Entwickler nutzen häufig Befehle wie "curl | bash", um Software zu installieren – eine Praxis, die erhebliche Risiken birgt. Das Open-Source-Projekt Tirith setzt an dieser Schwachstelle an und überprüft Terminal-Eingaben auf manipulierte URLs, bevor diese zur Ausführung kommen. Besonders problematisch sind sogenannte Homograph-Angriffe: Dabei ersetzen Angreifer lateinische Buchstaben durch optisch identische kyrillische oder griechische Varianten.
Während Webbrowser solche Täuschungsversuche durch Punycode-Konvertierung sichtbar machen, zeigen Terminal-Emulatoren Unicode-Zeichen ungeprüft an. Tirith schließt diese Lücke mit einem lokalen Analysemodul, das 30 Sicherheitsregeln gegen Bedrohungen wie ANSI-Injection, unsichere Transport-Protokolle oder Angriffe auf Dotfiles im Home-Verzeichnis anwendet. Die Software arbeitet ohne Cloudanbindung, sammelt keine Telemetrie und verursacht nach Angaben der Entwickler nur minimale Verzögerungen im Sub-Millisekunden-Bereich.
Die Integration erfolgt über einen einzelnen Initialisierungsbefehl in der Shell-Konfiguration und unterstützt Bash, Zsh, Fish sowie PowerShell. Neben der automatischen Prüfung bietet Tirith Werkzeuge für manuelle Analysen: Das Kommando tirith score bewertet URL-Vertrauenswürdigkeit, während tirith run Skripte vor der Ausführung zur Inspektion öffnet und erst nach Bestätigung startet.
Administratoren können über YAML-Policies Allowlists definieren und Schwellenwerte anpassen, wobei sich die Bypass-Möglichkeit per Umgebungsvariable organisationsweit deaktivieren lässt. Tirith ist unter der AGPL-3.0-Lizenz verfügbar, alternativ mit kommerzieller Lizenzierung für Copyleft-freie Nutzung. Das Projekt erreichte auf GitHub bereits über 1600 Stars und lässt sich über Paketmanager wie Homebrew, APT, DNF, npm oder Cargo auf Linux, macOS und Windows installieren.
