Security

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

security-bounty-hunter hilft dir, bounty-würdige Schwachstellen in Repositories zu finden – mit Fokus auf remote erreichbaren, vom Nutzer steuerbaren Problemen, die eine Triage wahrscheinlich überstehen. Nutze es für Security-Audit-Aufgaben, wenn du praxisnahe, meldbare Findings statt lärmiger, rein lokaler Randfälle suchst.

safety-guard hilft dabei, zerstörerische Operationen zu verhindern, wenn Agenten autonom oder auf Produktionssystemen arbeiten. Es ergänzt einen Careful Mode, einen Write-Freeze-Mode und einen Guard-Mode, um riskante Befehle zu blockieren, Änderungen auf ein Verzeichnis zu begrenzen und Fehler bei Deployments, Migrationen und sensiblen Repo-Arbeiten zu reduzieren.

postgres-patterns ist ein praktischer PostgreSQL-Quick-Reference-Skill für Query-Optimierung, Schema-Design, Indexing, Row Level Security und Connection Pooling. Er hilft Datenbank-Engineering-Workflows dabei, schneller und verlässlicher Entscheidungen zu treffen – mit kompakten Best Practices statt eines generischen Prompts.

perl-security hilft dir dabei, Perl-Code auf sicherere Eingabehandhabung, Taint Mode, Shell-Ausführung, DBI-Placeholders und Web-Sicherheitsprobleme wie XSS, SQLi und CSRF zu prüfen. Nutze dieses perl-security Skill für Security-Audit-Arbeiten, Maßnahmenplanung und sichere Entwicklung, wenn benutzerkontrollierte Daten in sensible Sinks gelangen.

llm-trading-agent-security ist ein praxisnaher Leitfaden zur Absicherung autonomer Trading-Agenten mit Wallet-Befugnissen. Er behandelt Prompt Injection, Ausgabelimits, Simulation vor dem Senden, Circuit Breaker, MEV-bewusste Ausführung und die Isolierung von Schlüsseln, um das Risiko finanzieller Verluste in einem Security Audit zu senken.

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

hipaa-compliance ist der HIPAA-spezifische Einstiegspunkt für Datenschutz- und Sicherheitsaufgaben im Gesundheitswesen. Verwenden Sie die hipaa-compliance Skill, wenn eine Aufgabe ausdrücklich PHI, covered entities, BAAs, die Ausrichtung auf Vorfälle oder die Frage betrifft, ob ein Workflow ein HIPAA-Risiko erzeugt. Es ist eine schlanke Overlay-Schicht für schnelle Compliance-Einschätzung und Orientierung.

healthcare-phi-compliance hilft dabei, Healthcare-Apps auf PHI-/PII-Risiken zu prüfen – über Datenmodelle, APIs, Logs und Zugriffspfade hinweg. Nutzen Sie es, um Datenklassifizierung, Zugriffskontrolle, Verschlüsselung, Audit-Trails und typische Leckagequellen im Hinblick auf HIPAA, DISHA, GDPR und ähnliche Security-Audit-Anforderungen zu bewerten.

github-ops ist ein Skill für GitHub-Operationen zum Triage von Issues, Verwalten von PRs, Prüfen von CI-Fehlern, Vorbereiten von Releases und Überwachen der Repository-Gesundheit mit der gh CLI. Nutze den github-ops Skill, wenn du wiederholbare github-ops-Anwendungen für ein echtes Repository brauchst, mit Authentifizierung über `gh auth login` und klarem Repo-Kontext.

flutter-dart-code-review ist eine bibliotheksunabhängige Checkliste für Flutter- und Dart-Code-Reviews zu Architektur, Widget-Qualität, State Management, Performance, Barrierefreiheit, Sicherheit und sauberem Code. Nutze sie als strukturierten Guide für Code Reviews über BLoC, Riverpod, Provider, GetX, MobX, Signals oder eigene Muster.

