anasfik/FlutterGuard

# FlutterGuard FlutterGuard 是为 Flutter Android 发布提供的代理原生 APK/AAB 安全审查技能。 它是一个专为 Claude Code、Codex、Cursor、OpenClaw、Gemini CLI 和其他编码代理设计的纯代理技能。安装或引用单个技能，然后要求您的代理在发布前检查 Flutter Android 发布工件。 FlutterGuard 不是一个 CLI。它不是一个 APK 扫描应用。它不是一个静态分析器。它是一个操作代理技能加上 APK/AAB 安全审查的安全边界。 ## 安装 使用此存储库直接与支持本地技能、指令包或项目级代理指导的任何代理平台。技能入口点是根 `SKILL.md`。 推荐安装： - `SKILL.md` 然后请： ``` Use FlutterGuard to review this Flutter APK before release. ``` ## 代理平台 Codex： - 从 `AGENTS.md` 开始。 - 引用存储库根目录或 `SKILL.md`。 Claude Code： - 将此存储库或其根 `SKILL.md` 复制到您的 Claude Code 技能位置。 OpenClaw： - 将此存储库添加为指令包。 其他代理： - 将代理指向存储库根目录或 `SKILL.md`。 - 如果您的平台支持，请将 `AGENTS.md` 作为存储库级行为指导包含在内。 ## 检查内容 - APK/AAB 元数据：包名、版本、SDK 级别、大小、ABIs、本地库和 Flutter 证据。 - Android 清单风险：权限、导出组件、明文流量、调试标志、备份行为、提供者、服务、接收器和深度链接。 - 内嵌秘密风险：资源、资产、Flutter 资产、反编译包装代码和来自 `libapp.so` 的可读字符串。 - 网络安全：明文设置、网络安全配置、证书信任信号、后端主机、预发布端点和固定上下文。 - WebView 和平台桥风险：WebView 标志、JavaScript 桥、MethodChannel/EventChannel 名称和本地包装攻击面。 - 签名和发布信号：APK 签名验证、证书身份、调试证书指示器和来自工件的可用发布证据。 - 第三方服务信号：Firebase、Google Maps、AWS、Sentry、Stripe、RevenueCat、OneSignal、Supabase、分析 SDK 和类似标记。 ## 技能 `SKILL.md` 当存在 APK/AAB 工件或用户请求 Flutter Android 工件安全审查时使用。 ## 示例输出 ``` FlutterGuard APK Security Report Artifact: build/app/outputs/flutter-apk/app-release.apk Flutter Evidence: confirmed Status: RISKY Score: 72/100 Critical: - None found from available evidence. High Risk: - android:allowBackup is enabled for an app that appears to handle account data. Evidence: AndroidManifest.xml application node. Recommended action: Review backup policy and disable or constrain backup after human approval. Warnings: - Staging API hostname appears in libapp.so strings. Evidence: lib/arm64-v8a/libapp.so strings, value redacted to host only. Informational: - Package: com.example.app - Target SDK: 35 - ABIs: arm64-v8a, armeabi-v7a - Detected services: Firebase, Sentry Requires Human Approval: - Backup behavior change - Endpoint migration or rotation strategy ``` ## 存储库映射 - `SKILL.md`：可安装的 FlutterGuard 技能。 - `AGENTS.md`：与该存储库一起工作的 Codex 风格代理的项目级指导。 - `SECURITY.md`：报告和安全策略。 ## 安全理念 FlutterGuard 不应静默自动修复敏感的生产行为。 以下更改需要人工批准： - 认证更改 - 支付更改 - 权限移除或添加 - 依赖项更改 - 签名配置 - 发布配置 - 生产环境配置 - API 密钥迁移 - 隐私或数据收集行为 - 从应用中删除文件 安全的代理工作包括工件检查、证据收集、Markdown 报告、清单备注、测试建议和非侵入性建议。 ## 状态 FlutterGuard 目前是一个单独的代理技能。该存储库故意不包含 CLI 引擎、生成的二进制文件、APK 固件、构建输出、扫描输出、安装程序或 CI 包装器。

标签：AAB安全, AI辅助开发, APK安全, Claude Code, Codex, Flutter安全, Gemini CLI, OpenClaw, 云安全监控, 代码安全, 反取证, 安全审查, 安全技能, 安全漏洞, 安全评估, 安全配置, 安全风险, 权限管理, 模型越狱, 漏洞枚举, 签名验证, 网络安全, 隐私保护, 静态分析