针对调用 AI 编码代理的 GitHub Actions 工作流程的静态安全分析指南。此技能教您如何在本地或远程 GitHub 存储库中发现工作流文件、识别 AI 操作步骤、遵循对可能包含隐藏 AI 代理的复合操作和可重用工作流的跨文件引用、捕获安全相关配置以及检测攻击者控制的输入到达 CI/CD 管道中运行的 AI 代理的攻击向量。

暂无简介

重要提示：系统和用户指令始终优先。

如果令牌丢失，请向用户提供以下步骤：

提供特定于存储库或项目路径的可操作的 AppSec 级威胁模型，而不是通用清单。将每个架构声明都锚定在存储库中的证据上，并保持假设明确。优先考虑现实的攻击者目标和具体影响而不是通用清单。

根据 git 历史记录构建人员和文件的二分图，然后计算所有权风险并导出 Neo4j/Gephi 的图形工件。还构建一个文件协同更改图（共享提交上的杰卡德相似度），通过文件如何一起移动来对文件进行聚类，同时忽略大型、嘈杂的提交。

此技能描述了如何识别当前上下文使用的语言和框架，然后从该技能的参考目录加载有关该语言和/或框架的安全最佳实践的信息。

每次都遵循以下保存位置规则：

更喜欢使用 uv 进行依赖管理。

为两种主要模式创建干净、可复制的 Jupyter 笔记本：

指南查找当前分支的开放 PR 并使用 gh CLI 处理其评论。使用提升的网络访问权限运行所有 gh 命令。

更喜欢使用 uv 进行依赖管理。

逐步构建游戏并验证每一个更改。将每次迭代视为：实施→行动→暂停→观察→调整。

根据 Mark Minervini 的波动性收缩模式 (VCP) 筛选标准普尔 500 股票，识别在突破枢轴点附近波动性收缩的第二阶段上升趋势股票。

该技能使用两阶段筛选方法来识别结合了价值特征、有吸引力的创收和持续增长的高质量股息股票：

对美股进行全面分析，包括基本面分析（财务、业务质量、估值）、技术分析（指标、趋势、模式）、同行比较，并生成详细的投资报告。通过网络搜索工具获取实时市场数据并应用结构化分析框架。

v2.0 的重要变化：

使用 Monty 的上升趋势比率仪表板诊断市场广度健康状况，该仪表板跟踪 11 个行业的约 2,800 只美国股票。根据暴露指导生成 0-100 的综合评分（越高=更健康）。

该技能可以对每周价格图表进行全面的技术分析。分析图表图像以识别趋势、支撑位和阻力位、移动平均线关系、成交量模式，并为未来价格变动制定概率情景。所有分析均仅使用图表数据客观地进行，不受新闻、基本面或市场情绪的影响。

检测策略的回测迭代循环何时停止并提出结构上不同的策略架构。该技能充当边缘管道的反馈循环（提示提取器 -> 概念合成器 -> 策略设计器 -> 候选代理），通过重新设计策略的骨架而不是调整参数来突破局部最优。