security-scan

par affaan-m

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

Étoiles156.3k

Favoris0

Commentaires0

Ajouté15 avr. 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add affaan-m/everything-claude-code --skill security-scan

Score éditorial

Cette skill obtient 78/100, ce qui en fait une candidate sérieuse pour les utilisateurs d’un annuaire qui cherchent un audit ciblé de la configuration de Claude Code. Elle fournit assez de repères concrets pour une installation avec une confiance raisonnable, mais il faut noter qu’elle dépend d’un outil externe et qu’un packaging de démarrage plus complet serait utile.

78/100

Points forts

Scénarios d’activation clairs pour les nouveaux projets, les changements de configuration, les commits, l’onboarding et les vérifications périodiques.
Périmètre d’analyse précis sur CLAUDE.md, settings.json, mcp.json, hooks et agents/*.md, ce qui aide les agents à savoir exactement quoi inspecter.
Conseils d’utilisation pratiques avec les commandes d’installation et d’exécution d’AgentShield, ainsi que des contrôles de sécurité explicites comme les secrets, les schémas d’injection, les serveurs MCP risqués et l’injection de commandes.

Points de vigilance

Nécessite l’installation d’AgentShield, la skill n’est donc pas entièrement autonome.
Aucun fichier d’assistance ni commande d’installation ne sont fournis, ce qui peut laisser certains détails de configuration et d’exécution à la charge de l’utilisateur.

Claude Code Claude MCP Hooks Security Prompt Injection Agent Browser

Vue d’ensemble

Vue d’ensemble du skill security-scan

Ce que fait security-scan

Le skill security-scan audite la configuration .claude/ d’un projet Claude Code à la recherche de risques de sécurité à l’aide d’AgentShield. Il détecte les secrets, les configurations risquées de serveurs MCP, les instructions vulnérables aux injections, les flags de contournement dangereux, ainsi que les définitions d’agent ou de hook trop faibles.

Qui devrait l’installer

Utilisez le skill security-scan si vous maintenez des configs Claude Code, examinez des setups d’agents IA ou avez besoin d’un contrôle de sécurité reproductible avant de valider des changements. Il est particulièrement utile pour les propriétaires de dépôts, les platform engineers et toute personne qui rejoint un projet existant dont l’hygiène .claude/ est inconnue.

Pourquoi c’est important en pratique

Un prompt générique peut passer à côté de menaces propres à la configuration. Ce skill est conçu pour la vraie tâche : décider rapidement si un setup Claude Code est suffisamment sûr pour être approuvé, et identifier précisément où se situe le risque afin de le corriger avant qu’il ne se propage.

Comment utiliser le skill security-scan

Installer et vérifier la chaîne d’outils

Pour security-scan install, ajoutez le skill depuis le chemin du dépôt du répertoire :
npx skills add affaan-m/everything-claude-code --skill security-scan

Vérifiez ensuite qu’AgentShield est disponible :
npx ecc-agentshield --version

Si besoin, installez-le globalement avec npm install -g ecc-agentshield, ou lancez directement les scans avec npx ecc-agentshield scan ..

Donner au skill la bonne entrée

L’usage de security-scan est meilleur quand vous le pointez vers un workspace Claude Code précis et que vous décrivez le changement que vous examinez. Une bonne entrée ressemble à : « Scanne le dossier .claude/ de ce repo après les mises à jour du nouveau serveur MCP et des hooks, et signale toute exposition de secrets, tout chemin d’injection ou tout accès trop large aux outils. »

Lire les fichiers dans cet ordre

Commencez par SKILL.md, puis inspectez CLAUDE.md, .claude/settings.json, mcp.json, hooks/ et agents/*.md. Cet ordre correspond à la surface de scan et vous aide à rattacher les résultats au fichier de configuration exact, au lieu de traiter la sortie comme un rapport de sécurité générique.

Utiliser une boucle de revue, pas un scan isolé

Lancez le scan avant le commit, après chaque modification de configuration et pendant l’onboarding sur un dépôt. Pour security-scan for Security Audit, concentrez-vous sur la question de confiance que pose chaque résultat : les secrets doivent être supprimés, les commandes à risque doivent être resserrées, et toute exposition à une prompt injection doit être réécrite en contraintes explicites.

