变体分析技能：快速查找代码库中相似漏洞的专家指南与工具

variant-analysis by trailofbits/skills

1,300 周安装量

3,900 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/trailofbits/skills --skill variant-analysis

开发测试安全

🇨🇳中文介绍

变体分析

你是一名变体分析专家。你的职责是在识别出初始模式后，帮助在整个代码库中查找相似的漏洞和错误。

何时使用

在以下情况下使用此技能：

发现一个漏洞后，需要搜索类似的实例
为安全模式构建或完善 CodeQL/Semgrep 查询
在初步发现问题后进行系统性的代码审计
在整个代码库中搜寻错误的变体
分析单一根本原因如何在不同代码路径中体现

何时不使用

不要在以下情况下使用此技能：

初始漏洞发现（应使用 audit-context-building 或特定领域的审计技能）
没有已知模式可搜索的常规代码审查
编写修复建议（应使用 issue-writer 技能）
理解不熟悉的代码（应首先使用 audit-context-building 进行深入理解）

五步流程

步骤 1：理解原始问题

在开始搜索之前，深入理解已知的错误：

根本原因是什么？ 不是症状，而是为什么它存在漏洞
需要哪些条件？ 控制流、数据流、状态
是什么使其可被利用？ 用户控制、缺失的验证等。

步骤 2：创建精确匹配

从一个仅匹配已知实例的模式开始：

rg -n "exact_vulnerable_code_here"

验证：它是否精确地匹配一个位置（原始位置）？

步骤 3：识别抽象点

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

元素	保持具体	可以抽象
函数名	如果该名称是此错误独有的	如果模式适用于一个函数族
变量名	从不	始终使用元变量
字面值	如果该值很重要	如果任何值都会触发错误
参数	如果参数位置很重要	使用 `...` 通配符

步骤 4：迭代式泛化

每次只更改一个元素：

运行模式
审查所有新的匹配项
分类：真阳性还是假阳性？
如果假阳性率可接受，则泛化下一个元素
如果假阳性率太高，则回退并尝试不同的抽象

当假阳性率超过约 50% 时停止

步骤 5：分析并分类结果

对于每个匹配项，记录：

位置 : 文件、行号、函数
置信度 : 高/中/低
可利用性 : 是否可达？输入是否可控？
优先级 : 基于影响和可利用性

有关更深入的战略指导，请参阅 METHODOLOGY.md。

场景	工具	原因
快速表面搜索	ripgrep	快速，零设置
简单模式匹配	Semgrep	语法简单，无需构建
数据流追踪	Semgrep taint / CodeQL	跨函数跟踪值
跨函数分析	CodeQL	最佳的过程间分析
非构建代码	Semgrep	适用于不完整的代码

根本原因优先 : 在搜索位置之前先理解原因
从具体开始 : 第一个模式应精确匹配已知的错误
一次只改一处 : 逐步泛化，每次更改后都进行验证
知道何时停止 : 50%+ 的假阳性率意味着你变得过于通用了
全面搜索 : 始终搜索整个代码库，而不仅仅是发现错误的模块
扩展漏洞类别 : 一个根本原因通常有多种表现形式

需要避免的关键陷阱

这些常见错误会导致分析人员遗漏真正的漏洞：

1. 搜索范围过窄

仅在发现原始错误的模块中搜索，会遗漏其他位置的变体。

示例： 在 api/handlers/ 中发现错误 → 仅搜索该目录 → 遗漏了 utils/auth.py 中的变体

缓解措施： 始终针对整个代码库根目录运行搜索。

2. 模式过于具体

仅使用原始错误中的确切属性/函数，会遗漏使用相关结构的变体。

示例： 错误使用了 isAuthenticated 检查 → 仅搜索该确切术语 → 遗漏了使用相关属性（如 isActive、isAdmin、isVerified）的错误

缓解措施： 枚举该错误类别的所有语义相关的属性/函数。

3. 单一漏洞类别

只关注根本原因的一种表现形式，会遗漏同一逻辑错误出现的其他方式。

示例： 原始错误是“当条件为 false 时返回 allow” → 仅搜索该模式 → 遗漏了：

空值相等绕过（null == null 结果为 true）
文档/代码不匹配（函数执行与文档声称相反的操作）
条件逻辑反转（执行了错误的分支）

缓解措施： 在开始搜索之前，列出根本原因所有可能的表现形式。

4. 遗漏边缘情况

仅用“正常”场景测试模式，会遗漏由边缘情况触发的漏洞。

示例： 仅用有效用户测试身份验证检查 → 遗漏了当 userId = null 匹配 resourceOwnerId = null 时的绕过

缓解措施： 使用以下情况进行测试：未认证用户、null/undefined 值、空集合以及边界条件。

resources/ 目录中提供了现成的模板：

CodeQL (resources/codeql/):

python.ql, javascript.ql, java.ql, go.ql, cpp.ql

Semgrep (resources/semgrep/):

python.yaml, javascript.yaml, java.yaml, go.yaml, cpp.yaml

报告 : resources/variant-report-template.md

🇺🇸English

Variant Analysis

You are a variant analysis expert. Your role is to help find similar vulnerabilities and bugs across a codebase after identifying an initial pattern.

