security-scan
작성자 affaan-msecurity-scan 스킬은 AgentShield를 사용해 Claude Code의 `.claude/` 설정을 감사하며, 비밀정보, 위험한 MCP 설정, 주입 취약 지시문, 위험한 우회 플래그, 취약한 에이전트 또는 hook 정의를 점검합니다. 커밋 전이나 온보딩 전에 반복 가능한 보안 점검을 할 때 유용합니다.
이 스킬은 78/100점으로, Claude Code 설정을 집중적으로 보안 감사하려는 디렉터리 사용자에게 충분히 유용한 후보입니다. 설치에 대한 신뢰를 줄 만큼 구체적인 워크플로를 제공하지만, 외부 도구에 의존하고 있어 더 간결한 빠른 시작 패키징이 있으면 좋겠습니다.
- 새 프로젝트, 설정 변경, 커밋, 온보딩, 정기 점검 등 활성화 상황이 분명합니다.
- CLAUDE.md, settings.json, mcp.json, hooks, agents/*.md까지 검사 범위가 구체적이어서 무엇을 점검해야 하는지 바로 이해할 수 있습니다.
- AgentShield 설치/실행 명령과 함께 비밀정보, 주입 패턴, 위험한 MCP 서버, 명령 주입 같은 보안 점검 항목을 실용적으로 안내합니다.
- AgentShield 설치가 필요하므로 스킬이 완전히 독립적이지는 않습니다.
- 지원 파일이나 설치 명령이 없어 일부 설정 및 실행 세부사항은 사용자가 직접 처리해야 할 수 있습니다.
security-scan 개요
security-scan이 하는 일
security-scan 스킬은 AgentShield를 사용해 Claude Code 프로젝트의 .claude/ 설정에서 보안 위험을 점검합니다. 비밀 정보 노출, 위험한 MCP 서버 설정, 프롬프트 인젝션에 취약한 지시문, 위험한 우회 플래그, 약한 에이전트·훅 정의를 찾아냅니다.
누가 설치하면 좋은가
Claude Code 설정을 관리하거나, AI 에이전트 구성을 검토하거나, 변경 사항을 커밋하기 전에 반복 가능한 보안 점검이 필요하다면 security-scan 스킬을 사용하세요. 특히 저장소 소유자, 플랫폼 엔지니어, 그리고 .claude 정리가 어떻게 되어 있는지 모르는 기존 프로젝트에 합류하는 사람에게 유용합니다.
실제로 중요한 이유
일반적인 프롬프트만으로는 설정에 특화된 위협을 놓치기 쉽습니다. 이 스킬은 현실적인 업무, 즉 Claude Code 설정이 믿고 써도 될 만큼 안전한지 빠르게 판단하고, 위험이 어디에 있는지 찾아서 번지기 전에 고치는 데 초점을 둡니다.
security-scan 스킬 사용법
설치하고 도구 체인을 확인하기
security-scan install을 하려면 디렉터리의 저장소 경로에서 스킬을 추가하세요:
npx skills add affaan-m/everything-claude-code --skill security-scan
그다음 AgentShield가 사용 가능한지 확인합니다:
npx ecc-agentshield --version
필요하면 npm install -g ecc-agentshield로 전역 설치하거나, npx ecc-agentshield scan .으로 바로 스캔을 실행할 수 있습니다.
스킬에 맞는 입력을 주기
security-scan usage는 특정 Claude Code 작업공간을 지정하고, 검토 중인 변경 사항을 함께 설명할 때 가장 잘 동작합니다. 예를 들면 이런 식입니다. “새 MCP 서버와 훅 업데이트 이후 이 저장소의 .claude/ 폴더를 스캔해서, 비밀 정보 노출, 인젝션 경로, 과도한 도구 접근 권한이 있는지 표시해 주세요.”
파일은 이 순서로 읽기
SKILL.md부터 시작한 뒤 CLAUDE.md, .claude/settings.json, mcp.json, hooks/, agents/*.md를 확인하세요. 이 순서는 스캔 범위와 맞아떨어지며, 결과를 막연한 보안 보고서처럼 보지 않고 정확히 어떤 설정 파일과 연결되는지 추적하는 데 도움이 됩니다.
일회성 실행이 아니라 검토 루프로 쓰기
커밋 전, 설정 수정 후, 저장소 온보딩 중에 스캔을 돌리세요. security-scan for Security Audit 관점에서는 각 결과가 신뢰 수준을 어떻게 바꾸는지에 집중해야 합니다. 비밀 정보는 제거해야 하고, 위험한 명령은 범위를 좁혀야 하며, 프롬프트 인젝션 노출은 명시적 제약으로 다시 써야 합니다.
security-scan 스킬 FAQ
security-scan은 Claude Code 사용자만을 위한 건가요?
네. 이 스킬은 일반 애플리케이션 보안 스캐닝이나 소스 코드 취약점 찾기가 아니라, .claude/ 안의 Claude Code 설정을 기준으로 만들어졌습니다.
일반 프롬프트와 뭐가 다른가요?
일반 프롬프트는 보안 검토를 요청할 수는 있지만, security-scan은 확인해야 할 정확한 범위를 인코딩합니다. CLAUDE.md, 설정, MCP 서버, 훅, 에이전트 파일까지 포함하므로, 반복 가능한 검토에 더 적합하고 모델이 “보안”을 임의로 해석할 여지도 적습니다.
초보자도 쓰기 쉬운가요?
저장소의 Claude Code 설정 파일을 구분할 수 있다면 그렇습니다. 다만 셸 인터폴레이션 위험, 과도하게 허용적인 allow list, 노출된 비밀 정보처럼 나온 결과를 실제로 조치할 수 있어야 한다는 점은 전제됩니다.
언제는 쓰지 말아야 하나요?
security-scan을 애플리케이션 취약점 테스트, 의존성 감사, 저장소 전체의 비밀 정보 스캔을 대신하는 용도로 쓰지 마세요. 보안 질문이 Claude Code 설정에 관한 것일 때 가장 적합합니다.
security-scan 스킬 개선 방법
스캔 범위를 명확히 하세요
security-scan의 결과는 정확한 디렉터리, 브랜치, 또는 설정 변경을 짚어 줄 때 가장 좋습니다. “.claude/를 스캔해 주세요”는 유용하지만, “제 저장소를 검토해 주세요”처럼 너무 넓게 잡으면 피상적인 결과가 나올 가능성이 커집니다.
가장 우려되는 변경 사항을 먼저 알려 주세요
무엇이 바뀌었는지 스킬에 알려 주세요. 새 MCP 서버인지, 수정된 훅인지, 새로운 에이전트인지, 설정 조정인지가 분명해야 합니다. 그래야 모든 항목을 같은 우선순위로 나열하지 않고, 가장 가능성 높은 실패 지점에 무게를 둘 수 있습니다.
판단에 쓸 수 있는 출력 형식으로 요청하세요
더 나은 security-scan usage를 원한다면, 결과를 수정 우선 형식으로 달라고 요청하세요. 파일, 위험, 중요한 이유, 그리고 가장 작은 안전한 변경을 포함하게 하면 됩니다. 그러면 모호함이 줄고, 과하게 수정하지 않으면서도 설정을 고치기 쉬워집니다.
첫 번째 점검 뒤에는 다시 반복하세요
첫 실행 후에는 변경한 파일만 다시 스캔하세요. 더 나은 security-scan guide를 원한다면, 각 결과를 허용 목록을 더 엄격하게 하거나, 위험한 지시문을 제거하거나, 다음 검토 전에 훅을 단순화하라는 신호로 받아들이세요.