TAR Engine · Test · Audit · Report
公开的 AI skill 安全审计指南 — 覆盖 SKILL.md、Codex skill.yaml、Claude Code 命令、OpenCode 配置 — 跑静态规则、语义分析、对抗模糊三层流水线。开源,进阶层走 BYOK。
六个 pass,四个已上线层次。静态规则负责显而易见的问题,语义、对抗与供应链层才是有意思的发现。
硬编码 regex + AST 检查。命中缺失 license、超大文件、明文 secret、损坏 YAML、典型 prompt injection 模式。
用 LLM 像资深 reviewer 一样读 SKILL.md。命中含糊指令、能力越界、缺失防护。
5 类共 15 个攻击丢给 victim model。同一类 ≥2/3 攻击成功才上报 finding。
在 sandbox 内用 mock LLM 真跑一遍 skill,把每一次文件读写、网络 fetch、shell 调用记下来形成 action trace,再审计「说要做 A 实际做了 B」之类的运行时背离。
Sandbox follow skill 里引用的每一个 URL / import,把实际 fetch 到的内容递归 audit。命中「指向看起来无害但落地是高风险 payload」的引用模式。
解析 skill 声明的每一条 pip / npm 依赖,对照 OSV.dev 的漏洞通告库,再做 typosquat 候选检测。仅审计,不安装。产出 SUP-001 typosquat / SUP-002 已知 CVE / SUP-003 未固定版本依赖 等 finding。