enterprise-agent-ops hilft dir dabei, lang laufende oder in der Cloud gehostete Agentensysteme mit Observability, Sicherheitskontrollen, Änderungsmanagement und Recovery-Planung zu betreiben. Nutze es, wenn du einen praxisnahen Leitfaden für die Orchestrierung von Agents brauchst und nicht nur einen einmaligen Prompt.

docker-patterns hilft dir, Docker- und Docker-Compose-Setups für lokale Entwicklung, Netzwerke, Volumes, Health Checks und Container-Sicherheit zu entwerfen und zu prüfen. Besonders nützlich ist es als docker-patterns-Leitfaden für Backend-Entwicklung und Multi-Service-Stacks, bei denen die Trennung von Dev und Prod wichtig ist.

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

agent-payment-x402 hilft AI Agents dabei, x402-Zahlungen mit MCP-Tools, Ausgabenlimits, Empfänger-Allowlists und non-custodial Wallets für kostenpflichtige APIs und Agent-Orchestrierung zu handhaben.

code-reviewer ist ein leichtgewichtiges Skill für Code Review, das Code oder Diffs in einen strukturierten Bericht überführt – mit Sicherheit, Performance, Best Practices, Schweregrad, betroffenen Zeilen oder Abschnitten, empfohlenen Korrekturen und einer Gesamtbewertung der Qualität.

code-reviewer ist eine KI-Skill für Code-Reviews mit einer festen Prüf-Reihenfolge: Sicherheit, Performance, Korrektheit und Wartbarkeit. Sie nutzt Regeldateien für SQL injection, XSS, N+1 queries, error handling, naming und type hints und macht PR-Reviews damit konsistenter als ein allgemeiner Review-Prompt.

cso ist ein Security-Audit-Skill im Stil eines Chief Security Officer für Agents. Er hilft dabei, Codebasen und Workflows auf Secret-Leaks, Abhängigkeits- und Supply-Chain-Risiken, CI/CD-Sicherheit sowie LLM-/KI-Sicherheit zu prüfen – mit OWASP Top 10 und STRIDE als Grundlage. Verwende cso für strukturierte Security-Audit-Reviews mit Confidence Gates, aktiver Verifikation und Trend-Tracking.

memory-safety-patterns unterstützt Agents dabei, RAII, Ownership, Smart Pointers und sauberes Resource Cleanup in C, C++ und Rust anzuwenden. Nutze das Skill, um Backend- oder Systemcode zu prüfen, Leaks und Dangling Pointers zu reduzieren und sicherere Refactorings rund um Dateien, Sockets, Buffer und FFI-Grenzen zu begleiten.

attack-tree-construction unterstützt beim Aufbau strukturierter Angriffsbäume für Threat Modeling – mit klaren Hauptzielen, AND/OR-Verzweigungen und überprüfbaren Leaf-Angriffen. Nutzen Sie die Skill, um Angriffspfade abzubilden, Verteidigungslücken sichtbar zu machen und Security-Reviews, Tests sowie die Maßnahmenplanung zu unterstützen.

Die sast-configuration-Skill unterstützt bei der Konfiguration von Semgrep, SonarQube und CodeQL für reale SAST-Workflows. Nutzen Sie sie, um Installationsschritte, die CI/CD-Integration, benutzerdefinierte Regeln, Quality Gates und die Abstimmung von False Positives für Security Audit und repository-spezifisches Scanning zu planen.

security-requirement-extraction überführt Bedrohungsmodelle und den fachlichen Kontext in testbare Sicherheitsanforderungen, User Stories, Akzeptanzkriterien und backlogfähige Ergebnisse für die Requirements-Planung.

stride-analysis-patterns hilft Agents dabei, eine strukturierte STRIDE-Bedrohungsmodellierung für Architekturen, APIs und Datenflüsse durchzuführen. Installieren Sie den Skill aus dem Repo wshobson/agents, lesen Sie die Datei `SKILL.md` und nutzen Sie ihn, um Systembeschreibungen in kategorisierte Bedrohungen und kontrollorientierte Review-Ergebnisse zu überführen.