Claude Code 安全技能包:6 个开箱即用的安全扫描工具
·
Claude Code 安全技能包:6 个开箱即用的安全扫描工具
一套给 Claude Code 用的安全技能包,包含 6 个独立的安全扫描工具。
这套工具把常见的安全审计能力封装成了 Claude Code 的 Skill,装好之后直接用自然语言就能调用,不用记命令参数。
比如你说"扫描这个仓库有没有泄露密钥",Claude 就会自动调用对应的技能,跑完引擎,把结果和修复建议一起给你。
6 个技能分别干什么
| 技能 | 用途 |
|---|---|
| secret-scanner | 扫描硬编码的 API Key、Token、私钥,用正则加香农熵值分析降低误报 |
| sast-lite | 基于 Python AST 的静态分析,检测命令注入、eval/exec、不安全反序列化、SQL 注入、弱加密等问题 |
| prompt-injection-tester | 对自己的 LLM 应用做红队测试,用分类攻击库加金丝雀检测打一个 0-100 的韧性评分 |
| http-sec-audit | 审查 HTTP 安全头和 Cookie 配置,比如 CSP、HSTS、SameSite 等 |
| jwt-inspector | 解码和审计 JWT,检查 alg=none、弱过期时间、弱 HMAC 密钥等问题 |
| dependency-check | 扫描 requirements.txt 和 package.json 中有已知漏洞或未固定版本的依赖 |
实际运行效果
扫描密钥的效果:
$ python skills/secret-scanner/engine.py .
[secret-scanner] 2 potential secret(s) found:
CRITICAL src/config.py:14:18
Stripe secret key [stripe-secret] value=sk_l...k1L2 entropy=4.31
HIGH src/config.py:12:11
AWS Access Key ID [aws-access-key-id] value=AKIA...MPLE entropy=3.68
红队测试 LLM 的效果:
$ python skills/prompt-injection-tester/attacker.py --demo
[prompt-injection-tester] resilience score: 45/100 (5/11 resisted)
VULNERABLE io-001 [instruction-override]
VULNERABLE sl-001 [system-prompt-leak]
resisted rp-002 [role-play]
安装
把 skills 目录复制到项目的 .claude/skills/ 下就行,重启 Claude Code 后自动识别:
git clone https://github.com/NovaCode37/claude-security-skills.git
cp -r claude-security-skills/skills/* .claude/skills/
也可以放到全局目录 ~/.claude/skills/,这样所有项目都能用。
几个设计特点
所有引擎只依赖 Python 3.9 标准库,不需要装任何第三方包,断网环境也能跑。分析核心是纯函数,输入数据输出结果,有 124 个单元测试覆盖,整体跑下来不到 1 秒。每个技能都有统一的退出码:0 表示没发现问题,1 表示有发现,2 表示出错,可以接 CI 流水线。JSON 输出也都有,方便程序化处理。
每个技能也可以单独当命令行工具用,不一定非要通过 Claude Code 调用。
MIT 开源协议,124 个测试全部通过,项目还在活跃接受 PR。
令行工具用,不一定非要通过 Claude Code 调用。
MIT 开源协议,124 个测试全部通过,项目还在活跃接受 PR。
汇聚全球AI编程工具,助力开发者即刻编程。
更多推荐
6
0- 0
已为社区贡献1条内容
所有评论(0)