algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Estrellas4.9k

Favoritos0

Comentarios0

Agregado30 abr 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill algorand-vulnerability-scanner

Puntuación editorial

Esta skill obtiene una puntuación de 84/100, lo que la convierte en una opción sólida para usuarios del directorio que necesiten un analizador de seguridad específico para Algorand. El repositorio aporta suficiente estructura, disparadores y cobertura de vulnerabilidades para que un agente lo aplique con menos margen de improvisación que un prompt genérico, aunque su adopción seguiría beneficiándose de instrucciones de ejecución más explícitas y de más detalles de integración con herramientas.

84/100

Puntos fuertes

Alcance de disparadores claro y específico para auditorías de TEAL/PyTeal, comprobaciones previas a la auditoría y validación de correcciones en contratos de Algorand.
Contenido operativo amplio: 11 patrones de vulnerabilidad, patrones de detección y guía de mitigación en la lista de comprobación complementaria.
Buena profundidad del repositorio para uso por agentes, con varios encabezados, bloques de código y referencias a Tealer, además de marcadores de repositorio/archivo.

Puntos a tener en cuenta

No se proporcionan comandos de instalación ni scripts ejecutables, así que es posible que los usuarios tengan que inferir cómo poner en marcha el flujo de trabajo.
La evidencia está más centrada en la documentación que en la automatización, lo que puede limitar la repetibilidad para agentes que busquen una ejecución lista para usar.

Algorand Smart Contracts Security Vulnerability Discovery Audit Tealer Pyteal

Resumen

Panorama general de la skill algorand-vulnerability-scanner

algorand-vulnerability-scanner es una skill especializada en auditoría de seguridad para contratos inteligentes de Algorand en TEAL y PyTeal. Te ayuda a detectar errores específicos de la plataforma que una revisión genérica de código suele pasar por alto, especialmente en validación de transacciones, rekeying, fees y lógica de aplicaciones con estado. Usa la skill algorand-vulnerability-scanner cuando necesites un primer filtro práctico de seguridad antes de una auditoría manual o cuando quieras validar un parche frente a patrones de ataque conocidos de Algorand.

Para quién es esta skill

La mejor opción es para auditores, ingenieros de contratos inteligentes y equipos de seguridad que revisan proyectos de Algorand. Resulta especialmente útil cuando el repositorio incluye archivos .teal, imports de PyTeal, aplicaciones basadas en Beaker o lógica con muchas transacciones que depende de Txn, Gtxn, Global o InnerTxnBuilder.

En qué destaca

La skill está construida en torno a 11 patrones comunes de vulnerabilidades de Algorand, así que es más fuerte detectando problemas específicos de la plataforma que haciendo una revisión amplia de arquitectura. Eso la convierte en una buena elección para encontrar incidencias como comprobaciones de RekeyTo ausentes, supuestos inseguros sobre transacciones y validación débil de campos.

Cuándo no conviene usarla sola

No es una auditoría completa y no sustituye el conocimiento del protocolo, el razonamiento sobre invariantes ni una segunda revisión humana. Si tu contrato depende de grupos de transacciones poco habituales, lógica de autorización personalizada o flujos complejos entre contratos, trata el resultado como una lista de verificación de seguridad, no como un veredicto final.

Cómo usar la skill algorand-vulnerability-scanner

Instala y carga la skill

Para el paso de instalación de algorand-vulnerability-scanner, agrégala desde el repositorio de skills de Trail of Bits y luego abre los archivos de la skill en contexto:

npx skills add trailofbits/skills --skill algorand-vulnerability-scanner

Después de instalarla, lee primero las instrucciones de la skill y luego usa la referencia de patrones de apoyo para entender qué está buscando realmente el escáner.

Empieza por los archivos correctos

Lee primero estos archivos:

SKILL.md para ver el alcance, el flujo de trabajo y la detección específica de la plataforma
resources/VULNERABILITY_PATTERNS.md para la lista de verificación de 11 patrones y ejemplos concretos de casos vulnerables y seguros

Esa combinación importa porque SKILL.md te dice cuándo usar la skill, mientras que resources/VULNERABILITY_PATTERNS.md muestra las comprobaciones concretas que deberías esperar en un flujo de uso de algorand-vulnerability-scanner.

Dale a la skill un prompt orientado a seguridad

Los mejores resultados llegan con un prompt que nombre el tipo de contrato, la superficie de código y el objetivo de la revisión. Una buena instrucción es específica sobre si estás auditando un archivo, una aplicación completa o un cambio puntual.

