Security

security-scanスキルは、AgentShieldを使ってClaude Codeの`.claude/`設定を監査し、シークレット、リスクの高いMCP設定、インジェクションされやすい指示、危険なバイパスフラグ、脆弱なエージェントやフック定義を検出します。コミット前やオンボーディング前の、再現性のあるセキュリティチェックに最適です。

security-review スキルを使って、認証、ユーザー入力、シークレット、API、決済、アップロードなどの機微なフローをレビューします。明確な合格/不合格チェック、危険なパターンの例、そしてリリース前に一般的な問題を見つけるための集中的な手順を備えた、実践的なセキュリティレビューガイドを提供します。

security-bounty-hunter は、リポジトリ内のバグ報奨金対象になりやすい脆弱性を見つけるのに役立ちます。特に、リモートから到達可能で、ユーザーが制御でき、トリアージを通過しやすい問題に重点を置いています。Security Audit の作業で、ローカル限定のノイズではなく、実際に報告しやすい成果を求めるときに向いています。

safety-guard は、エージェントが自律的に動く場面や本番環境で作業する場面で、破壊的な操作を防ぐのに役立ちます。careful mode、write freeze mode、guard mode を備え、危険なコマンドのブロック、編集範囲を1つのディレクトリに限定すること、デプロイ・マイグレーション・機密性の高いリポジトリ作業でのミス削減を支援します。

postgres-patterns は、クエリ最適化、スキーマ設計、インデックス、Row Level Security、コネクションプーリングに役立つ、実践的な PostgreSQL の早見スキルです。汎用プロンプトではなく、要点を絞ったベストプラクティスで Database Engineering の判断をより速く、より確実に進められるようにします。

perl-security は、より安全な入力処理、taint mode、シェル実行、DBI のプレースホルダー、さらに XSS・SQLi・CSRF などの Web セキュリティ問題まで、Perl コードをレビューするのに役立ちます。Security Audit、修正計画、安全な開発の場面で、ユーザー制御データが重要な sink に到達する箇所を確認するために使ってください。

llm-trading-agent-security は、ウォレット権限を持つ自律型トレーディングエージェントを安全にするための実践ガイドです。プロンプトインジェクション、支出上限、送信前シミュレーション、サーキットブレーカー、MEVを意識した実行、鍵の分離を扱い、Security Audit における金銭損失リスクの低減に役立ちます。

laravel-security は、authn/authz、バリデーション、CSRF、mass assignment、ファイルアップロード、シークレット、rate limiting、安全なデプロイまでを網羅した、実践的な Laravel セキュリティチェックリストです。Laravel アプリの監査、機能レビュー、ハードニング作業に活用できます。

hipaa-compliance は、医療分野のプライバシーとセキュリティに関する作業のための HIPAA 専用エントリポイントです。タスクが PHI、対象事業体、BAA、インシデント時の対応姿勢、またはワークフローが HIPAA リスクを生むかどうかに明示的に関わる場合に、hipaa-compliance skill を使ってください。これは、迅速なコンプライアンスの切り分けとガイダンスのための、薄いオーバーレイです。

healthcare-phi-complianceは、医療アプリにおけるPHI/PIIのリスクを、データモデル、API、ログ、アクセス経路まで含めて確認するためのスキルです。データ分類、アクセス制御、暗号化、監査証跡、そしてHIPAA、DISHA、GDPRなどに関する一般的な漏えい経路の確認に使えます。

github-opsは、`gh` CLIを使ってIssueのトリアージ、PR管理、CI失敗の確認、リリース準備、リポジトリ健全性の監視を行うためのGitHub運用スキルです。実在するリポジトリに対して、繰り返し使えるgithub-ops運用が必要で、`gh auth login`による認証と明確なリポジトリコンテキストがある場合に使います。

flutter-dart-code-review は、Flutter と Dart のコードレビュー向けチェックリストです。アーキテクチャ、Widget 品質、状態管理、パフォーマンス、アクセシビリティ、セキュリティ、クリーンコードまで、ライブラリ非依存で幅広くカバーします。BLoC、Riverpod、Provider、GetX、MobX、Signals、独自パターンのいずれでも、Code Review 用の構造化された flutter-dart-code-review ガイドとして使えます。

