security-scan

von affaan-m

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

Stars156.3k

Favoriten0

Kommentare0

Hinzugefügt15. Apr. 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add affaan-m/everything-claude-code --skill security-scan

Kurationswert

Dieses Skill erreicht 78/100 und ist damit ein solider Kandidat für Verzeichnisnutzer, die eine gezielte Sicherheitsprüfung der Claude-Code-Konfiguration suchen. Es liefert genug konkrete Workflow-Hinweise für eine Installation mit vertretbarem Vertrauen, auch wenn Nutzer beachten sollten, dass es von einem externen Tool abhängt und von einer klareren Quick-Start-Verpackung profitieren würde.

78/100

Stärken

Klare Einsatzszenarien für neue Projekte, Konfigurationsänderungen, Commits, Onboarding und regelmäßige Prüfungen.
Präziser Prüfbereich über CLAUDE.md, settings.json, mcp.json, hooks und agents/*.md, sodass Agents genau wissen, was zu untersuchen ist.
Praxisnahe Nutzungshinweise mit AgentShield-Installations- und Ausführungsbefehlen sowie expliziten Sicherheitschecks für Secrets, Injection-Muster, riskante MCP-Server und Command Injection.

Hinweise

Erfordert eine installierte AgentShield-Umgebung und ist damit nicht vollständig eigenständig.
Es sind keine Support-Dateien oder ein Installationsbefehl enthalten, was einige Einrichtungs- und Ausführungsdetails beim Nutzer belassen kann.

Claude Code Claude MCP Hooks Security Prompt Injection Agent Browser

Überblick

Überblick über den security-scan Skill

Was security-scan macht

Der security-scan Skill prüft die .claude/-Konfiguration eines Claude Code-Projekts mit AgentShield auf Sicherheitsrisiken. Er sucht nach Geheimnissen, riskanten MCP-Server-Konfigurationen, anfälligen Anweisungen für Injections, gefährlichen Bypass-Flags sowie schwachen Agent- oder Hook-Definitionen.

Wer ihn installieren sollte

Nutzen Sie den security-scan Skill, wenn Sie Claude-Code-Konfigurationen pflegen, Setups für KI-Agenten prüfen oder vor dem Commit von Änderungen einen wiederholbaren Sicherheitscheck brauchen. Besonders nützlich ist er für Repo-Owner, Plattform-Engineers und alle, die sich in ein bestehendes Projekt mit unbekannter .claude-Hygiene einarbeiten.

Warum das in der Praxis wichtig ist

Ein allgemeiner Prompt übersieht schnell threats, die speziell aus der Konfiguration entstehen. Dieser Skill ist auf die eigentliche Aufgabe ausgerichtet: zügig einzuschätzen, ob ein Claude-Code-Setup sicher genug ist, und genau zu erkennen, wo das Risiko sitzt, damit Sie es beheben können, bevor es sich ausbreitet.

So verwenden Sie den security-scan Skill

Toolchain installieren und prüfen

Für security-scan install fügen Sie den Skill über den Repo-Pfad des Verzeichnisses hinzu:
npx skills add affaan-m/everything-claude-code --skill security-scan

Prüfen Sie danach, ob AgentShield verfügbar ist:
npx ecc-agentshield --version

Falls nötig, installieren Sie es global mit npm install -g ecc-agentshield, oder führen Sie Scans direkt mit npx ecc-agentshield scan . aus.

Dem Skill die richtige Eingabe geben

Die security-scan usage funktioniert am besten, wenn Sie auf einen konkreten Claude-Code-Workspace zeigen und die Änderung beschreiben, die Sie prüfen möchten. Eine gute Eingabe sieht zum Beispiel so aus: „Scanne den .claude/-Ordner dieses Repos nach den neuen MCP-Server- und Hook-Änderungen und markiere jede mögliche Geheimnis-Offenlegung, Injection-Pfade oder zu weit gefassten Tool-Zugriffe.“

Die Dateien in dieser Reihenfolge lesen

Beginnen Sie mit SKILL.md und prüfen Sie dann CLAUDE.md, .claude/settings.json, mcp.json, hooks/ und agents/*.md. Diese Reihenfolge entspricht der Scan-Fläche und hilft dabei, Befunde der jeweils richtigen Konfigurationsdatei zuzuordnen, statt die Ausgabe als generischen Sicherheitsbericht zu behandeln.

Als Review-Schleife verwenden, nicht als einmaligen Lauf

Führen Sie den Scan vor dem Commit, nach Konfigurationsänderungen und beim Onboarding in ein Repo erneut aus. Für security-scan for Security Audit sollten Sie sich darauf konzentrieren, ob jeder Befund das Vertrauensniveau verändert: Geheimnisse müssen entfernt werden, riskante Befehle sollten eingeschränkt werden, und jede Exposition gegenüber Prompt-Injection sollte in explizite Einschränkungen umgeschrieben werden.