Ejemplo de prompt:

Revisa este programa de aprobación en PyTeal para detectar problemas de seguridad en Algorand. Céntrate en rekeying, validación de fees, supuestos sobre grupos de transacciones y control de acceso. Señala líneas o patrones concretos que coincidan con la lista de verificación de algorand-vulnerability-scanner y explica la ruta de explotación.

Si ya conoces la preocupación, dilo explícitamente:

Audita este smart signature en TEAL para detectar exposición no validada a fees y falta de validación del sender. Prioriza los problemas que podrían drenar fondos o permitir ejecución no autorizada.

Flujo de trabajo que da mejores resultados

Identifica si el objetivo es TEAL, PyTeal, un smart signature o una app con estado.
Confirma que el código contiene los marcadores de Algorand que la skill espera, como Txn, Gtxn, Global o InnerTxnBuilder.
Pide una revisión en formato de lista de verificación vinculada a los patrones de vulnerabilidad, no una crítica genérica del código.
Si aparece un hallazgo, vuelve a ejecutar el prompt con la función exacta o el grupo de transacciones que implementa la ruta de riesgo.

Preguntas frecuentes sobre la skill algorand-vulnerability-scanner

¿Esto sustituye una auditoría de seguridad completa?

No. La skill algorand-vulnerability-scanner funciona mejor como herramienta de preauditoría y triaje de alta señal. Ayuda a sacar a la luz rápidamente clases de errores conocidas de Algorand, pero no demuestra que el contrato sea seguro.

¿Es útil para principiantes?

Sí, si el objetivo es entender qué hay que inspeccionar en código de Algorand. La lista de patrones puede enseñarte qué suele significar “seguro” en este ecosistema, especialmente en torno a RekeyTo, las fees y las transacciones agrupadas.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede generar consejos genéricos de revisión de código. Esta skill está anclada en patrones de vulnerabilidad específicos de Algorand, así que es mejor para señalar los campos concretos de transacción y los comportamientos del contrato que importan en el trabajo de auditoría de seguridad.

¿Cuándo es una mala opción?

Evítala si no estás revisando contratos de Algorand, si el repositorio no tiene lógica en TEAL/PyTeal o si solo necesitas una explicación superficial de lo que hace un contrato. También encaja mal con tareas que no son de seguridad, como diseño de funciones o revisión de UX.

Cómo mejorar la skill algorand-vulnerability-scanner

Da primero el contexto del contrato

La mayor mejora de calidad llega cuando indicas qué tipo de contrato estás revisando y qué modelo de ejecución usa. Por ejemplo, aclara si la lógica es un smart signature, una aplicación con estado o un flujo de transacciones agrupadas. Eso ayuda a la skill algorand-vulnerability-scanner a priorizar las comprobaciones correctas.

Expón la pregunta de seguridad exacta

No pidas “una revisión” si ya sabes cuál es el área de riesgo. Las solicitudes más precisas generan hallazgos más útiles:

“Comprueba si hay rekeying sin protección en todas las rutas de pago.”
“Busca límites de fee ausentes en este smart signature.”
“Verifica que las llamadas agrupadas no puedan saltarse la autorización por el orden de Gtxn.”

Incluye el fragmento de código relevante

Si es posible, proporciona el programa de aprobación, la función sospechosa o la rama que maneja transacciones, en vez de todo el repositorio. La skill algorand-vulnerability-scanner es más eficaz cuando puede inspeccionar la lógica exacta que decide quién puede llamar a qué, con qué campos y en qué orden.

Itera sobre el primer resultado

Si la salida es demasiado amplia, pide una segunda pasada que se limite a una sola clase de vulnerabilidad, un punto de entrada o un grupo de transacciones. Si la salida es demasiado estrecha, solicita comprobaciones adyacentes de la lista de patrones, especialmente en torno a rekeying, campos de transacción y validación de estado.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

audit-website

por squirrelscan

La skill audit-website usa la CLI de squirrel para auditar sitios web y aplicaciones web con más de 230 reglas de SEO, aspectos técnicos, contenido, rendimiento, seguridad, enlaces y salud del sitio, y devuelve informes accionables listos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

Compliance Review

Favoritos 0GitHub 156.3k

security-scan

por affaan-m

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Security Audit

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

defi-amm-security es una lista de verificación de seguridad centrada en AMM de Solidity, pools de liquidez, vaults de LP y flujos de swap. Ayuda a auditores e ingenieros a revisar reentrancy, el orden CEI, ataques de donación o inflación, supuestos de oráculos, slippage, controles de administración y aritmética entera con menos improvisación que un prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k