GitHub Actions 安全审查工具 - 自动化检测 CI/CD 工作流漏洞与利用场景

gha-security-review by getsentry/skills

148 周安装量

454 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/getsentry/skills --skill gha-security-review

自动化开发运维安全

🇨🇳中文介绍

GitHub Actions 安全审查

在 GitHub Actions 工作流中发现可利用的漏洞。每个发现必须包含一个具体的利用场景——如果你无法构建攻击，就不要报告它。

此技能编码了来自真实 GitHub Actions 漏洞利用的攻击模式——而非通用的 CI/CD 理论。

审查范围

审查提供的工作流（文件、差异或仓库）。在报告前，根据需要研究代码库以追踪完整的攻击路径。

待审查文件

.github/workflows/*.yml — 所有工作流定义
action.yml / action.yaml — 仓库中的复合操作
.github/actions/*/action.yml — 本地可重用操作
工作流加载的配置文件：CLAUDE.md、AGENTS.md、Makefile、.github/ 下的 shell 脚本

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

不在审查范围内

其他仓库中的工作流（仅需注明依赖关系）
GitHub App 安装权限（如果相关请注明）

仅报告可由外部攻击者利用的漏洞——即没有仓库写入权限的人。攻击者可以从复刻仓库创建 PR、创建问题以及发表评论。他们无法推送到分支、触发 workflow_dispatch 或触发手动工作流。

不要标记需要写入权限才能利用的漏洞：

workflow_dispatch 输入注入——需要写入权限才能触发
受保护分支上仅由 push 触发的工作流中的表达式注入
所有调用者都是内部的 workflow_call 输入注入
仅在 workflow_dispatch/schedule 触发的工作流中的密钥

仅报告高和中置信度的发现。不要报告理论性问题。

置信度	标准	操作
高	追踪了完整的攻击路径，确认可利用	报告，附带利用场景和修复方案
中	攻击路径部分确认，存在不确定环节	报告为需要验证
低	理论性的或已在其他地方缓解	不报告

对于每个高置信度发现，提供全部五个要素：

入口点 — 攻击者如何进入？（复刻 PR、问题评论、分支名称等）
有效载荷 — 攻击者发送什么？（实际的代码/YAML/输入）
执行机制 — 有效载荷如何运行？（表达式扩展、检出 + 脚本等）
影响 — 攻击者获得什么？（令牌窃取、代码执行、仓库写入权限）
PoC 概要 — 攻击者将遵循的具体步骤

如果你无法构建全部五个要素，则报告为中置信度（需要验证）。

步骤 1：分类触发器并加载参考

对于每个工作流，识别触发器并加载相应的参考：

触发器 / 模式	加载参考
`pull_request_target`	`references/pwn-request.md`
带命令解析的 `issue_comment`	`references/comment-triggered-commands.md`
`run:` 块中的 `${{ }}`	`references/expression-injection.md`
PAT / 部署密钥 / 提升的凭据	`references/credential-escalation.md`
检出 PR 代码 + 配置文件加载	`references/ai-prompt-injection-via-ci.md`
第三方操作（特别是未固定的）	`references/supply-chain.md`
`permissions:` 块或密钥使用	`references/permissions-and-secrets.md`
自托管运行器、缓存/制品使用	`references/runner-infrastructure.md`
任何已确认的发现	`references/real-world-attacks.md`

有选择地加载参考——仅加载与发现的触发器相关的内容。

步骤 2：检查漏洞类别

检查 1：Pwn Request

工作流是否使用 pull_request_target 并检出复刻代码？

查找 ref: 指向 PR 头部的 actions/checkout
查找来自复刻仓库的本地操作（./.github/actions/）
检查是否有任何 run: 步骤执行来自已检出 PR 的代码

检查 2：表达式注入

在外部可触发的工作流中，run: 块内是否使用了 ${{ }} 表达式？

映射每个 run: 步骤中的每个 ${{ }} 表达式
确认该值由攻击者控制（PR 标题、分支名称、评论正文——而非数字 ID、SHA 或仓库名称）
确认表达式在 run: 块中，而不是在 if:、with: 或作业级的 env: 中

