夜雨聆风免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
AI Security Audit SkillsAI Agent 驱动的代码安全审计技能包。适用于 Claude Code 和 Hermes Agent 两大平台。
由攻防安全团队实战打磨,覆盖 OWASP Top 10、CWE Top 25、多语言深度分析、LLM 红队测试。
技能清单
Claude Code Skills(~/.claude/skills/ 安装)
| code-security-audit | ||
| ctf-rce-hunting |
Hermes Agent Skills(skills/ 目录安装)
| red-teaming/godmode | ||
| github/github-code-review | ||
| github/codebase-inspection | ||
| software-development/requesting-code-review |
快速安装
方式一:一键安装(推荐)
git clone https://github.com/pant0m/pant0m.git ai-security-skillscd ai-security-skills./install.sh方式二:手动安装
Claude Code Skills:
# 安装 code-security-auditcp -r claude-code-skills/code-security-audit ~/.claude/skills/# 安装 ctf-rce-huntingcp -r claude-code-skills/ctf-rce-hunting ~/.claude/skills/Hermes Agent Skills:
HERMES_SKILLS="${HERMES_HOME:-$HOME/.hermes}/skills"# 安装 godmode 红队技能cp -r hermes-skills/red-teaming "$HERMES_SKILLS/"# 安装代码审查技能cp -r hermes-skills/github "$HERMES_SKILLS/"cp -r hermes-skills/software-development "$HERMES_SKILLS/"技能详解
code-security-audit — 企业代码审计
7 阶段全流程审计流水线:
Phase 0: 知识加载(从历史审计自动学习)Phase 1: 侦察 & 攻击面映射(端点、数据流、信任边界)Phase 1.5: JAR/WAR 反编译(自动 CFR 反编译 + 内部类覆盖)Phase 2: 确定性工具预扫(Semgrep + Gitleaks + OSV-Scanner)Phase 3: 多 Agent 深度分析(22+ 漏洞类别并行扫描)Phase 4: 语言特定深度分析(Go/Python/Java/TS/C/PHP/Ruby/Rust/.NET/Kotlin)Phase 5: 报告生成(严重性分级 + 修复建议 + PoC)Phase 6: 反馈收集(确认/误报 → 知识库自演化)支持语言:Go, Python, Java, TypeScript/JavaScript, C/C++, PHP, Ruby, Rust, C#/.NET, Kotlin/Swift
覆盖漏洞类别:
注入(SQLi, CMDi, XSS, LDAP, NoSQL, SSTI, XXE, CRLF, Email Header) 认证 & 授权(JWT, OAuth/OIDC, SSO, 密码重置, 验证码, 路由绕过) 敏感数据(硬编码凭证, 日志泄露, 信息暴露) 加密(弱算法, ECB, 硬编码密钥, 随机数) SSRF, 路径穿越, 反序列化, 内存安全, 竞态条件 文件上传(12 种攻击维度, 跨 8 种语言) 提权链路库(20 种实战验证路径) 现代协议(WebSocket, GraphQL, gRPC, MQ, 缓存, HTTP 走私) 业务逻辑, ReDoS, 原型链污染, 点击劫持 供应链攻击(依赖混淆, 恶意脚本, CVE 检测)
自演化知识库:每次审计后,确认的漏洞模式自动写入 references/confirmed-patterns.md,后续审计自动优先扫描。
godmode — LLM 红队测试
三种攻击模式:
GODMODE CLASSIC — 针对不同模型的系统提示模板(Claude/GPT/Gemini/Grok/DeepSeek) PARSELTONGUE — 33 种输入混淆技术(Leetspeak/Unicode/Braille/Morse 等) ULTRAPLINIAN — 多模型竞速评分(55 模型 × 5 档)
自动越狱:
exec(open("skills/red-teaming/godmode/scripts/load_godmode.py").read())result = auto_jailbreak() # 自动检测模型 → 选策略 → 测试 → 锁定requesting-code-review — 提交前验证
独立审查 + 自动修复循环:
Step 1: git diff 获取变更Step 2: 静态安全扫描(硬编码密钥、shell 注入、eval、反序列化、SQL 注入)Step 3: 基线测试 & lint(增量 = 只报新问题)Step 4: 独立审查子 Agent(全新上下文,不受实现者偏见影响)Step 5: 评估 → 通过 or 自动修复(最多 2 轮)Step 6: 标记 [verified] 提交依赖工具(可选,增强扫描精度)
pip install semgrep | ||
brew install gitleaks | ||
go install github.com/google/osv-scanner/cmd/osv-scanner@latest | ||
pip install bandit | ||
pip install pygount | ||
curl -L -o /tmp/cfr.jar https://github.com/leibnitz27/cfr/releases/download/0.152/cfr-0.152.jar |
工具获取
点击关注下方名片进入公众号
回复关键字【250526】获取下载链接
往期精彩
Skill 评估与提升专家 | 评估和提升其他 Skill 的能力、提供基准测试、红队测试和自主改进循环
2026-05-25
一个面向安全团队、渗透测试、资产侦察、威胁追踪和红队编排的 AI CLI
2026-05-22
AI代码审查助手 | 支持30+语言,自动发现Bug/安全漏洞/性能问题
2026-05-21
网络安全全流程Skills — 39大模块,195个安全Skills,覆盖完整攻击面与防御面
2026-05-19
Linux 本地提权工具 | 支持多个提权漏洞
2026-05-18
