zknpr/seal-security-plugin
GitHub: zknpr/seal-security-plugin
SEAL 安全插件:Web3 安全的实时防护与加固指南。
Stars: 1 | Forks: 0
# Claude Code 的 SEAL 安全插件
基于 [SEAL (安全联盟) 框架](https://frameworks.securityalliance.org) 的综合 Web3 安全框架插件。提供实时安全指导、特定平台加固清单以及阻止危险命令和秘密泄露的钩子。
## 安装
```
claude plugin install seal-security@github:zknpr/seal-security-plugin
```
## 包含内容
### 技能
| 技能 | 触发 | 描述 |
|---|---|---|
| `security-guidance` | "安全审查"、"审计"、"加固"、"操作安全"或接触基础设施/钱包/CI/CD 时 | 每个SEAL领域的全面安全顾问,具有深入参考文件 |
| `security-checklist` | "清单"、"加固[平台]"、"锁定" | 20+ 个特定平台的加固清单 |
### 钩子
| 钩子 | 触发 | 行为 |
|---|---|---|
| `security-guard` | 每个 `Bash` 命令 | 15 条规则捕获管道到shell、chmod 777、强制推送、秘密泄露、docker特权、SSL禁用等 |
| `secret-scanner` | 每个 `Write`/`Edit` 操作 | 11 种模式检测私钥、助记词、AWS凭证、SSH密钥、JWT、webhook URL、数据库连接字符串 |
#### 钩子行为
- **BLOCKED**(阻止执行):私钥、助记词、AWS密钥、SSH密钥、PGP密钥、管道到shell、chmod 777、强制推送到主分支、rm -rf 系统目录
- **WARNING**(显示消息,允许执行):API密钥分配、JWT、webhooks、不带 --ignore-scripts 的 npm install、环境变量导出、SSL验证禁用
- `.env` 文件会发出警告但永远不会被阻止(它们预期包含秘密)
- 每个警告在每个会话的每个文件/命令中只显示一次(没有骚扰);阻止的行为始终强制执行,每次发生时都强制执行
- 在一行上添加 `seal-allow-secret` 注释以将该行排除在秘密扫描之外(用于测试固定值中的已知伪造值)
- 调试日志是 **可选的**:设置 `SEAL_DEBUG=1` 以将钩子日志写入 `~/.claude/`(默认关闭)
## 覆盖的安全领域
基于完整的 [SEAL 安全框架](https://frameworks.securityalliance.org):
| 领域 | 覆盖 |
|---|---|
| **操作安全** | 15 个平台的账户加固(Discord、GitHub、Telegram、Twitter/X、Signal、Slack、Vercel、Zoom 等) |
| **基础设施** | DNS/DNSSEC、注册商安全、CAA 记录、电子邮件安全(SPF/DKIM/DMARC)、端点加固 |
| **钱包安全** | 硬件钱包选择、助记词管理、多重签名最佳实践、签名验证、EIP-7702 风险 |
| **DevSecOps** | CI/CD 管道加固、存储库安全、开发环境隔离、代码签名、沙箱化 |
| **安全测试** | 智能合约的单元/集成/模糊/静态分析/形式验证 |
| **监控** | 链上监控指南、工具(BlockScout、Hypernative、Tenderly)、警报阈值、通道可靠性 |
| **事件响应** | 严重程度级别(P1-P5)、角色、通信模板、7 个剧本(恶意软件、朝鲜、钱包吸金者、ELUSIVE COMET、SEAL 911 战室) |
| **供应链** | 依赖项意识、lockfile 完整性、版本锁定、Web3 特定威胁、供应商风险、事件响应 |
| **AI 安全** | 提示注入防御、Web3 特定 AI 风险、ElizaOS 代理内存攻击 |
## 可用的平台清单
Discord、GitHub、Telegram、Twitter/X、Signal、Slack、Vercel、GoDaddy、Notion、Mercury、Sentry、Render、Linear、Trello、Zoom、DNS/域名安全、硬件钱包设置、多重签名设置、CI/CD 管道、依赖项管理、链上监控、事件响应准备
## 引用的重大事件
| 事件 | 损失 | 类别 |
|---|---|---|
| Bybit(朝鲜,2025 年 2 月) | 15 亿美元 | 国家赞助 |
| Wormhole | 3.25 亿美元 | 合约升级 |
| Beanstalk | 1.82 亿美元 | 闪电贷款治理 |
| Parity | 1.5 亿美元 | 代理模式漏洞 |
| Cream Finance | 1.3 亿美元 | 智能合约操纵 |
| Mango Markets | 1.12 亿美元 | 智能合约操纵 |
| Vyper 重入性 2023 | 6900 万美元 | 编译器漏洞 |
| Ledger Connect Kit 2023 | 60 万美元+ | 供应链 |
## 关键原则(不可协商)
1. **FIDO2/WebAuthn 在所有地方** — TOTP 是次选,短信永远不可接受
2. **所有关键操作都有 2+ 独立验证通道**
3. **默认拒绝出口** — 仅显式允许列表
4. **永远不要盲目签名** — 验证来源、合约、函数、参数、gas
5. **硬件钱包是真相之源** — 模拟可以被欺骗
6. **CI 中的冻结安装** — `npm ci`,永远不要 `*` 或 `latest`
7. **有疑问时假设被入侵** — 首先移动资金,然后调查
8. **每个警报都必须映射到已记录的响应**
9. **1 周内进行事后分析** — 学习,而不是责备
10. **"有疑问时,选择更高的严重性"**
## 来源
所有指导均来自由 [安全联盟](https://securityalliance.org) 维护的 [SEAL 安全框架](https://frameworks.securityalliance.org),安全联盟是一个致力于 Web3 安全的非营利组织。
## 许可证
MIT
标签:CI/CD安全, GitHub Advanced Security, Llama, SEAL框架, TypeScript, Web3安全, 代码安全, 命令钩子, 安全事件响应, 安全加固, 安全指导, 安全插件, 安全最佳实践, 安全清单, 安全漏洞, 平台安全, 日志审计, 漏洞枚举, 秘密泄露防护, 请求拦截, 钱包安全