security-scan

por affaan-m

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Estrellas156.3k

Favoritos0

Comentarios0

Agregado15 abr 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add affaan-m/everything-claude-code --skill security-scan

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una candidata sólida para usuarios del directorio que buscan una auditoría de seguridad centrada en la configuración de Claude Code. Ofrece suficiente orientación práctica del flujo de trabajo como para instalarla con confianza razonable, aunque conviene tener en cuenta que depende de una herramienta externa y que le vendría bien un paquete de inicio rápido más pulido.

78/100

Puntos fuertes

Escenarios de activación claros para proyectos nuevos, cambios de configuración, commits, incorporación de equipo y revisiones periódicas.
Cobertura de análisis concreta sobre CLAUDE.md, settings.json, mcp.json, hooks y agents/*.md, lo que ayuda a entender exactamente qué inspeccionar.
Orientación de uso práctica con comandos de instalación y ejecución de AgentShield, además de comprobaciones de seguridad explícitas como secretos, patrones de inyección, servidores MCP de riesgo e inyección de comandos.

Puntos a tener en cuenta

Requiere tener AgentShield instalado, por lo que la skill no es completamente autónoma.
No incluye archivos de soporte ni comando de instalación, lo que puede dejar parte de la configuración y la ejecución en manos del usuario.

Claude Code Claude MCP Hooks Security Prompt Injection Agent Browser

Resumen

Descripción general de security-scan

Qué hace security-scan

El skill security-scan audita la configuración .claude/ de un proyecto de Claude Code en busca de riesgos de seguridad usando AgentShield. Revisa secretos, configuraciones peligrosas de servidores MCP, instrucciones propensas a inyección, flags de bypass arriesgados y definiciones débiles de agentes o hooks.

Quién debería instalarlo

Usa el skill security-scan si mantienes configuraciones de Claude Code, revisas setups de agentes de IA o necesitas una comprobación de seguridad repetible antes de hacer commit de cambios. Es especialmente útil para propietarios de repositorios, ingenieros de plataforma y cualquier persona que se incorpora a un proyecto existente con una higiene desconocida de .claude.

Por qué importa en la práctica

Un prompt genérico puede pasar por alto amenazas específicas de la configuración. Este skill está pensado para la tarea real: decidir rápido si un setup de Claude Code es lo bastante seguro como para confiar en él, e identificar dónde vive el riesgo para corregirlo antes de que se extienda.

Cómo usar el skill security-scan

Instala y confirma la cadena de herramientas

Para security-scan install, añade el skill desde la ruta del repositorio del directorio:
npx skills add affaan-m/everything-claude-code --skill security-scan

Después confirma que AgentShield está disponible:
npx ecc-agentshield --version

Si hace falta, instálalo globalmente con npm install -g ecc-agentshield, o ejecuta los análisis directamente con npx ecc-agentshield scan ..

Dale al skill la entrada correcta

El security-scan usage funciona mejor cuando lo apuntas a un workspace concreto de Claude Code y describes el cambio que estás revisando. Una buena entrada sería: “Analiza la carpeta .claude/ de este repo después de las actualizaciones del nuevo servidor MCP y del hook, y marca cualquier exposición de secretos, rutas de inyección o acceso excesivamente amplio a herramientas”.

Lee los archivos en este orden

Empieza con SKILL.md y después revisa CLAUDE.md, .claude/settings.json, mcp.json, hooks/ y agents/*.md. Ese orden coincide con la superficie de análisis y te ayuda a mapear los hallazgos al archivo de configuración exacto, en vez de tratar la salida como un informe de seguridad genérico.

Usa un ciclo de revisión, no una ejecución única

Ejecuta el análisis antes del commit, después de editar la configuración y durante la incorporación a un repositorio. Para security-scan for Security Audit, céntrate en si cada hallazgo cambia el nivel de confianza: los secretos deben eliminarse, los comandos riesgosos deben restringirse y cualquier exposición a prompt injection debe reescribirse como restricciones explícitas.

Preguntas frecuentes sobre el skill security-scan

¿security-scan es solo para usuarios de Claude Code?

Sí. Este skill está diseñado alrededor de la configuración de Claude Code en .claude/, no para escaneo general de seguridad de aplicaciones ni para buscar vulnerabilidades en el código fuente.

¿Qué lo diferencia de un prompt normal?

Un prompt normal puede pedir una revisión de seguridad, pero security-scan codifica las superficies exactas que hay que comprobar: CLAUDE.md, settings, servidores MCP, hooks y archivos de agentes. Eso lo hace mejor para revisiones repetibles y menos dependiente de que el modelo adivine qué significa “seguridad”.