检查 3：未经授权的命令执行

由 issue_comment 触发的工作流是否在没有授权的情况下执行命令？

是否有 author_association 检查？
任何 GitHub 用户都能触发该命令吗？
命令处理程序是否也使用了可注入的表达式？

检查 4：凭据提升

不受信任的代码是否可以访问提升的凭据（PAT、部署密钥）？

每个密钥的爆炸半径是什么？
被入侵的工作流能否窃取长期有效的令牌？

检查 5：配置文件投毒

工作流是否从 PR 提供的文件加载配置？

AI 代理指令：CLAUDE.md、AGENTS.md、.cursorrules
构建配置：Makefile、shell 脚本

检查 6：供应链

第三方操作是否已安全地固定？

检查 7：权限和密钥

工作流权限是否最小化？密钥范围是否适当？

检查 8：运行器基础设施

自托管运行器、缓存或制品的使用是否安全？

安全模式（不要标记）

在报告之前，检查模式是否实际上是安全的：

模式	安全原因
使用 `pull_request_target` 但不检出复刻代码	从不执行攻击者代码
`run:` 中的 `${{ github.event.pull_request.number }}`	仅为数字——不可注入
`${{ github.repository }}` / `github.repository_owner`	仓库所有者控制此值
`${{ secrets.* }}`	不是表达式注入向量
`if:` 条件中的 `${{ }}`	由 Actions 运行时评估，而非 shell
`with:` 输入中的 `${{ }}`	作为字符串参数传递，非 shell 评估
固定到完整 SHA 的操作	不可变引用
`pull_request` 触发器（非 `_target`）	在复刻上下文中运行，使用只读令牌
`workflow_dispatch`/`schedule`/推送到受保护分支中的任何表达式	需要写入权限——在威胁模型之外

关键区别： ${{ }} 在 run: 块中很危险（shell 扩展），但在 if:、with: 和作业/步骤级的 env: 中是安全的（Actions 运行时评估）。

步骤 3：报告前验证

在包含任何发现之前，请阅读实际的工作流 YAML 并追踪完整的攻击路径：

阅读完整的工作流 — 不要仅依赖 grep 输出
追踪触发器 — 确认事件并检查控制执行的 if: 条件
追踪表达式/检出 — 确认它在 run: 块中或实际引用了复刻代码
确认攻击者控制 — 验证该值映射到外部攻击者可以设置的内容
检查现有缓解措施 — 环境变量包装、author_association 检查、受限权限、SHA 固定

如果任何环节中断，标记为中置信度（需要验证）或放弃该发现。

如果检查没有产生任何发现，报告零发现。不要捏造问题。

步骤 4：报告发现

## GitHub Actions 安全审查

### 发现

#### [GHA-001] [标题] (严重性: 严重/高/中)
- **工作流**: `.github/workflows/release.yml:15`
- **触发器**: `pull_request_target`
- **置信度**: 高 — 通过攻击路径追踪确认
- **利用场景**:
  1. [分步攻击]
- **影响**: [攻击者获得什么]
- **修复**: [修复问题的代码]

### 需要验证
[中置信度项目，附带需要验证内容的解释]

### 已审查并确认安全
[已审查并确认安全的工作流]

如果没有发现："未识别到可利用的漏洞。所有工作流已审查并确认安全。"

🇺🇸English

GitHub Actions Security Review

Find exploitable vulnerabilities in GitHub Actions workflows. Every finding MUST include a concrete exploitation scenario — if you can't build the attack, don't report it.

This skill encodes attack patterns from real GitHub Actions exploits — not generic CI/CD theory.

Scope

Review the workflows provided (file, diff, or repo). Research the codebase as needed to trace complete attack paths before reporting.

Files to Review

.github/workflows/*.yml — all workflow definitions
action.yml / action.yaml — composite actions in the repo
.github/actions/*/action.yml — local reusable actions
Config files loaded by workflows: CLAUDE.md, AGENTS.md, Makefile, shell scripts under .github/

Out of Scope

Workflows in other repositories (only note the dependency)
GitHub App installation permissions (note if relevant)

Threat Model

Only report vulnerabilities exploitable by an external attacker — someone without write access to the repository. The attacker can open PRs from forks, create issues, and post comments. They cannot push to branches, trigger workflow_dispatch, or trigger manual workflows.

Do not flag vulnerabilities that require write access to exploit:

workflow_dispatch input injection — requires write access to trigger
Expression injection in push-only workflows on protected branches
workflow_call input injection where all callers are internal
Secrets in workflow_dispatch/schedule-only workflows

Confidence

Report only HIGH and MEDIUM confidence findings. Do not report theoretical issues.

Confidence	Criteria	Action
HIGH	Traced the full attack path, confirmed exploitable	Report with exploitation scenario and fix
MEDIUM	Attack path partially confirmed, uncertain link	Report as needs verification
LOW	Theoretical or mitigated elsewhere	Do not report

For each HIGH finding, provide all five elements:

Entry point — How does the attacker get in? (fork PR, issue comment, branch name, etc.)
Payload — What does the attacker send? (actual code/YAML/input)
Execution mechanism — How does the payload run? (expression expansion, checkout + script, etc.)
Impact — What does the attacker gain? (token theft, code execution, repo write access)
PoC sketch — Concrete steps an attacker would follow

If you cannot construct all five, report as MEDIUM (needs verification).

