wycheproof

por trailofbits

La skill wycheproof ayuda a validar implementaciones criptográficas con vectores de prueba de Wycheproof, con foco en ataques conocidos, casos límite y decisiones de aprobado/fallido para flujos de trabajo de auditoría de seguridad. Úsala para revisar AES-GCM, ECDSA, ECDH, RSA y primitivas relacionadas con menos suposiciones que con un prompt genérico de criptografía.

Estrellas0

Favoritos0

Comentarios0

Agregado7 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill wycheproof

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una candidata sólida para usuarios de directorio. El repositorio ofrece suficiente contenido real de flujo de trabajo para que un agente identifique cuándo conviene usar Wycheproof y lo aplique a tareas de pruebas criptográficas con menos dudas que un prompt genérico, aunque le faltan algunos elementos de adopción como un comando de instalación o archivos de apoyo.

78/100

Puntos fuertes

Señal clara de uso y alcance para validación criptográfica: el frontmatter indica que sirve para probar código criptográfico frente a ataques conocidos y casos límite.
Contenido operativo sustancial: el cuerpo es amplio y está estructurado con muchos encabezados, secciones de flujo de trabajo y bloques de código, lo que da a un agente suficiente material para seguir.
Valor concreto en el dominio: explica conceptos clave como vectores de prueba, grupos de pruebas y marcas de resultado, lo que mejora la capacidad del agente para evaluar implementaciones.

Puntos a tener en cuenta

No incluye comando de instalación ni scripts o recursos complementarios, así que los usuarios quizá deban definir por su cuenta cómo invocarla y ejecutarla.
La descripción es breve y hay pocos archivos de soporte, por lo que parte de la configuración e integración específicas del entorno aún puede requerir interpretación manual.

Testing Crypto Cryptography Security Validation Google

Resumen

Descripción general de la skill wycheproof

Para qué sirve wycheproof

La skill wycheproof te ayuda a usar vectores de prueba de Wycheproof para validar implementaciones criptográficas frente a casos límite conocidos y patrones de ataque. Es especialmente útil en un flujo de trabajo de auditoría de seguridad cuando necesitas comprobar si una biblioteca, servicio o producto acepta las entradas correctas, rechaza las incorrectas y falla de forma segura ante casos ambiguos.

Quién debería instalarla

Instala la skill wycheproof si auditas código criptográfico, mantienes una aplicación sensible a la seguridad o necesitas una forma reproducible de probar primitivas como AES-GCM, ECDSA, ECDH o RSA. Resulta especialmente útil cuando un prompt rápido no basta porque el modo de fallo es sutil: el código puede “funcionar” en ejemplos de camino feliz y, aun así, ser vulnerable.

Qué la hace diferente

Wycheproof no es un tutorial general de criptografía. El valor de la skill wycheproof está en que se centra en entradas conocidas como incorrectas, grupos de prueba estructurados y resultados de aprobado/rechazado/aceptable. Eso la hace más útil que un prompt genérico de “prueba mi criptografía” cuando necesitas resultados con suficiente calidad para decidir en una revisión o corrección.

Cómo usar la skill wycheproof

Instala e inspecciona la skill

Usa el flujo de instalación de wycheproof desde tu gestor de skills y luego abre primero SKILL.md. En este repositorio, SKILL.md es el único archivo de soporte, así que no hay una capa separada de scripts o reglas que aprender. Eso significa que tu tarea principal es extraer del propio cuerpo de la skill el flujo de trabajo, las categorías de prueba y las restricciones.

Convierte un objetivo impreciso en un prompt útil

El uso de wycheproof funciona mejor cuando indicas de antemano la primitiva criptográfica, el lenguaje de implementación y el objetivo de prueba. Una petición débil sería: “Revisa mi código de criptografía”. Una más sólida sería: “Usa la skill wycheproof para probar nuestro verificador ECDSA en Java contra firmas mal formadas y casos límite; indica qué vectores deben pasar, fallar o considerarse aceptables según nuestra política”.

