Razi-Interactive/claude-project-scanner

# Claude 项目扫描器 只读的 Claude Code 技能，可在你打开第三方项目**之前**扫描其是否存在已知的安全风险。 可捕获以下文档中记录的攻击模式： - CVE-2025-59536 (Claude Code Lifecycle Hooks 注入) - CVE-2025-61260 (OpenAI Codex CODEX_HOME 注入) - CVE-2025-54136 (Cursor 插件验证绕过) 此外还包括 `statusLine.command` 执行、`additionalDirectories` 转义、agents/skills/commands/output-styles 中的提示注入、可疑的 MCP 服务器以及隐藏的 base64 形式负载。 ## ⚠️ 请先阅读 **1. 卫生检查，而非完整的安全工具。** 这只是一层防御。它不能替代对其标记文件的人工审查。 **2. 基于 2026 年 4 月前已知的攻击模式。** 新的攻击媒介将需要更新。如果你发现此扫描遗漏的模式，请提交 issue。 **3. 无担保 (MIT License)。** 风险自负。作者对因使用本工具造成的损害不承担任何责任。 ## 检查内容 | 攻击面 | 标记内容 | |---|---| | `.claude/settings.json`, `settings.local.json` | `hooks`, `statusLine.command`, `additionalDirectories`, 以及 `Bash(*)` 等宽泛权限 | | `.mcp.json` | 指向 `/tmp/`, `~/Downloads/`, `http://` 的 MCP 服务器，以及可疑的 payload URL | | `CLAUDE.md`, `AGENTS.md` | 提示注入模式（“忽略之前的指令”, “你现在”以及 HTML 注释隐藏指令） | | `.claude/agents/*.md`, `skills/*.md`, `commands/*.md`, `output-styles/*.md` | 相同的提示注入模式 | | `.claude-plugin/plugin.json` | 声明 hooks 的插件清单 | | `.env`, `.env.local` | 指向项目内部的 `CODEX_HOME=`，暴露的密钥 | | `.cursor/`, `.codex/` | 来自其他 AI 工具的标记目录（值得人工检查） | | 以上任意项 | 暗示 base64 编码 payload 的长字母数字串（80 个字符以上） | ## 不检查内容 - 编码的 payload（它会标记长字母数字串，但不会对其进行解码） - `package.json` `preinstall`, `pyproject.toml` 脚本（超出范围 - 仅在你运行 `npm install` / `pip install` 时相关） - 多语言文件 (Polyglot files) - 2026 年 4 月前尚未发布的攻击媒介 - 你的全局 `~/.claude/settings.json`（该扫描器针对的是项目目录，而不是机器） ## 安装说明 两个文件。无依赖。 **1. 全局保存技能：** ``` mkdir -p ~/.claude/skills cp scan-project-skill.md ~/.claude/skills/ ``` **2. 全局保存斜杠命令：** ``` mkdir -p ~/.claude/commands cp scan-project.md ~/.claude/commands/ ``` **3. 打开一个新的 Claude Code 会话**（以便加载新技能）。 完成。 ## 运行 Naabu ``` /scan-project /absolute/path/to/some-cloned-repo ``` 或使用 `~` 路径： ``` /scan-project ~/Downloads/some-skill-folder ``` 你将得到一份希伯来语报告，包含以下四种结论之一： - 🔴 **RED (红色)** - 不要打开。发现结果与已知攻击模式匹配。 - 🟠 **ORANGE (橙色)** - 在打开之前，请手动审查标记的文件。 - 🟡 **YELLOW (黄色)** - 值得注意，但可能没问题。 - 🟢 **GREEN (绿色)** - 未发现异常。但仍不能替代人工审查。 报告始终包含一个“局限性”部分，让你了解该扫描能检测到和无法检测到的内容。 ## 自我测试 包含两个示例测试套件，以便你查看扫描器的工作情况： ``` /scan-project ./example-fixtures/clean-example ``` 预期结果：🟢 GREEN ``` /scan-project ./example-fixtures/red-example ``` 预期结果：🔴 RED，附带多项发现结果 ## 为什么我要开发这个工具 我是 Razi Dolev。我为企业（在以色列及其他地区）构建 AI 智能体系统，投放 Google Ads 广告系列，并提供数字营销咨询。我也在[我的博客](https://razi.co.il)上用希伯来语撰写关于企业 AI 的文章。 在 Check Point 发布关于 AI 编码工具漏洞的 2026 年 4 月研究之后，我需要一种在打开代码库之前快速扫描它们的工具。这是我为自己构建的工具，之所以公开分享，是因为这种威胁影响着每个使用这些工具的人。 扫描逻辑位于纯 Markdown 文件中——请在安装前阅读。这正是其意义所在。 ## 联系方式 如果你需要帮助为你的企业构建 AI 智能体系统（营销自动化、内容工作流、潜在客户生成），投放 Google Ads 广告系列，或获取数字营销咨询，请通过 [razi.co.il](https://razi.co.il) 联系我。 如需获取关于企业 AI 的希伯来语深度见解，请[订阅简报](https://razi.co.il/%D7%94%D7%99%D7%A8%D7%A9%D7%9E%D7%95-%D7%9C%D7%A8%D7%A9%D7%99%D7%9E%D7%AA-%D7%94%D7%AA%D7%A4%D7%95%D7%A6%D7%94/)。 ## 许可证 MIT。请参阅 `LICENSE`。 ## 来源研究 Vanunu, Oded. "AI Agent Configuration Files as Attack Vectors." Check Point Research, April 2026.

标签：AI安全, AI编程助手, Base64检测, Chat Copilot, Claude, Claude Code, CVE-2025-54136, CVE-2025-59536, CVE-2025-61260, CVE检测, DNS 反向解析, DNS 解析, 云安全监控, 只读扫描, 命令注入, 安全防护, 恶意插件检测, 提示注入, 搜索语句（dork）, 文档安全, 红队防御, 防御加固, 集群管理, 零日漏洞检测, 静态分析