FAQ sur le skill security-scan

security-scan est-il réservé aux utilisateurs de Claude Code ?

Oui. Ce skill est construit autour de la configuration Claude Code dans .claude/, pas autour de l’analyse de sécurité d’applications générales ni de la recherche de vulnérabilités dans le code source.

Qu’est-ce qui le distingue d’un prompt normal ?

Un prompt normal peut demander un audit de sécurité, mais security-scan encode les surfaces exactes à vérifier : CLAUDE.md, les settings, les serveurs MCP, les hooks et les fichiers d’agent. Cela le rend plus adapté aux revues répétables et moins dépendant de ce que le modèle suppose être la « sécurité ».

Est-il adapté aux débutants ?

Oui, si vous savez repérer les fichiers de configuration Claude Code du dépôt. La principale limite est qu’il suppose que vous pouvez agir sur des résultats comme une interpolation shell risquée, des allow lists trop permissives ou des secrets exposés.

Quand ne faut-il pas l’utiliser ?

N’utilisez pas security-scan comme substitut aux tests de vulnérabilité applicative, à l’audit des dépendances ou au scan de secrets sur l’ensemble de la base de code. Il est surtout pertinent lorsque la question de sécurité porte spécifiquement sur la configuration Claude Code.

Comment améliorer le skill security-scan

Rendre le périmètre du scan explicite

Les meilleurs résultats de security-scan viennent d’un périmètre clair : indiquez le répertoire exact, la branche ou la modification de configuration. « Scanne .claude/ » est utile ; « examine mon repo » est trop vague et augmente le risque d’obtenir des conclusions superficielles.

Décrire le changement qui vous inquiète le plus

Dites au skill ce qui a changé : un nouveau serveur MCP, un hook modifié, un nouvel agent ou un ajustement de settings. Cela l’aide à pondérer le mode de défaillance le plus probable au lieu de tout classer au même niveau de priorité.

Demander une sortie exploitable pour décider

Si vous voulez de meilleurs résultats de security-scan usage, demandez des conclusions au format « correction d’abord » : fichier, risque, importance, et plus petit changement sûr possible. Cela réduit l’ambiguïté et facilite le patch des configs sans surcorriger.

Itérer après le premier passage

Après la première exécution, rescannez uniquement les fichiers modifiés. Pour un security-scan guide qui s’améliore avec le temps, traitez chaque résultat comme une invitation à resserrer les allow lists, supprimer les instructions risquées ou simplifier les hooks avant la revue suivante.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

audit-website

par squirrelscan

La skill audit-website s’appuie sur le CLI `squirrel` pour auditer des sites web et webapps selon plus de 230 règles couvrant le SEO, la technique, le contenu, les performances, la sécurité, les liens et l’état général du site, puis fournit des rapports exploitables et prêts pour les LLM.

UX Audit

Favoris 0GitHub 68

skill-comply

par affaan-m

skill-comply est une compétence de test de conformité qui vérifie, en conditions réelles, si un agent respecte une skill, une règle ou une définition d’agent. Elle génère des spécifications à partir de markdown, exécute trois niveaux de rigueur des prompts, classe les chronologies d’appels d’outils et fournit des taux de conformité avec preuves à l’appui. Utile pour skill-comply pour la conformité.

Compliance Review

Favoris 0GitHub 156.3k

perl-security

par affaan-m

perl-security vous aide à auditer du code Perl pour améliorer la gestion des entrées, le mode taint, l’exécution de commandes shell, les paramètres DBI et les problèmes de sécurité web comme XSS, SQLi et CSRF. Utilisez ce skill perl-security pour les audits de sécurité, la planification des remédiations et le développement sécurisé lorsque des données contrôlées par l’utilisateur atteignent des points sensibles.

Security Audit

Favoris 0GitHub 156.2k

laravel-security

par affaan-m

Le skill laravel-security est une checklist pratique de sécurité Laravel couvrant l’authentification et l’autorisation, la validation, CSRF, la mass assignment, les envois de fichiers, les secrets, le rate limiting et le déploiement sécurisé. Utilisez-le pour les audits, les revues de fonctionnalités et le renforcement de la sécurité des applications Laravel.

