审计 GitHub Actions 中 AI Agent 的安全漏洞

解决 CI/CD 管道中的 AI 安全风险：通过静态分析 GitHub Actions 工作流文件，识别 AI 编码代理的配置缺陷，拦截攻击者通过 PR 或 Issue 注入恶意指令并控制 AI Agent 的攻击路径。

为什么需要这个技能

随着 Claude Code Action、Gemini CLI 和 OpenAI Codex 等 AI 代理被引入 GitHub Actions，CI/CD 管道出现了一种新型攻击面。如果 AI Agent 的 Prompt 能够接收外部输入（如 PR 标题、Issue 正文），且缺乏有效的沙箱隔离或权限控制，攻击者可以通过“提示词注入”诱导 AI 执行任意代码、窃取 Secrets 或篡改代码库。

传统的静态扫描工具无法识别这类“语义级”的注入，本技能通过一套标准化的审计方法论，帮助安全人员在本地或远程仓库中快速定位高危配置。

适用场景

• 安全审计：对仓库中的 GitHub Actions 工作流进行 AI 相关安全审查。
• 配置评审：检查 pull_request_target 或 issue_comment 等触发事件是否将不可信输入传递给了 AI Agent。
• 权限评估：分析 AI Agent 的沙箱设置（如 danger-full-access）和工具白名单是否过于宽松。
• 数据流分析：追踪从 GitHub 事件上下文 环境变量 AI Prompt 的传递路径。

核心工作流

1. 工作流发现：通过 Glob 扫描 .github/workflows/*.yml，支持远程（via gh api）和本地两种分析模式。
2. AI 步骤识别：匹配已知 AI Action 引用（如 anthropics/claude-code-action），并递归解析复合 Action（Composite Actions）和可复用工作流。
3. 安全上下文捕获：
   • 步骤级：提取 prompt、sandbox、allowed_tools 等关键配置。

• 工作流级：分析触发事件（重点关注 pull_request_target）及环境变量 ${{ }} 的引用。

4. 攻击向量检测：对照 9 种核心向量（Vector A-I）进行匹配，包括：
   • 环境变量中介：通过 env 块间接注入。

• 直接表达式注入：在 Prompt 中直接使用 ${{ github.event.* }}。
  • 危险沙箱配置：使用 --yolo 或 unsafe 策略。

5. 结构化报告：输出包含严重程度（High/Medium/Low）、证据代码片段、数据流追踪（Data Flow Trace）和修复建议的报告。

下载和安装

下载 agentic-actions-auditor 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要

暂无推荐