ca-who-codes/hack.proof
GitHub: ca-who-codes/hack.proof
一个以纯 Markdown 技能文件驱动的安全审计 Playbook 库,让任意 AI 编程 Agent 能够对软件项目执行端到端的自动化安全检测并生成排名报告。
Stars: 0 | Forks: 0
# hack.proof
**一个将任何编程 Agent 转变为安全审计员的技能库。**
将 Claude Code、Cursor、Codex、Copilot、Cline、Windsurf 或普通的 Agent 循环指向此代码库,它就能对你正在构建的任何项目执行真正的、端到端的安全检测——包括侦察、密钥、依赖项、源代码、Web/API 攻击面、基础设施、容器,并在最后生成一份按严重程度排名的报告。无需仪表板,无需注册 SaaS,无需许可证。只有调用真正经过实战检验的开源工具的 Markdown Playbook,以及为你运行这些工具的脚本。
专为使用 AI 快速交付产品的开发者(“vibe coders”)而构建,他们希望在每次构建发布前,免费获得专业渗透测试公司所能提供的同等深度的测试。
## 工作原理
[`skills/`](skills/) 中的每个文件夹都是一个独立的 Playbook:一个 `SKILL.md` 描述了何时使用它、它驱动哪些工具、需要运行的确切命令、如何解释输出,以及发现漏洞时的表现形式。它们使用带有可直接复制粘贴命令的纯英文编写——任何能够读取文件并运行 shell 命令的 Agent 都可以执行它们。没有专有格式,没有锁定。
[`skills/full-security-audit/SKILL.md`](skills/full-security-audit/SKILL.md) 是主 Playbook——它将所有其他技能串联在一起,一次性执行并生成一份统一的排名报告。当你只想“直接审计这个东西”时,指引导向这个文件即可。
## 快速开始
**通用方法——适用于任何 Agent。** 将此代码库放入你的项目中,并将你的 Agent 指向主 Playbook:
```
git clone https://github.com/ca-who-codes/hack.proof.git .hack.proof
```
然后向你使用的任何 Agent 发送提示词:
就是这样。技能文件是普通的 Markdown,因此任何能够读取文件并运行 shell 命令的 Agent 都可以执行它们——不需要插件,也不需要特殊模式。
**特定 Agent 的便捷设置**(可选——上述通用方法已适用于所有环境):
| Agent | 设置以便自动发现技能 |
|---|---|
| Claude Code | `mkdir -p .claude/skills && cp -r .hack.proof/skills/* .claude/skills/` —— 然后请求 *“运行全面安全审计。”* |
| Cursor / Windsurf | 将 `.hack.proof/AGENTS.md` 添加到你的规则中,或在聊天中引用某个 `SKILL.md`。 |
| Codex / Copilot / Cline / Amp / aider | 按照上述说明在你的提示词中引用 `SKILL.md` 路径。 |
任何读取 [`AGENTS.md`](AGENTS.md) 的 Agent,一旦该文件夹位于你的项目中,就会自动获取操作规则。
**没有 Agent,只有你自己和终端:**
```
git clone https://github.com/ca-who-codes/hack.proof.git && cd hack.proof
./scripts/bootstrap.sh # installs the underlying OSS tools
./scripts/full-audit.sh /path/to/your/project # or a URL for a live target
```
原始工具输出将存放在 `findings//` 中;将 Agent 指向 [`findings-report`](skills/findings-report/SKILL.md) 即可将其合成为一份带排名的 `report.md`。有关其具体呈现形式,请参见 [`examples/report.md`](examples/report.md)。
## 核心内容
| 技能 | 解决的问题 |
|---|---|
| [`full-security-audit`](skills/full-security-audit/SKILL.md) | “此构建版本可以安全发布吗?” —— 运行以下所有技能,进行关联分析,并按严重程度排名 |
| [`attack-surface-recon`](skills/attack-surface-recon/SKILL.md) | 实际暴露了哪些内容 —— 子域名、端口、endpoint、技术栈 |
| [`secrets-scan`](skills/secrets-scan/SKILL.md) | git 历史记录或工作树中是否存在泄露的密钥、token 或凭证 |
