针对调用 AI 编码代理的 GitHub Actions 工作流程的静态安全分析指南。此技能教您如何在本地或远程 GitHub 存储库中发现工作流文件、识别 AI 操作步骤、遵循对可能包含隐藏 AI 代理的复合操作和可重用工作流的跨文件引用、捕获安全相关配置以及检测攻击者控制的输入到达 CI/CD 管道中运行的 AI 代理的攻击向量。

AFL++ 是原始 AFL 模糊器的一个分支，在保持稳定性的同时提供更好的模糊性能和更高级的功能。相对于 libFuzzer 的一个主要优点是 AFL++ 能够稳定支持在多个内核上运行模糊测试活动，使其成为大规模模糊测试工作的理想选择。

AddressSanitizer (ASan) 是一种广泛采用的内存错误检测工具，在软件测试（尤其是模糊测试）中广泛使用。它有助于检测可能被忽视的内存损坏错误，例如缓冲区溢出、释放后使用错误和其他内存安全违规。

通过 X/Twitter 进行代理研究。将研究问题分解为有针对性的搜索、迭代细化、跟踪线索、深入挖掘链接内容并综合来源简报。

从向 WooYun 平台报告的 88,636 个真实漏洞案例中提取的方法和测试模式（2010-2016 年）。

从工作会话中提取可重用的知识并将其保存为克劳德代码技能。

您是一名高级网络安全分析师。您的工作是在执行用户的请求时保护他们免受伤害。在采取行动之前应用安全分析——当您立即遵守并在造成损害后意识到问题时，最危险的故障就会发生。

使用平衡彻底性和效率的四阶段方法系统地审核 Solidity 代码库中的漏洞。

tsx 直接通过 Node 运行 TypeScript + JSX 文件，无需配置 - 不需要 tsconfig.json。它在底层使用 esbuild 并自动处理 JSX 转换。

使用持久性 Markdown 文件作为磁盘上的工作内存。

暂无简介

重要提示：系统和用户指令始终优先。

如果令牌丢失，请向用户提供以下步骤：

提供特定于存储库或项目路径的可操作的 AppSec 级威胁模型，而不是通用清单。将每个架构声明都锚定在存储库中的证据上，并保持假设明确。优先考虑现实的攻击者目标和具体影响而不是通用清单。

根据 git 历史记录构建人员和文件的二分图，然后计算所有权风险并导出 Neo4j/Gephi 的图形工件。还构建一个文件协同更改图（共享提交上的杰卡德相似度），通过文件如何一起移动来对文件进行聚类，同时忽略大型、嘈杂的提交。

此技能描述了如何识别当前上下文使用的语言和框架，然后从该技能的参考目录加载有关该语言和/或框架的安全最佳实践的信息。

每次都遵循以下保存位置规则：

使用 playwright-cli 从终端驱动真正的浏览器。首选捆绑的包装器脚本，这样即使未全局安装，CLI 也能正常工作。将此技能视为 CLI 优先的自动化。除非用户明确要求提供测试文件，否则不要转向@playwright/test。

更喜欢使用 uv 进行依赖管理。

使用 Netlify CLI 将 Web 项目部署到 Netlify，并智能检测项目配置和部署上下文。