Agentic Actions Auditor

Statischer Audit von GitHub-Actions-Workflows auf Prompt-Injection-Pfade in Claude-/Gemini-/Codex-CI-Agenten.

von trailofbits · trailofbits/skills

Getestet · Funktioniert ★ 9.2/10

Agentic Actions Auditor — Statischer Audit von GitHub-Actions-Workflows auf Prompt-Injection-Pfade in Claude-/Gemini-/Codex-CI-Agenten.

Was es kann

Führt durch eine 5-Schritte-Methodik, um KI-Action-Schritte (Claude Code Action, Gemini CLI, OpenAI Codex, GitHub AI Inference) in GitHub-Actions-Workflows zu finden, nachzuvollziehen, ob angreiferkontrollierte Event-Daten (Issue-/PR-Body, Kommentare) den Agenten-Prompt erreichen, und Funde nach Schweregrad mit Abhilfemaßnahmen einzustufen. Reagiert beim Prüfen von Workflow-Dateien, die KI-Coding-Agenten aufrufen, oder beim Audit von CI/CD-Pipelines auf Prompt-Injection-Risiken.

Testbericht

Bei einem Workflow mit Wildcard-Berechtigungen und aus Umgebungsvariablen stammendem Issue-Inhalt erkannte eine ungeführte Prüfung die offensichtlichen Warnzeichen, übersah aber, wie Umgebungsvariable und Prompt tatsächlich zusammenhängen; der Skill verfolgte die gesamte Kette.

Getestet am: 2026-07-10 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/trailofbits/skills
cd skills
mkdir -p ~/.claude/skills
cp -r plugins/agentic-actions-auditor/skills/agentic-actions-auditor ~/.claude/skills/agentic-actions-auditor

Befehle & Beispiel-Prompts

  • /agentic-actions-auditorStatischer Audit von GitHub-Actions-Workflows auf Prompt-Injection-Pfade in Claude-/Gemini-/Codex-CI-Agenten.

Skills reagieren auf normale Anfragen — keine Slash-Befehle nötig. Nach der Installation aktivieren Prompts wie diese den Skill (auf Englisch):

  • Audit this GitHub Actions workflow for prompt-injection into Claude
  • Check if PR comment text can reach our Gemini CLI agent's prompt
  • Grade the severity of AI-agent prompt-injection risk in this CI pipeline