Security Audit

Favoris 0GitHub 156.2k

healthcare-eval-harness

par affaan-m

healthcare-eval-harness est un cadre d’évaluation de la sécurité des patients pour les déploiements d’applications de santé. Il aide les équipes à vérifier la précision du CDSS, l’exposition des PHI, l’intégrité des données, le comportement des flux cliniques et la conformité des intégrations avant mise en production. Les échecs critiques bloquent le déploiement, ce qui en fait un outil utile pour healthcare-eval-harness dans l’évaluation de modèles et les garde-fous de sécurité CI.

Model Evaluation

Favoris 0GitHub 156.2k

github-ops

par affaan-m

github-ops est une compétence d’opérations GitHub pour trier les issues, gérer les PR, analyser les échecs CI, préparer les releases et surveiller la santé d’un dépôt avec la CLI gh. Utilisez la compétence github-ops lorsque vous avez besoin d’un usage reproductible de github-ops sur un dépôt réel, avec authentification via gh auth login et un contexte de dépôt clairement défini.

Github

Favoris 0GitHub 156.2k

ecc-tools-cost-audit

par affaan-m

ecc-tools-cost-audit est une compétence d’audit fondée sur des preuves pour enquêter sur les pics de coûts, les créations de PR en boucle, les contournements de quota, les fuites vers des modèles premium et les tâches en double dans ECC Tools. Utilisez-la pour des investigations en Backend Development qui suivent une requête depuis le webhook jusqu’au worker et à la décision de facturation, afin de démontrer précisément où les dépenses sont générées.

Backend Development

Favoris 0GitHub 156.1k

defi-amm-security

par affaan-m

defi-amm-security est une checklist de sécurité ciblée pour les AMM Solidity, les pools de liquidité, les coffres LP et les flux de swap. Elle aide les auditeurs et les ingénieurs à examiner la réentrance, l’ordre CEI, les attaques par donation ou inflation, les hypothèses d’oracle, le slippage, les contrôles d’administration et l’arithmétique entière avec moins d’incertitude qu’avec un prompt générique.

Security Audit

Favoris 0GitHub 156.1k

code-reviewer

par Shubhamsaboo

code-reviewer est une skill de revue de code par IA qui suit un ordre d’analyse strict : sécurité, performances, exactitude et maintenabilité. Elle s’appuie sur des fichiers de règles pour la SQL injection, le XSS, les requêtes N+1, la gestion des erreurs, le nommage et les indications de type, afin de rendre les revues de PR plus cohérentes qu’avec un prompt de revue générique.

Code Review

Favoris 0GitHub 104.2k

stride-analysis-patterns

par wshobson

stride-analysis-patterns aide les agents à mener une analyse de menaces STRIDE structurée sur des architectures, des API et des flux de données. Installez-la depuis le repo wshobson/agents, consultez le fichier SKILL.md, puis utilisez-la pour transformer des descriptions système en menaces catégorisées et en revues axées sur les contrôles de sécurité.

Threat Modeling

Favoris 0GitHub 32.6k

anti-reversing-techniques

par wshobson

anti-reversing-techniques est une skill de rétro-ingénierie pour l’analyse de malware autorisée, les CTF, le triage de binaires packés et les audits de sécurité. Elle vous aide à repérer les mécanismes anti-debug, anti-VM, de packing et d’obfuscation, puis à choisir un workflow d’analyse pragmatique à l’aide de la skill principale et de la référence avancée.

Security Audit

Favoris 0GitHub 32.6k

k8s-security-policies

par wshobson

k8s-security-policies aide les équipes à concevoir des NetworkPolicy Kubernetes, des labels Pod Security Standards et des modèles RBAC à partir de templates et de références du dépôt, pour renforcer la sécurité et préparer des déploiements auditables.

Security Audit

Favoris 0GitHub 32.6k

security

par markdown-viewer

Le skill security crée des diagrammes d’architecture de sécurité PlantUML avec des stencils AWS pour l’identité, le chiffrement, le pare-feu, la conformité et la détection des menaces. Utilisez-le pour les flux IAM, les conceptions zero trust, les pipelines de chiffrement, les diagrammes Security Audit et la documentation prête à relire. Il n’est pas destiné à l’infrastructure cloud générale ni à la modélisation UML générique.

Security Audit

Favoris 0GitHub 1.1k