| [`dependency-audit`](skills/dependency-audit/SKILL.md) | 哪些第三方包存在已知的 CVE,以及修复方法是什么 |
| [`sast-code-review`](skills/sast-code-review/SKILL.md) | 代码本身存在什么问题 —— 注入、不安全的模式、逻辑漏洞 |
| [`web-app-pentest`](skills/web-app-pentest/SKILL.md) | 针对运行中的 Web 应用进行 OWASP Top 10 检测 —— 注入、XSS、SSRF、IDOR、访问控制 |
| [`api-security-test`](skills/api-security-test/SKILL.md) | REST/GraphQL API 上的身份验证失效、批量分配、BOLA/IDOR、速率限制问题 |
| [`auth-session-security`](skills/auth-session-security/SKILL.md) | JWT/session/cookie 缺陷、固定攻击、弱 MFA、OAuth 配置错误 |
| [`dast-active-scan`](skills/dast-active-scan/SKILL.md) | 使用 ZAP/Nuclei 对实时目标进行自动化的黑盒扫描 |
| [`container-image-scan`](skills/container-image-scan/SKILL.md) | 存在漏洞的基础镜像、层中暴露的密钥、不良的 Dockerfile 实践 |
| [`iac-cloud-posture`](skills/iac-cloud-posture/SKILL.md) | 在部署前或部署后发现配置错误的 Terraform/K8s/云资源 |
| [`network-service-scan`](skills/network-service-scan/SKILL.md) | 你自己主机上的开放端口和暴露的服务 |
| [`tls-transport-security`](skills/tls-transport-security/SKILL.md) | 弱加密算法、过期/错误签发的证书、协议降级风险 |
| [`mobile-app-scan`](skills/mobile-app-scan/SKILL.md) | iOS/Android 构建中硬编码的密钥、不安全的存储、弱传输 |
| [`smart-contract-audit`](skills/smart-contract-audit/SKILL.md) | 重入攻击、访问控制、算术问题以及已知的 Solidity/Vyper 漏洞类别 |
| [`business-logic-fuzzing`](skills/business-logic-fuzzing/SKILL.md) | 竞态条件、工作流绕过、价格/数量操纵 —— 那些扫描器容易遗漏的问题 |
| [`ci-cd-pipeline-security`](skills/ci-cd-pipeline-security/SKILL.md) | 你的 CI 配置中存在的中毒流水线执行、密钥暴露和供应链风险 |
| [`findings-report`](skills/findings-report/SKILL.md) | 将原始发现结果转化为经过排名、可直接用于修复的报告 |
有关每项技能驱动的底层开源工具的完整清单以及需要安装的内容,请参见 [`TOOLS.md`](TOOLS.md)。
## 我们在自身上运行它
此代码库在每次推送时都会进行自我扫描——请参见 [`.github/workflows/self-scan.yml`](.github/workflows/self-scan.yml),该工作流将 `secrets-scan` (gitleaks) 作为强制拦截标准,并将 `sast-code-review` (semgrep) 作为参考性信息运行。它也可以作为可复制的 CI 模板,遵循 [`ci-cd-pipeline-security`](skills/ci-cd-pipeline-security/SKILL.md) 中的实践——固定 action 的 SHA、最小化的 token 权限、锁定版本的扫描器镜像。
## 适用范围
这些技能专为测试你拥有的、构建的或被明确授权测试的内容而编写——你自己的代码库、你自己的测试/生产环境、你自己的合约。将它们指向特定目标,而不是整个互联网。有关负责任的使用和安全的发现处理指南,请参见 [`SECURITY.md`](SECURITY.md);有关如何添加新技能,请参见 [`CONTRIBUTING.md`](CONTRIBUTING.md)。
## 贡献指南
新技能 = `skills/` 下的一个新文件夹,其中包含遵循现有 frontmatter(`name`、`description`)的 `SKILL.md`。保持其与 Agent 无关:使用真实的命令、真实的工具,不产生供应商锁定。欢迎提交 PR。
标签:AI代理, AI应用开发, AI编程助手, Cutter, DevSecOps, StruQ, 上游代理, 安全专业人员, 安全测试, 实时处理, 攻击性安全, 错误基检测, 防御加固, 静态代码分析