FAQ zum security-scan Skill

Ist security-scan nur für Claude-Code-Nutzer gedacht?

Ja. Dieser Skill ist auf Claude-Code-Konfigurationen in .claude/ ausgerichtet, nicht auf allgemeines Application-Security-Scanning oder die Suche nach Schwachstellen im Quellcode.

Worin unterscheidet er sich von einem normalen Prompt?

Ein normaler Prompt kann zwar um eine Sicherheitsprüfung bitten, aber security-scan codiert die genauen Bereiche, die geprüft werden sollen: CLAUDE.md, Settings, MCP-Server, Hooks und Agent-Dateien. Dadurch eignet er sich besser für wiederholbare Reviews und ist weniger davon abhängig, dass das Modell selbst errät, was mit „Sicherheit“ gemeint ist.

Ist er anfängerfreundlich?

Ja, sofern Sie die Claude-Code-Konfigurationsdateien des Repos erkennen können. Die wichtigste Einschränkung ist, dass Sie mit Befunden wie riskanter Shell-Interpolation, zu großzügigen Allow-Listen oder offengelegten Geheimnissen auch tatsächlich umgehen können müssen.

Wann sollte ich ihn nicht verwenden?

Verwenden Sie security-scan nicht als Ersatz für Anwendungstests auf Schwachstellen, Abhängigkeitsprüfungen oder Secrets-Scanning über die gesamte Codebasis. Am besten passt er, wenn sich die Sicherheitsfrage speziell auf die Claude-Code-Konfiguration bezieht.

So verbessern Sie den security-scan Skill

Den Scan-Umfang klar benennen

Die besten Ergebnisse mit security-scan entstehen, wenn Sie das exakte Verzeichnis, den Branch oder die Konfigurationsänderung nennen. „Scanne .claude/“ ist hilfreich; „prüfe mein Repo“ ist zu breit und erhöht das Risiko oberflächlicher Befunde.

Die Änderung nennen, vor der Sie die größte Sorge haben

Sagen Sie dem Skill, was sich geändert hat: ein neuer MCP-Server, ein modifizierter Hook, ein neuer Agent oder eine Anpassung an den Settings. So kann er den wahrscheinlichsten Fehlerfall höher gewichten, statt alles mit derselben Priorität zu behandeln.

Auf entscheidungsreife Ergebnisse bestehen

Wenn Sie eine bessere security-scan usage möchten, verlangen Sie Befunde im Fix-first-Format: Datei, Risiko, Relevanz und die kleinste sichere Änderung. Das reduziert Unklarheit und macht es leichter, Konfigurationen zu patchen, ohne zu überreagieren.

Nach dem ersten Durchlauf iterieren

Scannen Sie nach dem ersten Lauf nur noch die Dateien erneut, die Sie geändert haben. Für einen security-scan guide, der mit der Zeit bessere Ergebnisse liefert, sollten Sie jeden Befund als Anlass nehmen, Allow-Listen zu verschärfen, riskante Anweisungen zu entfernen oder Hooks zu vereinfachen, bevor Sie den nächsten Review starten.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

supabase-postgres-best-practices

von supabase

supabase-postgres-best-practices ist eine Skill für die Optimierung von Supabase Postgres – für Query-Tuning, Indexing, Schema-Design, RLS-Performance, Locking und Verbindungsmanagement.

Database Engineering

Favoriten 0GitHub 1.7k

audit-website

von squirrelscan

Die Skill audit-website nutzt die `squirrel` CLI, um Websites und Webapps anhand von über 230 Regeln in den Bereichen SEO, Technik, Inhalte, Performance, Sicherheit, Links und Site-Health zu prüfen und anschließend umsetzbare, LLM-taugliche Reports bereitzustellen.

UX Audit

Favoriten 0GitHub 68

skill-comply

von affaan-m

skill-comply ist eine Skill zur Compliance-Prüfung, die in realen Läufen überprüft, ob ein Agent einer Skill-, Regel- oder Agentendefinition folgt. Sie generiert Spezifikationen aus Markdown, führt drei Stufen von Prompt-Striktheit aus, klassifiziert Tool-Call-Timelines und berichtet Compliance-Raten mit Belegen. Nützlich für skill-comply für Compliance-Review.

Compliance Review

Favoriten 0GitHub 156.3k

perl-security

von affaan-m

perl-security hilft dir dabei, Perl-Code auf sicherere Eingabehandhabung, Taint Mode, Shell-Ausführung, DBI-Placeholders und Web-Sicherheitsprobleme wie XSS, SQLi und CSRF zu prüfen. Nutze dieses perl-security Skill für Security-Audit-Arbeiten, Maßnahmenplanung und sichere Entwicklung, wenn benutzerkontrollierte Daten in sensible Sinks gelangen.

