investigate

investigate — 不具合・脆弱性の調査

このスキルの役割

報告された不具合の根本原因解析、または事前のセキュリティレビューを行い、構造化されたレポートとして残す。修正は実施せず、implement Skill またはユーザーに引き渡す。

種別

• bug: 動作不良、クラッシュ、データ不整合、パフォーマンス劣化など
• security: 脆弱性 (Injection / Auth-Authz / 機密漏洩 / SSRF / XSS など)
• both: 両方の側面を持つ問題（例: 認可バグでデータが見える）

nike CLI の活用

CLI のパスはプラグイン環境で ${CLAUDE_PLUGIN_ROOT}/scripts/nike.py、ローカルで scripts/nike.py。

やりたいこと	コマンド	効果
レポート雛形を生成	python3 <nike.py> investigate-init <slug> --type <bug|security|both> --title "<タイトル>"	docs/investigations/<slug>/report.md を生成 (git HEAD も自動記録)
セキュリティスキャナ一括実行	python3 <nike.py> scan	npm audit / pip-audit / cargo audit / gosec / govulncheck / semgrep / bandit / safety のうち利用可能なものを実行し JSON 集約
既存実装のコマンド検出	python3 <nike.py> detect	関連する lint/test 等を確認したい場合

scan は exit code を解釈せずにそのまま返す。多くのスキャナは「検出あり = 1」で終わるので、AI 側で検出件数を見て判定する。

使い方

ステップ 1: 調査スコープの確定

ユーザーから以下を聞く（足りない情報のみ、まとめて）:

• 種別: bug / security / both
• 症状または懸念点: 1-2 文で
• 再現手順 (bug の場合): 環境・操作・観察された結果
• 期待動作: どうあるべきだったか
• 影響範囲のヒント: どの機能、どのユーザー
• 報告経路: 誰がいつ報告したか（あれば）

スラグを kebab-case で決定（例: 「ログイン後の404」→ post-login-404、「検索のXSS」→ search-xss）。

python3 <nike.py> investigate-init <slug> --type <種別> --title "<タイトル>"

これで docs/investigations/<slug>/report.md が雛形で生成される。

ステップ 2: 証拠収集

• bug: ログ、エラーメッセージ、スタックトレース、再現環境を収集
• security: 攻撃面（外部入力点、認証境界、信頼境界）を列挙
• 関連する直近のコミットを git log --oneline -20 <関連パス> で確認
• git blame で該当行の変更経緯を確認

レポートの「2. 症状 / 報告内容」と「3. 調査経緯」に逐次記録する。

ステップ 3: コード解析

• 関連箇所を Read（最低限、入口・処理・出口の3点）
• データフローを追う: 外部入力 → 処理 → 出力先
• 信頼境界を越える地点を特定:
  • ユーザー入力 → DB/シェル/HTML/JSON などへの埋め込み
  • 認証境界の通過点（誰が誰として何にアクセスするか）

ステップ 4: スキャナ実行（security の場合）

python3 <nike.py> scan

利用可能なスキャナが自動検出されて一括実行される。結果 JSON から:

• 既知 CVE のヒット → 該当依存と影響経路を report.md に記録
• semgrep のルール違反 → ルール ID と該当 file:line を引用
• 適合しない検出は理由を添えて N/A に

スキャナが入っていなければ手動レビューに切り替え（インストールを提案する場合は npm audit / pip-audit / semgrep など軽いものを優先）。

ステップ 5: 根本原因の特定

• file:line で具体的に
• 「なぜそうなるか」を論理的に。状態 / 入力 / タイミングのどれが原因か
• 推測と確証を区別する（「〜と推測される」vs「〜を確認した」）

ステップ 6: 影響評価

bug の場合

• 影響を受ける機能・ユーザー数・発生頻度
• データ損失/破損の有無
• ワークアラウンドの可否

security の場合

• CWE: 該当する番号（例: CWE-79 XSS, CWE-89 SQLi）
• 攻撃シナリオ: 高レベルの流れのみ。具体的なエクスプロイトコードは書かない
• 必要な認証/権限: 未認証で可能か、特定権限が必要か
• CIA 影響: Confidentiality / Integrity / Availability のどれにどの程度
• 緩和要因: 既存の防御層（WAF, RLS, CSP など）

ステップ 7: 修正方針

• 推奨修正 (根本対策): 具体的な変更（file:line, 擬似コード）
• 一時的緩和策: 根本修正までの暫定策（feature flag off, config 変更など）
• 必要な検証: ユニット・統合・リグレッションテストで何を確認すべきか

ステップ 8: implement Skill への引き渡し

レポート末尾の「8. implement Skill への引き渡し」に:

• 修正対象ファイル
• 修正の受け入れ基準（Given/When/Then 形式）

を記載する。これにより implement Skill が実装計画を立てやすくなる。

ステップ 9: レポート仕上げ

• 重大度 を埋める（critical / high / medium / low / info）
• ステータス を更新（open → in-progress → resolved / wontfix）
• 報告時は「核心」「重大度」「次のアクション」を口頭で簡潔に伝え、詳細はレポートを参照させる

セキュリティ観点のチェックリスト（OWASP 中心）

レビュー時に以下を順に確認すると漏れが減る:

観点	チェック内容
Injection	SQL / Command / LDAP / NoSQL / 文字列連結や shell=True を grep
認証	パスワード保管 (bcrypt等)、セッション固定、ブルートフォース対策
認可	IDOR、横の認可（同権限ユーザー間のデータ漏洩）、ロールチェック漏れ
データ保護	TLS、機密情報の log 出力、暗号化されていない保管
XSS	出力時のエスケープ、CSP、innerHTML/dangerouslySetInnerHTML の使用
CSRF	状態変更操作のトークン検証、SameSite cookie
SSRF	外部 URL 取得時のホワイトリスト、内部メタデータエンドポイントへの到達可否
認証情報露出	リポジトリ内のハードコード、env 読込時の混入
依存ライブラリ	nike scan で npm/pip/cargo audit を実行
ロギング	機密情報のマスキング、改ざん検知の有無

進め方の原則

• 攻撃ツール・エクスプロイトは生成しない。発見と修正提案に徹する。具体的な攻撃ペイロードは「省略」とし、概念のみ記載。
• 断定を避ける。「推測」「可能性が高い」「確認済み」を使い分ける。
• 修正は実施しない。investigate Skill の役割は調査とレポート。修正は implement Skill に委ねる。ただし軽微な typo 等で安全な修正は提案後ユーザー許可を得て対応してよい。
• 再現手順を必ず残す。後続の検証 (verify Skill) で必要。
• 機密情報は最小引用。ログやスタックトレースをそのまま貼る場合、認証情報・PII・トークンをマスキング。
• CLI に任せられるところは任せる。テンプレ生成と既知スキャナ実行は nike を使う。AI は判断と説明に集中する。
• 既存の verify Skill が出した検証レポートに脆弱性所見が含まれている場合、それを起点に investigate を始めると効率的。