Pular para o conteúdo

/audit-security

O Skill /audit-security identifica identidades e workloads com privilégios excessivos: ServiceAccounts com mais acesso do que utilizam, pods rodando como root ou com escapes no nível do host, e bindings que concedem poder em todo o cluster onde um Role com escopo de namespace seria suficiente.

Execute sem argumentos para uma varredura completa, ou nomeie um workflow para restringir o relatório.

/audit-security                    # full sweep
/audit-security rbac               # single workflow
/audit-security pods in kube-system

Escopo em linguagem natural (namespaces, label selectors, nomes de workload) é suportado em todos os workflows (veja Visão geral).

Workflows

Seção intitulada “Workflows”

1. RBAC

Seção intitulada “1. RBAC”

Fontes: API do Kubernetes.

2. Segurança de pod

Seção intitulada “2. Segurança de pod”

Fontes: API do Kubernetes, avaliada contra os Pod Security Standards upstream.

3. Secrets e tokens de ServiceAccount

Seção intitulada “3. Secrets e tokens de ServiceAccount”

Fontes: API do Kubernetes.

O que o agent é instruído

Seção intitulada “O que o agent é instruído”

Além dos workflows, o Skill orienta o agent sobre como reportar:

  • Classificar findings por blast radius — wildcards com escopo de cluster acima dos com escopo de namespace, escapes de host acima de seccomp profiles ausentes.
  • Ser explícito que as verificações de RBAC são estáticas: elas encontram o que os Roles concedem, não o que os subjects realmente usam. Detectar permissões realmente não utilizadas requer análise de audit log, o que este Skill não faz.
  • Referenciar objetos Secret apenas por nome, namespace e tipo — nunca ler ou expor conteúdo.
  • Explicar em uma linha por que um finding importa (o que o privilégio permite) em vez de apenas nomear o verbo ou sinalizador ofensivo.
  • Encaminhar para /investigate para um workload específico e para /audit-network para postura de mTLS e mesh, que é adjacente à segurança de pod.