/audit-security
El Skill /audit-security busca identidades y workloads con privilegios excesivos: ServiceAccounts con más acceso del que usan, pods que se ejecutan como root o con escapes a nivel de host, y bindings que otorgan poder a nivel de cluster donde bastaría un rol con alcance de namespace.
Ejecútela sin argumentos para un barrido completo, o nombre un workflow para delimitar el reporte.
/audit-security # full sweep/audit-security rbac # single workflow/audit-security pods in kube-systemLa delimitación en lenguaje natural (namespaces, selectores de etiquetas, nombres de workloads) está disponible en todos los workflows (consulte Descripción general).
Workflows
Sección titulada «Workflows»1. RBAC
Sección titulada «1. RBAC»Fuentes: API de Kubernetes.
2. Seguridad de pods
Sección titulada «2. Seguridad de pods»Fuentes: API de Kubernetes, evaluada contra los Pod Security Standards oficiales.
3. Secrets y tokens de ServiceAccount
Sección titulada «3. Secrets y tokens de ServiceAccount»Fuentes: API de Kubernetes.
Qué se le indica al agente
Sección titulada «Qué se le indica al agente»Más allá de los workflows, el Skill orienta al agente sobre cómo reportar:
- Ordenar los hallazgos por radio de impacto — comodines con alcance de cluster por encima de los de namespace, escapes de host por encima de perfiles seccomp faltantes.
- Ser explícito en que las verificaciones RBAC son estáticas: encuentran lo que otorgan los
Roles, no lo que los sujetos usan realmente. Detectar permisos verdaderamente sin uso requiere análisis del log de auditoría, lo cual este Skill no realiza. - Referenciar los objetos
Secretsolo por nombre, namespace y tipo — nunca leer ni exponer su contenido. - Explicar en una línea por qué un hallazgo importa (qué permite el privilegio) en lugar de solo nombrar el verbo o indicador infractor.
- Derivar a
/investigatepara un workload específico y a/audit-networkpara mTLS y la postura de malla, que es adyacente a la seguridad de pods.