ca-who-codes/hack.proof

GitHub: ca-who-codes/hack.proof

一个以纯 Markdown 技能文件驱动的安全审计 Playbook 库,让任意 AI 编程 Agent 能够对软件项目执行端到端的自动化安全检测并生成排名报告。

Stars: 0 | Forks: 0

# hack.proof **一个将任何编程 Agent 转变为安全审计员的技能库。** 将 Claude Code、Cursor、Codex、Copilot、Cline、Windsurf 或普通的 Agent 循环指向此代码库,它就能对你正在构建的任何项目执行真正的、端到端的安全检测——包括侦察、密钥、依赖项、源代码、Web/API 攻击面、基础设施、容器,并在最后生成一份按严重程度排名的报告。无需仪表板,无需注册 SaaS,无需许可证。只有调用真正经过实战检验的开源工具的 Markdown Playbook,以及为你运行这些工具的脚本。 专为使用 AI 快速交付产品的开发者(“vibe coders”)而构建,他们希望在每次构建发布前,免费获得专业渗透测试公司所能提供的同等深度的测试。 ## 工作原理 [`skills/`](skills/) 中的每个文件夹都是一个独立的 Playbook:一个 `SKILL.md` 描述了何时使用它、它驱动哪些工具、需要运行的确切命令、如何解释输出,以及发现漏洞时的表现形式。它们使用带有可直接复制粘贴命令的纯英文编写——任何能够读取文件并运行 shell 命令的 Agent 都可以执行它们。没有专有格式,没有锁定。 [`skills/full-security-audit/SKILL.md`](skills/full-security-audit/SKILL.md) 是主 Playbook——它将所有其他技能串联在一起,一次性执行并生成一份统一的排名报告。当你只想“直接审计这个东西”时,指引导向这个文件即可。 ## 快速开始 **通用方法——适用于任何 Agent。** 将此代码库放入你的项目中,并将你的 Agent 指向主 Playbook: ``` git clone https://github.com/ca-who-codes/hack.proof.git .hack.proof ``` 然后向你使用的任何 Agent 发送提示词: 就是这样。技能文件是普通的 Markdown,因此任何能够读取文件并运行 shell 命令的 Agent 都可以执行它们——不需要插件,也不需要特殊模式。 **特定 Agent 的便捷设置**(可选——上述通用方法已适用于所有环境): | Agent | 设置以便自动发现技能 | |---|---| | Claude Code | `mkdir -p .claude/skills && cp -r .hack.proof/skills/* .claude/skills/` —— 然后请求 *“运行全面安全审计。”* | | Cursor / Windsurf | 将 `.hack.proof/AGENTS.md` 添加到你的规则中,或在聊天中引用某个 `SKILL.md`。 | | Codex / Copilot / Cline / Amp / aider | 按照上述说明在你的提示词中引用 `SKILL.md` 路径。 | 任何读取 [`AGENTS.md`](AGENTS.md) 的 Agent,一旦该文件夹位于你的项目中,就会自动获取操作规则。 **没有 Agent,只有你自己和终端:** ``` git clone https://github.com/ca-who-codes/hack.proof.git && cd hack.proof ./scripts/bootstrap.sh # installs the underlying OSS tools ./scripts/full-audit.sh /path/to/your/project # or a URL for a live target ``` 原始工具输出将存放在 `findings//` 中;将 Agent 指向 [`findings-report`](skills/findings-report/SKILL.md) 即可将其合成为一份带排名的 `report.md`。有关其具体呈现形式,请参见 [`examples/report.md`](examples/report.md)。 ## 核心内容 | 技能 | 解决的问题 | |---|---| | [`full-security-audit`](skills/full-security-audit/SKILL.md) | “此构建版本可以安全发布吗?” —— 运行以下所有技能,进行关联分析,并按严重程度排名 | | [`attack-surface-recon`](skills/attack-surface-recon/SKILL.md) | 实际暴露了哪些内容 —— 子域名、端口、endpoint、技术栈 | | [`secrets-scan`](skills/secrets-scan/SKILL.md) | git 历史记录或工作树中是否存在泄露的密钥、token 或凭证 | | [`dependency-audit`](skills/dependency-audit/SKILL.md) | 