Ghsa Skill Builder

Ghsa Skill Builder 是一个专门用于从 GitHub Security Advisories（GHSA）、HackerOne Hacktivity 和 NVD 等多源漏洞数据库中提取高危漏洞信息，并自动构建或更新代码审计与渗透测试技能（Skills）的工具。该工具通过自动化数据拉取、模式分析和结构化输出，帮助安全研究人员和开发团队快速生成高质量的漏洞检测规则，提升静态分析工具（如 CodeQL、Bandit、Gosec）的覆盖能力。其核心目标是识别常规扫描器容易遗漏的根因模式，并以可操作的技能形式沉淀为知识库，支持 AI Agent 驱动的自动化审计流程。 工具支持四种主要工作模式：全量构建、增量检查、单条分析和 HackerOne Hacktivity 专项构建。在全量模式下，用户可按编程语言生态（如 Python/Pip、Go、NPM）批量拉取近三年高危漏洞，并按 CWE 分类提取完整描述与补丁 diff，进而归纳出通用的 Source-Sink 路径与防护缺口；在增量模式下，系统仅处理新增漏洞，避免重复劳动；单条分析则允许针对特定 GHSA ID 进行深度解析并归类到对应技能；而 HackerOne 模式则聚焦于公开的 Bug Bounty 报告，从中提炼实战化攻击链，生成面向渗透测试场景的技能模板。所有生成的技能均遵循统一的 frontmatter 格式和质量规范，确保可被 Claude Code 等 Agent 框架正确调用。 为确保技能质量，工具内置多层校验机制：包括前置依赖检查（GitHub 认证、writing-skills 插件安装）、静态结构验证（frontmatter 合规性、章节完整性）以及子代理场景测试（retrieval/application/gap 三类任务的真实执行评估）。最终输出的技能文件不仅包含检测策略与检查清单，还附有典型漏洞案例（cases.md），每个案例均强调“如何发现”而非“如何修复”，突出边缘场景与误报排除方法，从而显著提升实际审计中的检出率与准确性。

核心功能特点

1. 支持多源漏洞数据采集：集成 GitHub Advisory Database（GHSA）、HackerOne Hacktivity 和 NVD，覆盖代码审计与渗透测试两大领域
2. 智能模式分析与技能生成：基于 CWE 分类自动提取 Source→Sink 路径、Sanitization Gap 及扫描器漏检原因，生成结构化检测策略
3. 四类灵活工作模式：提供全量构建、增量更新、单条分析及 H1 Hacktivity 专项处理，适配不同频率与粒度需求
4. 高质量技能输出规范：遵循 writing-skills 标准，强制 frontmatter 格式、Progressive Disclosure 设计和 CSO 关键词优化
5. 双重校验体系保障可靠性：结合静态结构检查与子代理场景测试（retrieval/application/gap），确保技能可执行且有效

适用场景

Ghsa Skill Builder 特别适用于需要持续维护高质量漏洞检测规则的团队，尤其是在传统静态分析工具无法覆盖新型或复杂漏洞时。例如，当某 Python 项目频繁出现 SQL 注入类问题，但 Bandit 或 Semgrep 未能有效告警，可通过本工具拉取近三年 GHSA 中涉及注入漏洞（CWE-77/78/89/94）的数据，分析补丁差异与 PoC 代码，自动生成 `vuln-patterns-injection` 技能，明确指出参数拼接未转义、动态查询构造等危险模式，并提供误报过滤指南，使后续审计精准定位风险点。类似地，对于 Go 语言服务，若存在反序列化漏洞（CWE-502）导致远程代码执行，工具可从 GHSA 获取相关 CVE 详情，结合 commit diff 归纳出 unsafe.Unmarshal 等 sink 函数，形成 `go-vuln-deserialization` 技能，指导开发者审查第三方库使用方式。 在红队或安全运营场景中，该工具同样表现出色。面对一个未公开 CVE 的企业级 Web 应用，安全工程师可通过 HackerOne Hacktivity 拉取近期高 bounty 的 SSRF 或 IDOR 报告，利用工具提取攻击链细节（如从内网探测到凭证泄露），生成 `pentest-ssrf` 或 `pentest-idor` 技能。这些技能不仅包含通用检测方法，还能列举常见绕过技巧（如 DNS rebinding、JWT 篡改），帮助蓝方提前加固防御体系。尤其当漏洞尚未进入官方数据库时，此类实战化知识尤为珍贵，能填补自动化扫描与人工审计之间的空白地带。 此外，工具对增量更新的支持极大提升了运维效率。企业每周都会收到新的 GHSA 通知，手动逐个分析耗时费力。启用 `–diff` 模式后，系统自动对比本地缓存与最新索引，仅对新出现的漏洞拉取详情并判断是否值得纳入现有技能。若发现某认证绕过漏洞（CWE-287）虽已有 skill，但其利用方式涉及 OAuth 回调劫持这一边缘情况，则可补充至 cases.md，丰富检测维度而不必重构主干逻辑。这种精细化管理方式既避免了技能膨胀，又确保了关键威胁不被遗漏，适合长期运行的安全工程实践。