enterprise-agent-ops は、長寿命またはクラウドホスト型のエージェントシステムを、可観測性、安全制御、変更管理、復旧計画つきで運用するためのスキルです。単発のプロンプトではなく、エージェントのオーケストレーションを実務的に扱うガイドが必要なときに使います。

docker-patterns は、ローカル開発、ネットワーキング、ボリューム、ヘルスチェック、コンテナセキュリティまで含めて、Docker と Docker Compose の構成を設計・レビューするのに役立ちます。特に、Backend Development や、開発環境と本番環境の分離が重要なマルチサービス構成で使いやすい docker-patterns ガイドです。

django-security は、Django アプリを認証、認可、CSRF、XSS、SQLインジェクション対策、セキュアCookie、本番設定の観点から強化するための実践ガイドです。開発者やレビュー担当者が Security Audit を集中的に実施し、リスクの高い設定をすばやく見つけ、デプロイ前に具体的な修正を適用できるようにします。

agent-payment-x402 は、AI エージェントが MCP ツール、支出上限、受取先の allowlist、非カストディアルウォレットを使って x402 決済を扱えるようにするスキルです。有料 API やエージェントのオーケストレーションに対応します。

code-reviewerは、コードやdiffを入力すると、セキュリティ、パフォーマンス、ベストプラクティス、重大度、影響箇所、推奨修正、総合品質スコアを含む構造化レポートに整理できる、軽量なCode Review向けスキルです。

code-reviewer は、セキュリティ、性能、正しさ、保守性の順で厳密に確認する AI コードレビュー用スキルです。SQL injection、XSS、N+1 queries、error handling、naming、type hints などのルールファイルを備えており、汎用的なレビュー用プロンプトよりも一貫した PR レビューを行いやすくします。

cso は、エージェント向けの Chief Security Officer 風セキュリティ監査スキルです。Secrets の露出、依存関係とサプライチェーンのリスク、CI/CD のセキュリティ、LLM/AI セキュリティを、OWASP Top 10 と STRIDE を使ってコードベースとワークフローの両面からレビューするのに役立ちます。信頼度ゲート、アクティブ検証、トレンド追跡を備えた構造化された Security Audit レビューに cso を使ってください。

memory-safety-patternsは、C・C++・RustでRAII、所有権、スマートポインタ、リソース解放の考え方をエージェントが実践できるよう支援します。バックエンドやシステムコードのレビューに使えば、リークやダングリングポインタの削減に役立ち、ファイル、ソケット、バッファ、FFI境界まわりのより安全なリファクタリング判断を後押しします。

attack-tree-constructionは、明確なルート目標、AND/OR分岐、検証可能な末端攻撃を備えた構造的な攻撃ツリーを、Threat Modeling向けに組み立てるためのスキルです。攻撃経路の可視化、防御ギャップの洗い出し、セキュリティレビュー、テスト、緩和策の計画に役立ちます。

sast-configurationスキルは、実運用のSASTワークフローに向けてSemgrep、SonarQube、CodeQLを設定する際に役立ちます。導入手順の整理、CI/CD連携、カスタムルール、品質ゲート、Security Auditやリポジトリ単位のスキャンに合わせた誤検知チューニングの検討に活用できます。

security-requirement-extraction は、脅威モデルとビジネス文脈をもとに、検証可能なセキュリティ要件、ユーザーストーリー、受け入れ基準、そして Requirements Planning に使えるバックログ投入可能な成果物へ落とし込むためのスキルです。

stride-analysis-patterns は、アーキテクチャ、API、データフローに対して、構造化された STRIDE 脅威モデリングを実行できるスキルです。wshobson/agents リポジトリから導入し、`SKILL.md` を確認することで、システムの説明をカテゴリ別の脅威とコントロール重視のレビュー結果へ整理できます。