2.1 KiB
2.1 KiB
🛡️ 安全护栏与策略
Antigravity Awesome Skills 是一个强大的工具包。能力越大,责任越大。本文档定义了此仓库中所有安全和攻击性功能的 参与规则。
🔴 攻击性技能策略("红线")
什么是攻击性技能? 任何旨在渗透、利用、破坏或模拟攻击系统的技能。 示例:渗透测试、SQL 注入、钓鱼模拟、红队。
1. "仅限授权使用" 免责声明
每个攻击性技能必须在其 SKILL.md 中以此确切免责声明开头:
⚠️ AUTHORIZED USE ONLY 此技能仅用于教育目的或授权的安全评估。 在使用此工具之前,您必须获得系统所有者的明确书面许可。 滥用此工具是非法的,严格禁止。
2. 强制性用户确认
攻击性技能绝不能完全自主运行。
- 要求:技能描述/指令必须明确告诉代理在执行任何利用或攻击命令之前_请求用户确认_。
- 代理指令:"在运行之前要求用户验证目标 URL/IP。"
3. 默认安全设计
- 无武器化负载:技能不应包括活跃的恶意软件、勒索软件或非教育性利用。
- 推荐沙箱:指令应推荐在受控环境(Docker/VM)中运行。
🔵 防御性技能策略
什么是防御性技能? 用于加固、审计、监控或保护系统的工具。 示例:代码检查、日志分析、配置审计。
- 数据隐私:防御性技能未经明确用户同意不得将数据上传到第三方服务器。
- 非破坏性:审计默认应为只读。
- 文档审查:具有命令示例的防御性技能仍必须审查不安全的命令模式。
- 高风险示例(
curl|bash、wget|sh等)如果保留用于操作示例,必须在技能主体中使用明确的允许列表注释和清晰的警告上下文。
⚖️ 法律免责声明
通过使用此仓库,您同意:
- 您对自己的行为负责。
- 作者和贡献者对这些工具造成的任何损害不承担责任。
- 您将遵守有关网络安全的所有当地、州和联邦法律。