Step 1: Classify Triggers and Load References

For each workflow, identify triggers and load the appropriate reference:

Trigger / Pattern	Load Reference
`pull_request_target`	`references/pwn-request.md`
`issue_comment` with command parsing	`references/comment-triggered-commands.md`
`${{ }}` in `run:` blocks	`references/expression-injection.md`
PATs / deploy keys / elevated credentials

Load references selectively — only what's relevant to the triggers found.

Step 2: Check for Vulnerability Classes

Check 1: Pwn Request

Does the workflow use pull_request_target AND check out fork code?

Look for actions/checkout with ref: pointing to PR head
Look for local actions (./.github/actions/) that would come from the fork
Check if any run: step executes code from the checked-out PR

Check 2: Expression Injection

Are ${{ }} expressions used inside run: blocks in externally-triggerable workflows?

Map every ${{ }} expression in every run: step
Confirm the value is attacker-controlled (PR title, branch name, comment body — not numeric IDs, SHAs, or repository names)
Confirm the expression is in a run: block, not if:, with:, or job-level env:

Check 3: Unauthorized Command Execution

Does an issue_comment-triggered workflow execute commands without authorization?

Is there an author_association check?
Can any GitHub user trigger the command?
Does the command handler also use injectable expressions?

Check 4: Credential Escalation

Are elevated credentials (PATs, deploy keys) accessible to untrusted code?

What's the blast radius of each secret?
Could a compromised workflow steal long-lived tokens?

Check 5: Config File Poisoning

Does the workflow load configuration from PR-supplied files?

AI agent instructions: CLAUDE.md, AGENTS.md, .cursorrules
Build configuration: Makefile, shell scripts

Check 6: Supply Chain

Are third-party actions securely pinned?

Check 7: Permissions and Secrets

Are workflow permissions minimal? Are secrets properly scoped?

Check 8: Runner Infrastructure

Are self-hosted runners, caches, or artifacts used securely?

Safe Patterns (Do Not Flag)

Before reporting, check if the pattern is actually safe:

Pattern	Why Safe
`pull_request_target` WITHOUT checkout of fork code	Never executes attacker code
`${{ github.event.pull_request.number }}` in `run:`	Numeric only — not injectable
`${{ github.repository }}` / `github.repository_owner`	Repo owner controls this
`${{ secrets.* }}`	Not an expression injection vector
`${{ }}` in conditions

Key distinction: ${{ }} is dangerous in run: blocks (shell expansion) but safe in if:, with:, and env: at the job/step level (Actions runtime evaluation).

Step 3: Validate Before Reporting

Before including any finding, read the actual workflow YAML and trace the complete attack path:

Read the full workflow — don't rely on grep output alone
Trace the trigger — confirm the event and check if: conditions that gate execution
Trace the expression/checkout — confirm it's in a run: block or actually references fork code
Confirm attacker control — verify the value maps to something an external attacker sets
Check existing mitigations — env var wrapping, author_association checks, restricted permissions, SHA pinning

If any link is broken, mark MEDIUM (needs verification) or drop the finding.

If no checks produced a finding, report zero findings. Do not invent issues.

Step 4: Report Findings

## GitHub Actions Security Review

### Findings

#### [GHA-001] [Title] (Severity: Critical/High/Medium)
- **Workflow**: `.github/workflows/release.yml:15`
- **Trigger**: `pull_request_target`
- **Confidence**: HIGH — confirmed through attack path tracing
- **Exploitation Scenario**:
  1. [Step-by-step attack]
- **Impact**: [What attacker gains]
- **Fix**: [Code that fixes the issue]

### Needs Verification
[MEDIUM confidence items with explanation of what to verify]

### Reviewed and Cleared
[Workflows reviewed and confirmed safe]

If no findings: "No exploitable vulnerabilities identified. All workflows reviewed and cleared."

Weekly Installs

148

Repository

getsentry/skills

GitHub Stars

454

First Seen

Mar 3, 2026

Security Audits

Gen Agent Trust HubPass SocketWarn SnykFail

Installed on

codex136

gemini-cli136

cursor136

kimi-cli135

amp135

cline135

Azure Data Explorer (Kusto) 查询技能：KQL数据分析、日志遥测与时间序列处理

125,100 周安装

references/credential-escalation.md