54 lines
2.1 KiB
Markdown
54 lines
2.1 KiB
Markdown
# 🛡️ 安全护栏与策略
|
||
|
||
Antigravity Awesome Skills 是一个强大的工具包。能力越大,责任越大。本文档定义了此仓库中所有安全和攻击性功能的 **参与规则**。
|
||
|
||
## 🔴 攻击性技能策略("红线")
|
||
|
||
**什么是攻击性技能?**
|
||
任何旨在渗透、利用、破坏或模拟攻击系统的技能。
|
||
_示例:渗透测试、SQL 注入、钓鱼模拟、红队。_
|
||
|
||
### 1. "仅限授权使用" 免责声明
|
||
|
||
每个攻击性技能**必须**在其 `SKILL.md` 中以此确切免责声明开头:
|
||
|
||
> **⚠️ AUTHORIZED USE ONLY**
|
||
> 此技能仅用于教育目的或授权的安全评估。
|
||
> 在使用此工具之前,您必须获得系统所有者的明确书面许可。
|
||
> 滥用此工具是非法的,严格禁止。
|
||
|
||
### 2. 强制性用户确认
|
||
|
||
攻击性技能**绝不能**完全自主运行。
|
||
|
||
- **要求**:技能描述/指令必须明确告诉代理在执行任何利用或攻击命令之前_请求用户确认_。
|
||
- **代理指令**:"在运行之前要求用户验证目标 URL/IP。"
|
||
|
||
### 3. 默认安全设计
|
||
|
||
- **无武器化负载**:技能不应包括活跃的恶意软件、勒索软件或非教育性利用。
|
||
- **推荐沙箱**:指令应推荐在受控环境(Docker/VM)中运行。
|
||
|
||
---
|
||
|
||
## 🔵 防御性技能策略
|
||
|
||
**什么是防御性技能?**
|
||
用于加固、审计、监控或保护系统的工具。
|
||
_示例:代码检查、日志分析、配置审计。_
|
||
|
||
- **数据隐私**:防御性技能未经明确用户同意不得将数据上传到第三方服务器。
|
||
- **非破坏性**:审计默认应为只读。
|
||
- **文档审查**:具有命令示例的防御性技能仍必须审查不安全的命令模式。
|
||
- **高风险示例**(`curl|bash`、`wget|sh` 等)如果保留用于操作示例,必须在技能主体中使用明确的允许列表注释和清晰的警告上下文。
|
||
|
||
---
|
||
|
||
## ⚖️ 法律免责声明
|
||
|
||
通过使用此仓库,您同意:
|
||
|
||
1. 您对自己的行为负责。
|
||
2. 作者和贡献者对这些工具造成的任何损害不承担责任。
|
||
3. 您将遵守有关网络安全的所有当地、州和联邦法律。
|