akdenizemirhan/agent-rock
GitHub: akdenizemirhan/agent-rock
一款基于 Claude Code 的深度静态安全审计技能,可对多语言代码库进行 OWASP Top 10 及 8 大安全类别的自动化扫描并生成专业报告。
Stars: 0 | Forks: 0
# agent-rock
[](https://opensource.org/licenses/MIT)
[](https://github.com/akdenizemirhan/agent-rock/stargazers)
[](https://github.com/akdenizemirhan/agent-rock/issues)
[](https://claude.ai)
**专为 Claude Code 打造的深度安全审计技能。**
agent-rock 是一个开源的 Claude Code 技能,可对任何代码库执行彻底的静态安全分析。它像一名拥有完整源代码访问权限的渗透测试专家一样思考,系统性地扫描 8 个安全类别,并生成专业的 Markdown 报告,其中包含带有严重等级和证据支撑的发现。
## 功能特性
- **自动检测技术栈** — 支持 JS/TS, Python, Java, Go, Ruby, PHP, C#, Rust, C/C++
- **框架感知引导** — 加载针对 Express, Django, Spring, Rails 和 Laravel 的重点启发式规则
- **快速与深度模式** — 支持快速分类扫描和更详尽的深度审计
- **OWASP Top 10:2025** — 依据包含新类别的最新版 OWASP 进行扫描
- **8 大安全类别** — 从注入到加密学的全面覆盖
- **证据支撑的发现** — 每项发现均包含文件路径、行号、经核实的证据及置信度
- **双重输出** — 同时生成供人类阅读的 Markdown 和供工具使用的 JSON 报告
- **一致的发现模式** — 在两种输出格式中标准化 ID、置信度、CWE 映射及排序
- **专业报告** — 结构化输出,包含执行摘要、严重等级、置信度及修复建议
- **零依赖** — 仅使用 Claude Code 内置工具,无需安装任何组件
- **适用于任何代码库** — 无需任何配置
## 安装说明
### 选项 1:克隆到你的项目中(项目范围)
```
git clone https://github.com/emirhanakdeniz/agent-rock.git /tmp/agent-rock
mkdir -p .claude/skills
cp -r /tmp/agent-rock/.claude/skills/agent-rock .claude/skills/
rm -rf /tmp/agent-rock
```
### 选项 2:作为个人技能安装(在所有项目中可用)
```
git clone https://github.com/emirhanakdeniz/agent-rock.git /tmp/agent-rock
mkdir -p ~/.claude/skills
cp -r /tmp/agent-rock/.claude/skills/agent-rock ~/.claude/skills/
rm -rf /tmp/agent-rock
```
## 使用方法
在 Claude Code 中,调用该技能:
```
/agent-rock
```
使用便捷包装器:
```
/rock-quick
/rock-deep
```
如果你在运行命令时不带参数,它将扫描当前工作目录。
从仓库根目录的典型用法:
```
/rock-quick
/rock-deep
```
仅在需要缩小范围时扫描特定子目录:
```
/rock-quick ./src
/rock-deep ./src
/agent-rock ./src deep
```
## 输出结果
该技能会在被扫描目录的根目录下生成 `security-audit-report.md` 和 `security-audit-report.json`,包含:
- **执行摘要** — 面向非技术利益相关者的整体风险评估
- **风险评分** — 按严重程度(严重, 高, 中, 低, 信息)统计的发现数量
- **置信度** — 基于证据质量的每项发现的置信度级别
- **发现汇总表** — 所有已发现问题的快速概览
- **详细发现** — 每项均包含严重程度、位置、证据、影响及修复建议
- **优先级矩阵** — 可操作的修复路线图
- **JSON 伴随报告** — 供自动化和 CI 工具使用的机器可读发现
- **方法论** — 审计是如何进行的
## 扫描类别
| # | 类别 | 检查内容 |
|---|----------|---------------|
| 1 | OWASP Top 10:2025 | 所有 10 个类别,包括新的供应链和异常情况类别 |
| 2 | 认证与授权 | 凭证处理、会话管理、访问控制 |
| 3 | 数据泄露 | PII 泄露、日志/URL 中的敏感数据、缺失加密 |
| 4 | 依赖项 | 已知 CVE、过时的包、供应链风险 |
| 5 | 配置 | 代码中的机密信息、调试模式、缺失的安全头 |
| 6 | API 安全 | 缺失认证、速率限制、批量赋值、IDOR |
| 7 | 输入验证 | 注入点、XSS 向量、命令注入、反序列化 |
| 8 | 加密学 | 弱算法、硬编码密钥、不安全的随机性 |
## 工作原理
1. **发现** — 检测语言、框架并映射应用架构
2. **分析** — 使用模式匹配和代码审查系统性地扫描所有 8 个类别
3. **验证** — 读取周围代码上下文以消除误报
4. **报告** — 生成包含证据支撑发现的结构化报告
## 重要提示
- 这是一个**静态分析**工具。它补充但不能替代动态测试或专业渗透测试。
- 在对生产系统采取行动之前,发现结果应由**安全专业人员进行验证**。
- 该技能**绝不伪造发现** — 每个报告的问题都引用了你代码库中的真实代码。
- 它**跳过依赖目录**(node_modules, vendor 等)以专注于你的应用程序代码。
## 已知局限性
- 仅凭源代码和配置可能无法发现运行时才存在的漏洞。
- 业务逻辑缺陷通常需要领域上下文或动态测试来确认。
- 某些控制措施可能在仓库之外执行,例如边缘代理、WAF 或托管平台设置。
## 贡献指南
欢迎各种贡献!以下领域需要帮助:
- 为更多语言/框架添加漏洞模式
- 改进减少误报的启发式规则
- 为更多漏洞类型添加 CWE 映射
- 针对真实世界的代码库进行测试并报告准确性
- 翻译报告模板
## 许可证
MIT
标签:CISA项目, Claude Code, CWE 映射, IPv6支持, JS文件枚举, LNA, Markdown 报告, OWASP Top 10, SAST, SQL查询, UML, 代码安全, 可视化界面, 多语言支持, 大模型安全工具, 威胁情报, 安全合规, 安全测试框架, 对称加密, 开发者工具, 批量扫描, 数据可视化, 日志审计, 源码审计, 漏洞枚举, 盲注攻击, 网络代理, 网络安全, 自动化审计, 逆向工具, 错误基检测, 隐私保护, 零依赖, 静态代码分析