库已获 awesome-claude-code 官方收录
- License——CC-BY-SA-4.0,明确
- 维护时间——仓库级最近提交在运行前一周内,无弃置风险
七、跟同类 Skills 相比的优势
| Skill | 定位 | 与本技能的差异 |
|---|---|---|
| supply-chain-risk-auditor(同仓库,未推荐) | 审计第三方依赖包的供应链风险(维护者、CVE 历史等) | 关注“依赖包”而非“CI 里的 Agent 步骤”,与本技能互补而非替代 |
| claude-code-owasp(已收录 2026-07-13) | OWASP Top10/ASVS 通用代码安全评审参考架构 | 覆盖面是通用应用代码安全,不针对 CI/CD 中 Agent 集成这一细分风险 |
| differential-review-trailofbits-skills(已收录 2026-07-13) | PR/diff 层面的安全视角代码审查 | 审查代码改动本身,而非 workflow 配置与 Agent 权限面 |
| snyk/claude-plugin-snyk(候选池内,未推荐) | 依赖漏洞扫描与自动修复 | 需要额外的 Snyk 账户与 CLI,新发布仅 4 次提交、0 星,聚焦依赖漏洞而非 CI 配置注入面 |
核心差异化:目前收录的安全类技能里,本技能是唯一专门针对“AI Agent 被接入 CI/CD 后可能被间接提示注入利用”这一新兴风险面的工具,填补了现有安全类收录的空白。
八、用户评价
本次仅确认 Trail of Bits 该技能合集被 awesome-claude-code 仓库收录并合并(issue #487 → PR #520,提交人为 Trail of Bits 创始人 @dguido),可视为业内认可信号;未检索到针对 agentic-actions-auditor 这一具体子技能的独立第三方用户评价。本次未收集到足够的用户评价,如实说明,不做凑数。
九、其他补充
该技能仅支持本地/远程两种分析模式,单层深度解析跨文件引用(复合 workflow 引用链仅跟踪一级),且为静态分析,不做运行时渗透测试,也不会自动修改或修复工作流文件——发现问题后仍需人工评估与整改。
十、安装使用方式
- Claude Code:
/plugin marketplace add trailofbits/skills,随后/plugin menu选择 Security Tooling 分类下的 agentic-actions-auditor,或直接/plugin install trailofbits/skills/plugins/agentic-actions-auditor - Codex:官方声明原生兼容插件市场,安装方式与 Claude Code 一致(未提供额外元数据要求)
- 安装后无需重启,直接在对话中说“审计这个仓库的 GitHub Actions 中的 AI agent 安全问题”即可触发;远程模式审计他人仓库前需先完成
gh auth login
十一、注意事项
- 仅针对包含 AI Agent 步骤的 GitHub Actions 工作流,不适用于其他 CI/CD 系统(如 GitLab CI、CircleCI)
- 静态分析工具,不做运行时渗透测试,检测结果需人工复核,不会自动修复
- 作为合集仓库中的子技能,独立安装量与讨论热度证据不足,其权威性主要来自 Trail of Bits 的机构背书而非社区验证规模
- OpenClaw、Hermes Agent 上的兼容性未验证,如在这两个平台使用请自行测试