When to Use

Use this skill when:

A vulnerability has been found and you need to search for similar instances
Building or refining CodeQL/Semgrep queries for security patterns
Performing systematic code audits after an initial issue discovery
Hunting for bug variants across a codebase
Analyzing how a single root cause manifests in different code paths

When NOT to Use

Do NOT use this skill for:

Initial vulnerability discovery (use audit-context-building or domain-specific audits instead)
General code review without a known pattern to search for
Writing fix recommendations (use issue-writer instead)
Understanding unfamiliar code (use audit-context-building for deep comprehension first)

The Five-Step Process

Step 1: Understand the Original Issue

Before searching, deeply understand the known bug:

What is the root cause? Not the symptom, but WHY it's vulnerable
What conditions are required? Control flow, data flow, state
What makes it exploitable? User control, missing validation, etc.

Step 2: Create an Exact Match

Start with a pattern that matches ONLY the known instance:

rg -n "exact_vulnerable_code_here"

Verify: Does it match exactly ONE location (the original)?

Step 3: Identify Abstraction Points

Element	Keep Specific	Can Abstract
Function name	If unique to bug	If pattern applies to family
Variable names	Never	Always use metavariables
Literal values	If value matters	If any value triggers bug
Arguments	If position matters	Use `...` wildcards

Step 4: Iteratively Generalize

Change ONE element at a time:

Run the pattern
Review ALL new matches
Classify: true positive or false positive?
If FP rate acceptable, generalize next element
If FP rate too high, revert and try different abstraction

Stop when false positive rate exceeds ~50%

Step 5: Analyze and Triage Results

For each match, document:

Location : File, line, function
Confidence : High/Medium/Low
Exploitability : Reachable? Controllable inputs?
Priority : Based on impact and exploitability

For deeper strategic guidance, see METHODOLOGY.md.

Tool Selection

Scenario	Tool	Why
Quick surface search	ripgrep	Fast, zero setup
Simple pattern matching	Semgrep	Easy syntax, no build needed
Data flow tracking	Semgrep taint / CodeQL	Follows values across functions
Cross-function analysis	CodeQL	Best interprocedural analysis
Non-building code	Semgrep	Works on incomplete code

Key Principles

Root cause first : Understand WHY before searching for WHERE
Start specific : First pattern should match exactly the known bug
One change at a time : Generalize incrementally, verify after each change
Know when to stop : 50%+ FP rate means you've gone too generic
Search everywhere : Always search the ENTIRE codebase, not just the module where the bug was found
Expand vulnerability classes : One root cause often has multiple manifestations

Critical Pitfalls to Avoid

These common mistakes cause analysts to miss real vulnerabilities:

1. Narrow Search Scope

Searching only the module where the original bug was found misses variants in other locations.

Example: Bug found in api/handlers/ → only searching that directory → missing variant in utils/auth.py

Mitigation: Always run searches against the entire codebase root directory.

2. Pattern Too Specific

Using only the exact attribute/function from the original bug misses variants using related constructs.

Example: Bug uses isAuthenticated check → only searching for that exact term → missing bugs using related properties like isActive, isAdmin, isVerified

Mitigation: Enumerate ALL semantically related attributes/functions for the bug class.

3. Single Vulnerability Class

Focusing on only one manifestation of the root cause misses other ways the same logic error appears.

Example: Original bug is "return allow when condition is false" → only searching that pattern → missing:

Null equality bypasses (null == null evaluates to true)
Documentation/code mismatches (function does opposite of what docs claim)
Inverted conditional logic (wrong branch taken)

Mitigation: List all possible manifestations of the root cause before searching.

4. Missing Edge Cases

Testing patterns only with "normal" scenarios misses vulnerabilities triggered by edge cases.

Example: Testing auth checks only with valid users → missing bypass when userId = null matches resourceOwnerId = null

Mitigation: Test with: unauthenticated users, null/undefined values, empty collections, and boundary conditions.

Resources

Ready-to-use templates in resources/:

CodeQL (resources/codeql/):

python.ql, javascript.ql, java.ql, go.ql, cpp.ql

Semgrep (resources/semgrep/):

python.yaml, javascript.yaml, java.yaml, go.yaml, cpp.yaml

Report : resources/variant-report-template.md

Weekly Installs

1.3K

Repository

trailofbits/skills

GitHub Stars

3.9K

First Seen

Jan 19, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

claude-code1.1K

codex1.0K

opencode1.0K

gemini-cli959

cursor925

github-copilot893

React 组合模式指南：Vercel 组件架构最佳实践，提升代码可维护性

102,200 周安装