riteshksingh007/thanos-snap-security
GitHub: riteshksingh007/thanos-snap-security
面向 Claude Code 的防御性安全审查技能,通过授权优先的静态分析工作流对 Web 前端代码和移动端产物进行安全弱点评估并输出结构化修复报告。
Stars: 0 | Forks: 0
# 🧤 Thanos Snap 安全
一个为 [Claude Code](https://claude.com/claude-code) 设计的**防御性、授权优先的网络安全评估技能**。它审查网站、前端代码库、移动端源代码以及编译后的移动端产物(Android **APK/AAB**、iOS **IPA**)中的安全弱点——包括暴露的密钥、不安全的配置、易受攻击的依赖项、高风险的移动端权限以及薄弱的前端规范——并生成一份结构化、专注于修复的报告。
这里的“反派”指的是安全问题。该技能的全部职责是**在确保安全、采用静态分析且仅获得授权的情况下**发现这些问题——拒绝任何攻击性行为,未经明确许可绝不进行实时探测。
## 为什么开发这个技能
大多数“安全审查”提示词只是一大段没有任何防护措施的文本。这个技能采用了截然相反的构建方式:它是一个**结构化的工作流,带有严格的授权关卡、针对特定资产的行动指南、安全的只读工具以及专业的报告格式**。正是这种结构使得 AI 安全审查真正值得信赖——它绝不会越界进入未授权或攻击性的领域。
## 审查目标
- 🔑 **暴露的密钥** —— 硬编码的密钥、令牌、凭据和 endpoint
- 📦 **依赖与供应链风险** —— 清单和锁定文件中存在漏洞或过时的包
- 🛡️ **配置错误** —— 安全标头、Cookie、CORS、CSP、TLS、重定向
- 🔐 **身份验证与会话弱点** —— 身份验证和授权缺陷
- 📱 **移动端风险** —— 危险的权限、导出的 Android 组件、不安全的 deep link、不安全的 WebView、明文流量、禁用的证书检查、薄弱的 ATS
- 🧩 **客户端和移动端不安全的存储与构建/调试配置错误**
基于既定基线进行评估:**OWASP Top 10、OWASP WSTG、OWASP API Security Top 10、OWASP MASVS**,以及 Android/iOS 平台最佳实践。
## 防护措施(最重要的部分)
- **授权优先。** 在确认所有权/权限和范围之前,绝不进行任何扫描、探测或获取数据。
- **默认静态与被动。** 读取提供给您的文件是可以的;向*外部*实时目标发起请求属于主动测试,需要明确的许可。
- **无攻击性行为。** 明确拒绝漏洞利用、暴力破解、撞库、权限维持、恶意软件、隐蔽/规避、DoS 和数据外泄等行为——这些才是反派,而不是审查技术。
- **最小的无害证明。** 调查结果通过最小范围的安全演示进行验证,绝不进行真正的入侵。
## 支持的资产类型
| 资产类型 | 行动指南 |
|---|---|
| 网站 / Web 应用 | `references/web-security.md` |
| 前端代码库 (JS/TS, React, Vue, …) | `references/frontend-code-review.md` |
| Android APK / AAB / App Bundle | `references/android-apk-aab.md` |
| iOS IPA | `references/ios-ipa.md` |
| 移动端源代码(原生或跨平台) | `references/mobile-source-review.md` |
## 内置工具
安全、只读的离线辅助脚本——它们解析您已有的产物,绝不会触及网络目标:
| 脚本 | 功能说明 |
|---|---|
| `scripts/scan_secrets.py` | 使用正则表达式扫描类似密钥/令牌/凭据的字符串,并附带行号引用和脱敏处理 |
| `scripts/parse_android_manifest.py` | 总结权限、导出的组件、deep link、调试/备份/明文标志 |
| `scripts/parse_ios_plist.py` | 总结 Bundle 元数据、ATS 设置、URL scheme、权限描述字符串 |
| `scripts/check_dependencies.py` | 解析依赖清单/锁定文件并列出声明的版本以供审查 |
| `scripts/format_report.py` | 将发现结果的 JSON 渲染为标准报告 Markdown |
## 报告机制
每个发现都会附带**严重程度**(Critical / High / Medium / Low / Informational)、**置信度**、受影响的资产、脱敏的证据、影响、安全的复现步骤以及修复建议。严重程度是根据可利用性和业务影响推断出来的——而不是通过关键字匹配到某个漏洞类别。
## 安装说明
这是一个 [Claude Code 技能](https://docs.claude.com/en/docs/claude-code/skills)。将其放入您的技能目录中:
```
git clone https://github.com/riteshksingh007/thanos-snap-security.git
# 复制到您的 Claude Code skills 文件夹中,例如:
cp -r thanos-snap-security ~/.claude/skills/
```
然后在 Claude Code 中调用它:
```
Review this repository for security issues — I own it and authorize a static review.
```
## 仓库结构
```
thanos-snap-security/
├── SKILL.md # Skill definition + workflow
├── references/ # Asset-specific security playbooks
└── scripts/ # Safe, read-only analysis helpers
```
## ⚠️ 负责任地使用
此技能仅供**已授权**的安全工作使用——即您拥有所有权或获得书面评估许可的资产。将其用于您无法控制的系统可能是违法的。授权关卡的存在是有原因的;请勿绕过它。
## 许可证
[MIT](LICENSE)
由 [Ritesh Singh](https://github.com/riteshksingh007) 构建为 Claude Code 技能,旨在探索当 AI 安全审查成为一种具有真实防护措施的结构化工作流(而不仅仅是一个提示词)时,如何变得值得信赖。
标签:AI安全工具, Claude Code, 前端安全, 目录枚举, 移动安全, 逆向工具, 防御加固