Zum Inhalt springen

/audit-security

Der /audit-security-Skill sucht nach überprivilegierten Identitäten und Workloads: ServiceAccounts mit mehr Zugriff als sie nutzen, Pods, die als root oder mit Host-Level-Escapes laufen, und Bindings, die Cluster-weite Macht gewähren, wo eine Namespace-scoped Role ausreichen würde.

Führe ihn ohne Argumente für einen vollständigen Sweep aus, oder benenne einen Workflow, um den Bericht einzugrenzen.

/audit-security                    # full sweep
/audit-security rbac               # single workflow
/audit-security pods in kube-system

Natürlichsprachiges Scoping (Namespaces, Label-Selektoren, Workload-Namen) wird in jedem Workflow unterstützt (siehe Übersicht).

Workflows

Abschnitt betitelt „Workflows“

1. RBAC

Abschnitt betitelt „1. RBAC“

Quellen: Kubernetes API.

2. Pod-Sicherheit

Abschnitt betitelt „2. Pod-Sicherheit“

Quellen: Kubernetes API, bewertet gegen die Upstream Pod Security Standards.

3. Secrets und ServiceAccount-Tokens

Abschnitt betitelt „3. Secrets und ServiceAccount-Tokens“

Quellen: Kubernetes API.

Was dem Agent mitgeteilt wird

Abschnitt betitelt „Was dem Agent mitgeteilt wird“

Über die Workflows hinaus weist der Skill den Agent an, wie er berichten soll:

  • Findings nach Blast-Radius einstufen — Cluster-scoped Wildcards über Namespace-scoped, Host-Escapes über fehlende seccomp-Profile.
  • Explizit darauf hinweisen, dass RBAC-Checks statisch sind: sie finden, was Roles gewähren, nicht was Subjects tatsächlich nutzen. Die Erkennung wirklich ungenutzter Berechtigungen erfordert eine Audit-Log-Analyse, die dieser Skill nicht durchführt.
  • Secret-Objekte nur nach Name, Namespace und Typ referenzieren — Inhalte nie lesen oder anzeigen.
  • In einer Zeile erklären, warum ein Finding wichtig ist (was das Privileg ermöglicht), anstatt nur das betreffende Verb oder Flag zu nennen.
  • An /investigate für eine spezifische Workload und an /audit-network für mTLS und Mesh-Posture übergeben, die neben der Pod-Sicherheit liegt.