riteshksingh007/thanos-snap-security

GitHub: riteshksingh007/thanos-snap-security

面向 Claude Code 的防御性安全审查技能,通过授权优先的静态分析工作流对 Web 前端代码和移动端产物进行安全弱点评估并输出结构化修复报告。

Stars: 0 | Forks: 0

# 🧤 Thanos Snap 安全 一个为 [Claude Code](https://claude.com/claude-code) 设计的**防御性、授权优先的网络安全评估技能**。它审查网站、前端代码库、移动端源代码以及编译后的移动端产物(Android **APK/AAB**、iOS **IPA**)中的安全弱点——包括暴露的密钥、不安全的配置、易受攻击的依赖项、高风险的移动端权限以及薄弱的前端规范——并生成一份结构化、专注于修复的报告。 这里的“反派”指的是安全问题。该技能的全部职责是**在确保安全、采用静态分析且仅获得授权的情况下**发现这些问题——拒绝任何攻击性行为,未经明确许可绝不进行实时探测。 ## 为什么开发这个技能 大多数“安全审查”提示词只是一大段没有任何防护措施的文本。这个技能采用了截然相反的构建方式:它是一个**结构化的工作流,带有严格的授权关卡、针对特定资产的行动指南、安全的只读工具以及专业的报告格式**。正是这种结构使得 AI 安全审查真正值得信赖——它绝不会越界进入未授权或攻击性的领域。 ## 审查目标 - 🔑 **暴露的密钥** —— 硬编码的密钥、令牌、凭据和 endpoint - 📦 **依赖与供应链风险** —— 清单和锁定文件中存在漏洞或过时的包 - 🛡️ **配置错误** —— 安全标头、Cookie、CORS、CSP、TLS、重定向 - 🔐 **身份验证与会话弱点** —— 身份验证和授权缺陷 - 📱 **移动端风险** —— 危险的权限、导出的 Android 组件、不安全的 deep link、不安全的 WebView、明文流量、禁用的证书检查、薄弱的 ATS - 🧩 **客户端和移动端不安全的存储与构建/调试配置错误** 基于既定基线进行评估:**OWASP Top 10、OWASP WSTG、OWASP API Security Top 10、OWASP MASVS**,以及 Android/iOS 平台最佳实践。 ## 防护措施(最重要的部分) - **授权优先。** 在确认所有权/权限和范围之前,绝不进行任何扫描、探测或获取数据。 - **默认静态与被动。** 读取提供给您的文件是可以的;向*外部*实时目标发起请求属于主动测试,需要明确的许可。 - **无攻击性行为。** 明确拒绝漏洞利用、暴力破解、撞库、权限维持、恶意软件、隐蔽/规避、DoS 和数据外泄等行为——这些才是反派,而不是审查技术。 - **最小的无害证明。** 调查结果通过最小范围的安全演示进行验证,绝不进行真正的入侵。 ## 支持的资产类型 | 资产类型 | 行动指南 | |---|---| | 网站 / Web 应用 | `references/web-security.md` | | 前端代码库 (JS/TS, React, Vue, …) | `references/frontend-code-review.md` | | Android APK / AAB / App Bundle | `references/android-apk-aab.md` | | iOS IPA | `references/ios-ipa.md` | | 移动端源代码(原生或跨平台) | `references/mobile-source-review.md` | ## 内置工具 安全、只读的离线辅助脚本——它们解析您已有的产物,绝不会触及网络目标: | 脚本 | 功能说明 | |---|---| | `scripts/scan_secrets.py` | 使用正则表达式扫描类似密钥/令牌/凭据的字符串,并附带行号引用和脱敏处理 | | `scripts/parse_android_manifest.py` | 总结权限、导出的组件、deep link、调试/备份/明文标志 | | `scripts/parse_ios_plist.py` | 总结 Bundle 元数据、ATS 设置、URL scheme、权限描述字符串 | | `scripts/check_dependencies.py` | 解析依赖清单/锁定文件并列出声明的版本以供审查 | | `scripts/format_report.py` | 将发现结果的 JSON 渲染为标准报告 Markdown | ## 报告机制 每个发现都会附带**严重程度**(Critical / High / Medium / Low / Informational)、**置信度**、受影响的资产、脱敏的证据、影响、安全的复现步骤以及修复建议。严重程度是根据可利用性和业务影响推断出来的——而不是通过关键字匹配到某个漏洞类别。 ## 安装说明 这是一个 [Claude Code 技能](https://docs.claude.com/en/docs/claude-code/skills)。将其放入您的技能目录中: ``` git clone https://github.com/riteshksingh007/thanos-snap-security.git # 复制到您的 Claude Code skills 文件夹中,例如: cp -r thanos-snap-security ~/.claude/skills/ ``` 然后在 Claude Code 中调用它: ``` Review this repository for security issues — I own it and authorize a static review. ``` ## 仓库结构 ``` thanos-snap-security/ ├── SKILL.md # Skill definition + workflow ├── references/ # Asset-specific security playbooks └── scripts/ # Safe, read-only analysis helpers ``` ## ⚠️ 负责任地使用 此技能仅供**已授权**的安全工作使用——即您拥有所有权或获得书面评估许可的资产。将其用于您无法控制的系统可能是违法的。授权关卡的存在是有原因的;请勿绕过它。 ## 许可证 [MIT](LICENSE) 由 [Ritesh Singh](https://github.com/riteshksingh007) 构建为 Claude Code 技能,旨在探索当 AI 安全审查成为一种具有真实防护措施的结构化工作流(而不仅仅是一个提示词)时,如何变得值得信赖。
标签:AI安全工具, Claude Code, 前端安全, 目录枚举, 移动安全, 逆向工具, 防御加固