makash/agent-infra-security
GitHub: makash/agent-infra-security
为AI编程代理提供供应链安全事件响应技能,涵盖依赖入侵排查、凭证轮换和主动安全审计,帮助团队在npm、PyPI、GitHub Actions等生态遭受攻击时快速处置。
Stars: 10 | Forks: 2
# agent-infra-security
AI 编程代理的安全技能。当您的依赖项遭到入侵时,这些技能就是您的代理所遵循的事件响应 playbook。
## 十天内的三次供应链攻击
**2026 年 3 月 19 日 — Trivy。** 攻击者入侵了 `aquasecurity/trivy-action` 77 个标签中的 76 个。每个使用标签引用的 GitHub Actions 工作流都会运行攻击者控制的代码。CI 密钥——云凭证、部署密钥、包注册表令牌——通过死信仓库被窃取。
**2026 年 3 月 23 日 — KICS。** 攻击者利用从 Trivy 攻击中窃取的凭证,转而攻击 Checkmarx KICS,覆盖了 `checkmarx/kics-github-action` 上的 35 个标签。连锁反应继续蔓延。
**2026 年 3 月 24 日 — LiteLLM。** 从 KICS 入侵事件中窃取的凭证被用于在 PyPI 上发布植入后门的 LiteLLM 版本(1.82.7、1.82.8)。恶意软件会在 `site-packages/` 中释放一个 `.pth` 文件——Python 会在每次解释器启动时、甚至在您的代码导入之前执行该文件。SSH 密钥、AWS 凭证、`.env` 文件,所有这些都会被扫描并窃取。大多数受影响的开发者从未直接安装过 LiteLLM——它是由 CrewAI、DSPy 和 Browser-Use 通过传递依赖拉入的。
**2026 年 3 月 31 日 — Axios。** npm 维护者账户 `jasonsaayman` 被入侵。发布了恶意版本 `axios@1.14.1` 和 `axios@0.30.4`,注入了一个经过域名仿冒的依赖项 `plain-crypto-js`,该依赖项部署了针对特定平台的后门:macOS 上的伪装二进制文件(`/Library/Caches/com.apple.act.mond`)、Windows 上重命名的 PowerShell(`wt.exe`)以及 Linux 上的 Python 脚本(`/tmp/ld.py`)。有效载荷会自我删除其安装程序,并替换 `package.json` 以掩盖其踪迹。Axios 每周的下载量高达 8000 万次。
**一个被入侵的账户在十天内引发了跨越三个生态系统的连锁反应。** GitHub Actions → PyPI → npm。每次攻击都使用了从上一次攻击中窃取的凭证。
## 为什么代理需要安全技能
AI 编程代理代表您运行 `pip install`、`npm install` 和 GitHub Actions 工作流。它们拉取依赖项、构建容器并部署代码。当发生供应链攻击时,安装了受损包的代理也是进行事件分拣的最快途径:
- 它已经了解您的依赖树
- 它搜索 lockfiles、缓存和环境的速度比您输入命令的速度还要快
- 它可以执行结构化的事件响应,而不是让您在凌晨两点去 StackOverflow 上搜索
但代理默认并不了解事件响应。这些技能正是用来教授它们的。
## 本仓库包含什么
按层组织的六项技能:
### 特定生态系统的事件响应
**[npm-supply-chain-response](skills/npm-supply-chain-response/)** — 针对受损 npm 包的深度分拣。基于 Axios 攻击构建:域名仿冒依赖注入、多平台后门、反取证(自我删除的 `setup.js`,`package.md` 替换)。具有三种输出模式(交互式清单、runbook、自动化脚本)的六阶段工作流。
**[pypi-supply-chain-response](skills/pypi-supply-chain-response/)** — 针对受损 PyPI 包的深度分拣。基于 LiteLLM 攻击构建:`.pth` 启动钩子、通过 `pipdeptree -r` 暴露的传递依赖、凭证窃取。跨平台的手动 playbook(Windows PowerShell、macOS、Linux)。
**[github-actions-supply-chain-response](skills/github-actions-supply-chain-response/)** — 针对标签覆盖攻击的事件响应。基于 Trivy → KICS 连锁攻击构建:组织范围的 workflow 扫描、运行窗口确认、CI 日志中的 IOC 搜索、死信仓库检测。
### 凭证生命周期
**[credential-exfiltration-response](skills/credential-exfiltration-response/)** — 从检测到轮换的完整生命周期。所有生态系统技能都在此处交接。涵盖 13 种凭证类别(SSH、包含 STS 会话失效的 AWS、GCP、Azure、GitHub、npm、PyPI、Docker、Kubernetes、数据库、`.env` 密钥、CI/CD 密钥、加密钱包)。包括针对所有主要云提供商的审计跟踪查询。
### 通用回退
**[supply-chain-security-check](skills/supply-chain-security-check/)** — 针对 Go、Rust、Ruby、Java、.NET、Docker 以及跨越多个生态系统的事件的多生态系统回退。在可用时路由到特定生态系统的技能。
### 主动强化
**[supply-chain-best-practices](skills/supply-chain-best-practices/)** — 九大类别的依赖审计:版本固定、lockfile 完整性、安装钩子、漏洞扫描、来源验证、CI 密钥作用域界定、SBOM 生成、更新策略、包管理器强化。生成一份 PASS/WARN/FAIL 清单。请在发生事件之前(而不是期间)使用此技能。
## 安装
在 Claude Code 中添加 marketplace:
```
/plugin marketplace add makash/agent-infra-security
```
安装插件:
```
/plugin install agent-infra-security@agent-infra-security
```
重新加载插件:
```
/reload-plugins
```
如果您在 Claude Code 之外使用,请添加 `claude` 前缀:
```
claude "/plugin marketplace add makash/agent-infra-security"
claude "/plugin install agent-infra-security@agent-infra-security"
```
安装后,您应该会在 `/skills` 中看到列出的技能。
## 使用
只需描述事件即可:
```
axios got compromised — 1.14.1 and 0.30.4 are backdoored. Am I affected?
litellm got backdoored. I use dspy in production — check transitive deps.
the trivy github action was compromised. scan our org for affected workflows.
we confirmed we ran the bad version. rotate everything.
audit this project's dependency security before we ship.
```
### Codex
```
codex --skill ./skills/supply-chain-security-check
```
### 无代理 — 独立脚本
每个生态系统技能都附带一个无需任何 AI 代理即可运行的 shell 脚本:
```
# npm — 检查 Axios 是否遭到入侵
./skills/npm-supply-chain-response/scripts/check_npm_compromise.sh axios --dry-run
# PyPI — 检查任何遭到入侵的 package
./skills/pypi-supply-chain-response/scripts/check_compromise_template.sh
# GitHub Actions — 扫描 org 中遭到入侵的 action 引用
./skills/github-actions-supply-chain-response/scripts/check_gha_compromise.sh
```
### 无代理 — 仅命令
```
# npm: 是否安装了恶意版本?
grep "axios" package-lock.json yarn.lock pnpm-lock.yaml 2>/dev/null
ls node_modules/plain-crypto-js 2>/dev/null # malicious dependency = confirmed compromise
# Python: 是什么引入了 litellm?
pip show litellm | grep Version
pipdeptree -r -p litellm # shows dspy, crewai, browser-use as parents
# GitHub Actions: 谁在使用可变 tag?
grep -rn 'uses:.*@v' .github/workflows/
```
## 仓库结构
```
agent-infra-security/
├── skills/
│ ├── npm-supply-chain-response/ # Axios, and any future npm compromise
│ ├── pypi-supply-chain-response/ # LiteLLM, and any future PyPI compromise
│ ├── github-actions-supply-chain-response/ # Trivy/KICS, and any future GHA compromise
│ ├── credential-exfiltration-response/ # Detection + rotation for 13 credential classes
│ ├── supply-chain-security-check/ # Generic fallback (Go, Rust, Ruby, Java, .NET)
│ └── supply-chain-best-practices/ # Proactive hardening audit
├── .claude-plugin/ # Plugin manifests for marketplace
├── CATALOG.md # Skill index with trigger phrases
└── LICENSE # MIT
```
## 贡献
新技能由维护者策划。如果您有 playbook 想法或有需要覆盖的事件,请[提交 issue](../../issues)。
## 许可证
MIT
标签:AI编码代理, AI编程助手, CI/CD安全, Claude Code, Codex, Cursor, Cutter, DevSecOps, DNS 反向解析, GitHub Actions安全, IOC检测, Llama, MITM代理, npm安全, OpenCanary, PyPI安全, 上游代理, 人工智能, 代码安全, 供应链投毒, 凭据轮换, 后门检测, 威胁情报, 安全Runbook, 安全助手, 安全合规, 安全应急响应, 开发者工具, 恶意依赖, 横向移动, 漏洞枚举, 用户模式Hook绕过, 级联攻击, 编程规范, 网络代理, 自动化防御, 软件供应链攻击, 软件开发工具包, 逆向工具