哪些第三方包存在已知的 CVE,以及修复方法是什么 | | [`sast-code-review`](skills/sast-code-review/SKILL.md) | 代码本身存在什么问题 —— 注入、不安全的模式、逻辑漏洞 | | [`web-app-pentest`](skills/web-app-pentest/SKILL.md) | 针对运行中的 Web 应用进行 OWASP Top 10 检测 —— 注入、XSS、SSRF、IDOR、访问控制 | | [`api-security-test`](skills/api-security-test/SKILL.md) | REST/GraphQL API 上的身份验证失效、批量分配、BOLA/IDOR、速率限制问题 | | [`auth-session-security`](skills/auth-session-security/SKILL.md) | JWT/session/cookie 缺陷、固定攻击、弱 MFA、OAuth 配置错误 | | [`dast-active-scan`](skills/dast-active-scan/SKILL.md) | 使用 ZAP/Nuclei 对实时目标进行自动化的黑盒扫描 | | [`container-image-scan`](skills/container-image-scan/SKILL.md) | 存在漏洞的基础镜像、层中暴露的密钥、不良的 Dockerfile 实践 | | [`iac-cloud-posture`](skills/iac-cloud-posture/SKILL.md) | 在部署前或部署后发现配置错误的 Terraform/K8s/云资源 | | [`network-service-scan`](skills/network-service-scan/SKILL.md) | 你自己主机上的开放端口和暴露的服务 | | [`tls-transport-security`](skills/tls-transport-security/SKILL.md) | 弱加密算法、过期/错误签发的证书、协议降级风险 | | [`mobile-app-scan`](skills/mobile-app-scan/SKILL.md) | iOS/Android 构建中硬编码的密钥、不安全的存储、弱传输 | | [`smart-contract-audit`](skills/smart-contract-audit/SKILL.md) | 重入攻击、访问控制、算术问题以及已知的 Solidity/Vyper 漏洞类别 | | [`business-logic-fuzzing`](skills/business-logic-fuzzing/SKILL.md) | 竞态条件、工作流绕过、价格/数量操纵 —— 那些扫描器容易遗漏的问题 | | [`ci-cd-pipeline-security`](skills/ci-cd-pipeline-security/SKILL.md) | 你的 CI 配置中存在的中毒流水线执行、密钥暴露和供应链风险 | | [`findings-report`](skills/findings-report/SKILL.md) | 将原始发现结果转化为经过排名、可直接用于修复的报告 | 有关每项技能驱动的底层开源工具的完整清单以及需要安装的内容,请参见 [`TOOLS.md`](TOOLS.md)。 ## 我们在自身上运行它 此代码库在每次推送时都会进行自我扫描——请参见 [`.github/workflows/self-scan.yml`](.github/workflows/self-scan.yml),该工作流将 `secrets-scan` (gitleaks) 作为强制拦截标准,并将 `sast-code-review` (semgrep) 作为参考性信息运行。它也可以作为可复制的 CI 模板,遵循 [`ci-cd-pipeline-security`](skills/ci-cd-pipeline-security/SKILL.md) 中的实践——固定 action 的 SHA、最小化的 token 权限、锁定版本的扫描器镜像。 ## 适用范围 这些技能专为测试你拥有的、构建的或被明确授权测试的内容而编写——你自己的代码库、你自己的测试/生产环境、你自己的合约。将它们指向特定目标,而不是整个互联网。有关负责任的使用和安全的发现处理指南,请参见 [`SECURITY.md`](SECURITY.md);有关如何添加新技能,请参见 [`CONTRIBUTING.md`](CONTRIBUTING.md)。 ## 贡献指南 新技能 = `skills/` 下的一个新文件夹,其中包含遵循现有 frontmatter(`name`、`description`)的 `SKILL.md`。保持其与 Agent 无关:使用真实的命令、真实的工具,不产生供应商锁定。欢迎提交 PR。
标签:AI代理, AI应用开发, AI编程助手, Cutter, DevSecOps, StruQ, 上游代理, 安全专业人员, 安全测试, 实时处理, 攻击性安全, 错误基检测, 防御加固, 静态代码分析