security-scan
作成者 affaan-msecurity-scanスキルは、AgentShieldを使ってClaude Codeの`.claude/`設定を監査し、シークレット、リスクの高いMCP設定、インジェクションされやすい指示、危険なバイパスフラグ、脆弱なエージェントやフック定義を検出します。コミット前やオンボーディング前の、再現性のあるセキュリティチェックに最適です。
このスキルの評価は78/100で、Claude Code設定を重点的にセキュリティ監査したいディレクトリ利用者にとって、十分に有力な掲載候補です。導入判断に必要な具体的なワークフローは揃っており、ある程度安心して導入できますが、外部ツールへの依存がある点と、クイックスタートのパッケージがもう少し洗練される余地がある点には注意が必要です。
- 新規プロジェクト、設定変更、コミット前、オンボーディング、定期点検など、起動シーンが明確。
- CLAUDE.md、settings.json、mcp.json、hooks、agents/*.mdまで具体的にスキャン範囲が示されており、何を確認するのかをエージェントが把握しやすい。
- AgentShieldのインストール・実行コマンドと、シークレット、インジェクションパターン、危険なMCPサーバー、コマンドインジェクションなどの明確なセキュリティチェックがあり、実運用に使いやすい。
- AgentShieldのインストールが必要なため、スキル単体では完結しない。
- サポートファイルやインストールコマンドが含まれていないため、セットアップや実行の一部を利用者側で補う必要がある。
security-scan スキルの概要
security-scan でできること
security-scan スキルは、AgentShield を使って Claude Code プロジェクトの .claude/ 設定をセキュリティ面から監査します。秘密情報、リスクの高い MCP サーバー設定、インジェクションの入りやすい指示、危険なバイパスフラグ、弱いエージェント定義や hook 定義をチェックします。
どんな人にインストール向きか
Claude Code の設定を管理している人、AI エージェント構成をレビューする人、変更を commit する前に再現性のあるセキュリティ確認をしたい人に向いています。特に、リポジトリの管理者、プラットフォームエンジニア、そして .claude の整備状況が不明な既存プロジェクトに参加する人に有用です。
実務で重要な理由
汎用的なプロンプトでは、設定固有の脅威を見落とすことがあります。このスキルは、Claude Code の設定が信頼に足るかを素早く判断し、リスクがどこにあるかを特定して、広がる前に修正するという実務そのものを狙っています。
security-scan スキルの使い方
インストールしてツールチェーンを確認する
security-scan install を使う場合は、ディレクトリの repo path からスキルを追加します。
npx skills add affaan-m/everything-claude-code --skill security-scan
次に、AgentShield が利用できることを確認します。
npx ecc-agentshield --version
必要なら npm install -g ecc-agentshield でグローバルインストールするか、npx ecc-agentshield scan . で直接スキャンを実行できます。
スキルに正しい入力を与える
security-scan usage は、特定の Claude Code workspace を指し示し、確認したい変更内容を明確にすると最も効果的です。たとえば、次のような入力が適しています。
「この repo の .claude/ フォルダを、新しい MCP server と hook の更新後にスキャンして、秘密情報の露出、インジェクション経路、過剰に広い tool access があれば指摘してください。」
ファイルはこの順番で読む
まず SKILL.md を開き、次に CLAUDE.md、.claude/settings.json、mcp.json、hooks/、agents/*.md を確認します。この順番はスキャン対象の面に沿っており、出力を一般的なセキュリティレポートとして扱うのではなく、どの設定ファイルに結びつく指摘なのかを追いやすくなります。
単発実行ではなく、レビューのループで使う
コミット前、設定変更後、そして repo に onboarding するときにスキャンを走らせてください。security-scan for Security Audit では、各指摘が信頼性にどう影響するかを基準に見ます。秘密情報は削除する、危険なコマンドは範囲を絞る、prompt injection の露出は明示的な制約として書き直す、という判断が重要です。
security-scan スキル FAQ
security-scan は Claude Code ユーザー専用ですか?
はい。このスキルは .claude/ 内の Claude Code 設定を前提に作られており、一般的なアプリケーションのセキュリティスキャンやソースコードの脆弱性ハンティング向けではありません。
通常の prompt と何が違うのですか?
通常の prompt でもセキュリティレビューは依頼できますが、security-scan は CLAUDE.md、settings、MCP server、hooks、agent ファイルといった確認対象を具体的に組み込んでいます。そのため、繰り返し使うレビューに向いており、「security」とは何かをモデルに推測させる度合いが小さくなります。
初心者でも使いやすいですか?
はい。repo 内の Claude Code 設定ファイルを特定できるなら使えます。主な制約は、危険な shell interpolation、広すぎる allow list、露出した秘密情報などの指摘に対して、実際に対応できることを前提にしている点です。
使わないほうがよいのはどんなときですか?
アプリケーションの脆弱性テスト、依存関係監査、コードベース全体の secrets スキャンの代わりとしては使わないでください。Claude Code の設定そのものに関する security question に絞られているときに最も適しています。
security-scan スキルの改善方法
スキャン範囲を明確にする
security-scan の結果を最もよくするのは、対象のディレクトリ、branch、または config change を具体的に示すことです。.claude/ をスキャンする、は有用です。一方で、「my repo をレビューして」は広すぎて、浅い指摘になる可能性が高くなります。
一番気にしている変更を伝える
何が変わったのかを明示してください。新しい MCP server なのか、変更された hook なのか、新しい agent なのか、settings の調整なのかを伝えると、最も起こりやすい failure mode を優先して評価しやすくなります。
判断に使える出力を求める
より良い security-scan usage を得たいなら、修正優先の形式で結果を出すよう依頼してください。たとえば、file、risk、重要な理由、そして最小限で安全な変更案を求めます。これにより曖昧さが減り、過剰修正せずに config を直しやすくなります。
1回目の後に繰り返し見直す
最初の実行後は、変更したファイルだけを再スキャンします。より良い security-scan guide にしたいなら、各指摘を allow list を絞る、危険な指示を削除する、hook を簡素化する、といった改善のきっかけとして扱い、次のレビューまでに詰めを進めてください。