¿Es apto para principiantes?

Sí, si puedes identificar los archivos de configuración de Claude Code del repositorio. La principal limitación es que presupone que puedes actuar sobre hallazgos como interpolación de shell arriesgada, listas de अनुमति demasiado permisivas o secretos expuestos.

¿Cuándo no debería usarlo?

No uses security-scan como sustituto de pruebas de vulnerabilidades de la aplicación, auditoría de dependencias o escaneo de secretos en toda la base de código. Es más útil cuando la pregunta de seguridad se centra específicamente en la configuración de Claude Code.

Cómo mejorar el skill security-scan

Haz explícito el alcance del análisis

Los mejores resultados de security-scan llegan cuando nombras el directorio exacto, la rama o el cambio de configuración. “Analiza .claude/” es útil; “revisa mi repo” es demasiado amplio y aumenta la probabilidad de hallazgos superficiales.

Indica el cambio que más te preocupa

Dile al skill qué cambió: un servidor MCP nuevo, un hook modificado, un agente nuevo o un ajuste en la configuración. Eso le ayuda a ponderar el modo de fallo más probable en lugar de reportarlo todo con la misma prioridad.

Pide una salida útil para tomar decisiones

Si quieres mejorar el security-scan usage, solicita los hallazgos en un formato orientado a la corrección: archivo, riesgo, por qué importa y el cambio mínimo seguro. Eso reduce la ambigüedad y facilita parchear configuraciones sin corregir de más.

Itera después de la primera pasada

Después de la primera ejecución, vuelve a analizar solo los archivos que cambiaste. Para una security-scan guide que dé mejores resultados con el tiempo, trata cada hallazgo como una señal para endurecer las allow lists, eliminar instrucciones riesgosas o simplificar los hooks antes de la siguiente revisión.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

audit-website

por squirrelscan

La skill audit-website usa la CLI de squirrel para auditar sitios web y aplicaciones web con más de 230 reglas de SEO, aspectos técnicos, contenido, rendimiento, seguridad, enlaces y salud del sitio, y devuelve informes accionables listos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

Compliance Review

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

defi-amm-security es una lista de verificación de seguridad centrada en AMM de Solidity, pools de liquidez, vaults de LP y flujos de swap. Ayuda a auditores e ingenieros a revisar reentrancy, el orden CEI, ataques de donación o inflación, supuestos de oráculos, slippage, controles de administración y aritmética entera con menos improvisación que un prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k

code-reviewer

por Shubhamsaboo

code-reviewer es una skill de revisión de código con IA que sigue un orden estricto de análisis: security, performance, correctness y maintainability. Usa archivos de reglas para SQL injection, XSS, N+1 queries, error handling, naming y type hints, lo que hace que las revisiones de PR sean más consistentes que con un prompt de revisión genérico.

Code Review

Favoritos 0GitHub 104.2k

stride-analysis-patterns

por wshobson

stride-analysis-patterns ayuda a los agentes a ejecutar un análisis estructurado de modelado de amenazas STRIDE para arquitecturas, APIs y flujos de datos. Instálala desde el repositorio wshobson/agents, revisa el archivo SKILL.md y úsala para convertir descripciones de sistemas en amenazas categorizadas y resultados de revisión centrados en controles.

Threat Modeling

Favoritos 0GitHub 32.6k

anti-reversing-techniques

por wshobson

anti-reversing-techniques es una skill de ingeniería inversa para análisis de malware autorizado, retos CTF, triaje de binarios empaquetados y auditorías de seguridad. Te ayuda a detectar patrones de anti-debugging, anti-VM, empaquetado y ofuscación, y a elegir un flujo de análisis práctico con la skill principal y la referencia avanzada.

Security Audit

Favoritos 0GitHub 32.6k

k8s-security-policies

por wshobson

k8s-security-policies ayuda a los equipos a definir NetworkPolicy de Kubernetes, etiquetas de Pod Security Standards y patrones de RBAC con plantillas y referencias basadas en repositorios para reforzar la seguridad y planificar despliegues listos para auditoría.

Security Audit

Favoritos 0GitHub 32.6k

security

por markdown-viewer

La skill security crea diagramas de arquitectura de seguridad en PlantUML con stencils de AWS para identidad, cifrado, firewalls, cumplimiento y detección de amenazas. Úsala para flujos IAM, diseños de zero trust, pipelines de cifrado, diagramas de Security Audit y documentación lista para revisión. No está pensada para infraestructura cloud general ni para modelado UML genérico.

Security Audit

Favoritos 0GitHub 1.1k