audit-code -- 项目代码安全审查

针对项目源代码的以安全为重点的代码审查。涵盖OWASP风格的漏洞、硬编码的密钥、危险的函数调用以及与AI辅助开发相关的模式。

操作指南

对目标路径运行审查器：

python3 "$SKILL_DIR/scripts/audit_code.py" "$ARGUMENTS"

如果$ARGUMENTS为空，则默认使用$PROJECT_ROOT。

检查内容

• 硬编码的密钥-- API密钥（AWS、GitHub、Stripe、OpenAI、Slack）、令牌、私钥、连接字符串、密码
• 危险的函数调用-- eval、exec、使用shell=True的subprocess、child_process.exec、pickle反序列化、system()、gets()等
• SQL注入-- SQL查询中的字符串拼接/插值
• 依赖风险-- 已知的幻觉包名、未经验证的安装
• 敏感文件-- 提交到git的.env文件，仓库中的凭据文件
• 文件权限-- 过于宽松的chmod模式
• 数据外泄模式-- Base64编码+网络发送，DNS数据外泄，凭据文件读取

输出

结构化报告，包含按严重性排序的发现项、文件位置和可操作的修复步骤。

使用时机

• 提交或推送代码之前
• 审查第三方贡献或PR时
• 作为代码库定期安全审计的一部分
• 在AI辅助生成代码后，用于验证是否引入了机密信息或漏洞

咨询性钩子

该仓库的.claude/settings.json包含PreToolUse钩子，会对危险的Bash和写操作发出警告。这些钩子仅为咨询性质-- 它们会产生警告但不会阻止执行。

• audit-code是源代码安全问题的检测层
• 钩子功能在代理运行期间提供补充性的运行时警告
• 为实现强制阻断，钩子必须返回{"decision": "block"}而非警告信息