Security Audit

Favoriten 0GitHub 156.2k

laravel-security

von affaan-m

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

Security Audit

Favoriten 0GitHub 156.2k

healthcare-eval-harness

von affaan-m

healthcare-eval-harness ist ein Evaluierungs-Harness für Patientensicherheit bei Healthcare-App-Deployments. Er hilft Teams dabei, vor der Freigabe die Genauigkeit von CDSS, PHI-Offenlegung, Datenintegrität, das Verhalten klinischer Workflows und die Einhaltung von Integrationsvorgaben zu überprüfen. Kritische Fehler blockieren das Deployment, wodurch sich healthcare-eval-harness gut als Sicherheitsschranke für Model Evaluation und CI eignet.

Model Evaluation

Favoriten 0GitHub 156.2k

github-ops

von affaan-m

github-ops ist ein Skill für GitHub-Operationen zum Triage von Issues, Verwalten von PRs, Prüfen von CI-Fehlern, Vorbereiten von Releases und Überwachen der Repository-Gesundheit mit der gh CLI. Nutze den github-ops Skill, wenn du wiederholbare github-ops-Anwendungen für ein echtes Repository brauchst, mit Authentifizierung über `gh auth login` und klarem Repo-Kontext.

Github

Favoriten 0GitHub 156.2k

ecc-tools-cost-audit

von affaan-m

ecc-tools-cost-audit ist ein evidenzorientierter Audit-Skill für Kosten-Spikes, unkontrollierte PR-Erstellung, Quota-Umgehung, Leaks durch Premium-Modelle und doppelte Jobs in ECC Tools. Verwenden Sie ihn für Backend-Development-Untersuchungen, die eine Anfrage vom Webhook über den Worker bis zur Billing-Entscheidung nachverfolgen und belegen, wo Kosten entstehen.

Backend Development

Favoriten 0GitHub 156.1k

defi-amm-security

von affaan-m

defi-amm-security ist eine gezielte Security-Checkliste für Solidity-AMMs, Liquidity Pools, LP-Vaults und Swap-Flows. Sie hilft Auditoren und Engineers dabei, Reentrancy, CEI-Reihenfolge, Donation- oder Inflationsangriffe, Oracle-Annahmen, Slippage, Admin-Controls und Integer-Mathematik mit deutlich weniger Rätselraten zu prüfen als bei einem allgemeinen Prompt.

Security Audit

Favoriten 0GitHub 156.1k

code-reviewer

von Shubhamsaboo

code-reviewer ist eine KI-Skill für Code-Reviews mit einer festen Prüf-Reihenfolge: Sicherheit, Performance, Korrektheit und Wartbarkeit. Sie nutzt Regeldateien für SQL injection, XSS, N+1 queries, error handling, naming und type hints und macht PR-Reviews damit konsistenter als ein allgemeiner Review-Prompt.

Code Review

Favoriten 0GitHub 104.2k

stride-analysis-patterns

von wshobson

stride-analysis-patterns hilft Agents dabei, eine strukturierte STRIDE-Bedrohungsmodellierung für Architekturen, APIs und Datenflüsse durchzuführen. Installieren Sie den Skill aus dem Repo wshobson/agents, lesen Sie die Datei `SKILL.md` und nutzen Sie ihn, um Systembeschreibungen in kategorisierte Bedrohungen und kontrollorientierte Review-Ergebnisse zu überführen.

Threat Modeling

Favoriten 0GitHub 32.6k

anti-reversing-techniques

von wshobson

anti-reversing-techniques ist eine Reverse-Engineering-Skill für autorisierte Malware-Analysen, CTF-Aufgaben, die Ersteinschätzung gepackter Binärdateien und Security-Audits. Sie hilft dabei, Muster für Anti-Debugging, Anti-VM, Packing und Obfuskation zu erkennen und anschließend mit der Core-Skill und der erweiterten Referenz einen praxisnahen Analyse-Workflow zu wählen.

Security Audit

Favoriten 0GitHub 32.6k

k8s-security-policies

von wshobson

k8s-security-policies unterstützt Teams dabei, Kubernetes NetworkPolicy, Pod Security Standards-Labels und RBAC-Muster mit vorlagen- und referenzbasierten Repo-Inhalten zu entwerfen – für Härtung und auditfähige Rollout-Planung.

Security Audit

Favoriten 0GitHub 32.6k

security

von markdown-viewer

Das Security-Skill erstellt PlantUML-Sicherheitsarchitekturdiagramme mit AWS-Stencils für Identität, Verschlüsselung, Firewalling, Compliance und Bedrohungserkennung. Es eignet sich für IAM-Flows, Zero-Trust-Designs, Verschlüsselungspipelines, Security-Audit-Diagramme und dokumentationsreife Reviews. Es ist nicht für allgemeine Cloud-Infrastruktur oder generelles UML-Modelling gedacht.

Security Audit

Favoriten 0GitHub 1.1k