Empieza con las entradas correctas

Para obtener mejores resultados, incluye:

el algoritmo o protocolo
el lenguaje o la biblioteca
qué cuenta como éxito en tu entorno
si quieres pruebas de regresión, apoyo para una auditoría o triaje de un caso que falla
cualquier restricción, como modo FIPS, compatibilidad heredada o límites de la plataforma

Estos detalles importan porque la salida de wycheproof cambia según si estás validando un rechazo estricto, un comportamiento de compatibilidad o una lista de excepciones conocida.

Lee el flujo de trabajo en orden

Una guía práctica de wycheproof debe leerse así: contexto, conceptos clave, cuándo usarla y luego las secciones del flujo de pruebas. Si la estás usando para una auditoría de seguridad, presta especial atención a cómo la skill distingue entre vectores válidos, inválidos y aceptables, porque esa clasificación es lo que evita conclusiones erróneas.

Preguntas frecuentes sobre la skill wycheproof

¿Wycheproof es solo para auditorías de seguridad?

No. La skill wycheproof es valiosa para auditorías, pero también resulta útil durante la implementación y las pruebas de regresión. Si despliegas criptografía, esta skill te ayuda a detectar problemas antes de que se conviertan en hallazgos de auditoría.

¿Necesito ser experto en criptografía?

No, pero sí necesitas suficiente contexto para nombrar la primitiva y describir el comportamiento esperado. Si no puedes decir si un vector debería pasar, fallar o aceptarse bajo una regla de compatibilidad, la salida será menos accionable.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede devolver una lista de verificación genérica. La skill wycheproof es mejor cuando necesitas razonamiento estructurado sobre vectores de prueba y cobertura de casos límite. Reduce la incertidumbre al anclar la tarea en patrones de ataque conocidos en lugar de consejos generales.

¿Cuándo no debería usarla?

No uses wycheproof si intentas diseñar un protocolo criptográfico desde cero o explicar criptografía a alto nivel. Sirve para validación y pruebas, no para enseñanza teórica ni para arquitectura de producto.

Cómo mejorar la skill wycheproof

Dale a la skill el objetivo criptográfico exacto

La mayor mejora de calidad llega al nombrar la primitiva, la implementación y el modo de fallo. Por ejemplo, “verificador RSA-PSS en Python cryptography que falla con ciertas longitudes de salt” es mucho mejor que “mi código de firmas está roto”. Cuanto más preciso sea el objetivo, más fácil será mapearlo a los vectores adecuados de Wycheproof.

Declara pronto tu política de aceptación

Un modo de fallo común en trabajos con wycheproof es mezclar corrección de seguridad con compatibilidad de producto. Indica si quieres rechazo estricto de vectores inválidos, compatibilidad con entradas heredadas o una allowlist documentada. Esa distinción cambia el resultado y evita idas y vueltas ruidosas después del primer pase.

Itera sobre la clase de vectores, no solo sobre el bug

Si la primera salida encuentra un fallo, refina la siguiente petición pidiendo casos adyacentes: tamaños de clave cercanos, codificaciones mal formadas, entradas truncadas o valores de frontera del mismo grupo de prueba. Suele ser más útil que pedir una nueva ejecución amplia, porque la fortaleza de Wycheproof está en cubrir familias de casos límite.

Usa la salida para impulsar pruebas de regresión

Después de confirmar un hallazgo, convierte el caso que falla en una prueba permanente dentro de tu propia suite. La skill wycheproof es más valiosa cuando produce un registro de auditoría de seguridad duradero: qué vector falló, por qué falló y qué condición debe imponerse en versiones futuras.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id es una skill de vista previa de Microsoft Entra Agent ID para equipos de desarrollo backend que crean identidades de agentes de IA con capacidad OAuth2 usando Graph beta. Cubre la configuración de blueprints, blueprint principals, identidades de agente, permisos, sponsors, federación de identidad de workload y autenticación basada en sidecar. Úsala para entender la instalación, el uso y las limitaciones de despliegue de entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy es un skill de fuzzing de Ruby guiado por cobertura para probar código Ruby puro y extensiones C de Ruby. Usa la guía de ruzzy para configurar un entorno Linux compatible, verificar la integración de sanitizers y crear flujos de trabajo de fuzzing prácticos para tareas de Security Audit.

Security Audit

Favoritos 0GitHub 5k