Skip to content

feat: v2.0 OWASP AST10 기반 규칙 확장 (22→35개)#4

Merged
bluejayA merged 2 commits into
mainfrom
feat/v2-owasp-ast10-rules
Apr 2, 2026
Merged

feat: v2.0 OWASP AST10 기반 규칙 확장 (22→35개)#4
bluejayA merged 2 commits into
mainfrom
feat/v2-owasp-ast10-rules

Conversation

@bluejayA
Copy link
Copy Markdown
Owner

@bluejayA bluejayA commented Apr 2, 2026
edited
Loading

Summary

  • OWASP Agentic Skills Top 10 (AST10) 기반 13개 신규 규칙 추가 (22→35개, ruleset v2.0.0)
  • Tier 1: META-001003, SEC-040041, SBX-010~012 (8개 deterministic)
  • Tier 2: SCH-001~005 spec compliance (5개 structural)
  • 워크플로우 6→8단계 확장 (Spec Compliance, Metadata Integrity 단계 추가)

주요 변경

파일 변경
references/metadata-checklist.md NEW — META-001~003 (아이덴티티 보호, ASCII Smuggling, Base64)
references/spec-compliance-checklist.md NEW — SCH-001~005 (프론트매터, 디렉토리 구조)
references/security-checklist.md EXTEND — SEC-040041, SBX-010012 + SBX-004 경로 확장
SKILL.md EXTEND — 8단계 워크플로우, Self-Audit 강화, JSON 스키마
assets/report-template.md EXTEND — OWASP AST 컬럼, Phase 플레이스홀더
README.md UPDATE — 35개 규칙 요약, OWASP AST10 매핑 테이블

리뷰 결과 반영

4개 에이전트 병렬 리뷰 (spec, security, quality, skill) 후 13건 이슈 전부 수정:

  • QUA-002 ID 충돌 → SCH-005 분리
  • META-002 Tag Characters(U+E0001~E007F) ASCII Smuggling 커버리지
  • SCH-003 audit-ignore 허용 필드 추가
  • Self-Audit 절대 경로 기반 스코핑 (면책 문구 복사 우회 차단)
  • SEC-041/SEC-002 우선순위 규칙 명시

Test plan

  • 기존 Phase 1 규칙 22개가 변경 없이 동작하는지 확인
  • 신규 META-001~003 규칙이 악성 패턴을 탐지하는지 확인
  • SCH-003이 audit-ignore 필드를 오탐하지 않는지 확인
  • Self-Audit 보호 규칙이 자체 references/ 파일에서 오탐하지 않는지 확인
  • SCH-005(구 QUA-002)가 정상 동작하는지 확인

🤖 Generated with Claude Code

@bluejayA @claude
feat: v2.0 OWASP AST10 기반 13개 규칙 확장 (22→35개)
632494b 
Tier 1 (8개 deterministic rules):
- META-001 아이덴티티 파일 쓰기, META-002 제로폭 유니코드,
  META-003 Base64 페이로드, SEC-040 YAML 로더, SEC-041 코드 실행,
  SBX-010 셸 접근, SBX-011 네트워크 권한, SBX-012 파일 글로브

Tier 2 (5개 spec compliance rules):
- SCH-001~004 프론트매터 검증, SCH-005 디렉토리 구조

주요 변경:
- 워크플로우 6→8단계 (Spec Compliance, Metadata Integrity 추가)
- Self-Audit 보호 규칙 강화 (절대 경로 기반 스코핑)
- META-002 ASCII Smuggling 벡터 Tag Characters 커버리지
- SEC-041/SEC-002 우선순위 규칙, SBX-004 민감 경로 확장
- 보고서 OWASP AST 매핑 컬럼 추가

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
@github-actions
Copy link
Copy Markdown

github-actions Bot commented Apr 2, 2026
edited
Loading

Skill Audit Results

Not logged in · Please run /login

@bluejayA @claude
test: v2 규칙 검증 테스트 픽스처 7개 추가
933b8d9 
7개 픽스처로 35개 규칙의 핵심 동작 검증:
- clean-skill: PASSED (정상 스킬)
- critical-violations: BLOCKED (SEC-010, SEC-003, DST-001, META-001)
- meta-unicode-attack: BLOCKED (META-002 U+200B)
- base64-payload: BLOCKED (META-003 76자 Base64)
- bad-frontmatter: WARNINGS (SCH-001~003, SCH-005, QUA-003)
- wildcard-tools: WARNINGS (SBX-010, SBX-011, SBX-012)
- self-audit-copycat: BLOCKED (면책 문구 복사 우회 차단)

7/7 전부 기대 결과와 일치.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
@bluejayA bluejayA merged commit 31233dc into main Apr 2, 2026
1 check passed
@bluejayA bluejayA deleted the feat/v2-owasp-ast10-rules branch April 2, 2026 08:43
@bluejayA
Copy link
Copy Markdown
Owner Author

bluejayA commented Apr 2, 2026

Test Results — 7/7 PASSED

# Fixture Expected Actual Key Rules Status
1 clean-skill PASSED PASSED (none)
2 critical-violations BLOCKED BLOCKED SEC-010, SEC-003, DST-001, META-001
3 meta-unicode-attack BLOCKED BLOCKED META-002 (U+200B)
4 base64-payload BLOCKED BLOCKED META-003 (76-char Base64)
5 bad-frontmatter WARNINGS WARNINGS SCH-001~003, SCH-005, QUA-003
6 wildcard-tools WARNINGS WARNINGS SBX-010, SBX-011, SBX-012
7 self-audit-copycat BLOCKED BLOCKED SBX-004, META-001, SEC-020H

PR Test Plan Checklist

  • 기존 Phase 1 규칙 22개 정상 동작 (critical-violations)
  • 신규 META-001~003 규칙 악성 패턴 탐지 (critical-violations, meta-unicode-attack, base64-payload)
  • SCH-003이 audit-ignore 필드 오탐하지 않음 (bad-frontmatter)
  • Self-Audit 보호 규칙 오탐 방지 — 면책 문구 복사 우회 차단 (self-audit-copycat)
  • SCH-005(구 QUA-002) 정상 동작 (bad-frontmatter src/ 탐지)

🤖 Generated with Claude Code

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@bluejayA