Security

security-scan 스킬은 AgentShield를 사용해 Claude Code의 `.claude/` 설정을 감사하며, 비밀정보, 위험한 MCP 설정, 주입 취약 지시문, 위험한 우회 플래그, 취약한 에이전트 또는 hook 정의를 점검합니다. 커밋 전이나 온보딩 전에 반복 가능한 보안 점검을 할 때 유용합니다.

security-review 스킬로 인증, 사용자 입력, 비밀정보, API, 결제, 업로드 등 민감한 흐름을 점검하세요. 명확한 합격/불합격 기준, 위험 패턴 예시, 그리고 출시 전에 흔한 문제를 잡아내기 위한 집중형 프로세스를 갖춘 실용적인 보안 점검 가이드를 제공합니다.

security-bounty-hunter는 저장소에서 버그바운티에 적합한 취약점을 찾도록 도와줍니다. 원격에서 도달 가능하고 사용자가 제어할 수 있으며, 트리아지에서도 살아남을 가능성이 높은 이슈에 초점을 맞춥니다. 소음이 큰 로컬 전용 문제보다 실제로 보고 가능한 결과가 필요한 Security Audit 작업에 활용하기 좋습니다.

safety-guard는 에이전트가 자율적으로 동작하거나 운영 환경에서 작업할 때 파괴적인 작업을 막는 데 도움을 줍니다. careful mode, write freeze mode, guard mode를 통해 위험한 명령을 차단하고, 편집 범위를 한 디렉터리로 제한하며, 배포, 마이그레이션, 민감한 리포 작업 중 실수를 줄여 줍니다.

postgres-patterns는 쿼리 최적화, 스키마 설계, 인덱싱, Row Level Security, 연결 풀링을 위한 실용적인 PostgreSQL 빠른 참고용 스킬입니다. 일반적인 프롬프트 대신 간결한 모범 사례를 바탕으로 Database Engineering 워크플로가 더 빠르고 안정적인 판단을 내리도록 돕습니다.

perl-security는 더 안전한 입력 처리, taint mode, 셸 실행, DBI 플레이스홀더, 그리고 XSS, SQLi, CSRF 같은 웹 보안 이슈를 중심으로 Perl 코드를 검토하는 데 도움을 줍니다. 사용자 제어 데이터가 민감한 sink에 도달하는 Security Audit 작업, 개선 계획 수립, 보안 개발에 이 perl-security 스킬을 사용하세요.

llm-trading-agent-security는 지갑 권한을 가진 자율 거래 에이전트를 안전하게 보호하기 위한 실용 가이드입니다. 프롬프트 인젝션, 지출 한도, 전송 전 시뮬레이션, 서킷 브레이커, MEV를 고려한 실행, 키 분리를 다루며, Security Audit에서 금융 손실 위험을 줄이는 데 도움이 됩니다.

laravel-security는 인증, 권한 부여, 검증, CSRF, 대량 할당, 파일 업로드, 비밀 정보, 속도 제한, 보안 배포까지 다루는 실용적인 Laravel 보안 체크리스트입니다. Laravel 앱의 감사, 기능 검토, 보안 강화 작업에 활용할 수 있습니다.

hipaa-compliance는 의료 개인정보 보호와 보안 작업을 위한 HIPAA 전용 진입점입니다. 과제가 PHI, 적용 대상 기관, BAA, 침해 대응 상태, 또는 어떤 워크플로가 HIPAA 노출을 만들 수 있는지에 대해 직접 다뤄질 때 hipaa-compliance 스킬을 사용하세요. 빠른 규정 분류와 안내를 위한 얇은 오버레이입니다.

healthcare-phi-compliance는 데이터 모델, API, 로그, 접근 경로 전반에서 의료 앱의 PHI/PII 위험을 검토하도록 돕습니다. 데이터 분류, 접근 제어, 암호화, 감사 추적, 그리고 HIPAA, DISHA, GDPR 및 관련 보안 감사 요구사항에 대한 일반적인 유출 경로를 점검할 때 사용할 수 있습니다.

github-ops는 `gh` CLI를 사용해 이슈 분류, PR 관리, CI 실패 확인, 릴리스 준비, 저장소 상태 모니터링을 돕는 GitHub 운영 스킬입니다. 실제 저장소에서 반복 가능한 github-ops 사용이 필요하고, `gh auth login`으로 인증하며 명확한 저장소 컨텍스트를 유지해야 할 때 이 스킬을 사용하세요.

flutter-dart-code-review는 아키텍처, 위젯 품질, 상태 관리, 성능, 접근성, 보안, 클린 코드까지 아우르는 라이브러리 비종속 Flutter/Dart 코드 리뷰 체크리스트입니다. BLoC, Riverpod, Provider, GetX, MobX, Signals, 또는 커스텀 패턴 전반에서 Code Review용 구조화된 flutter-dart-code-review 가이드로 활용할 수 있습니다.

enterprise-agent-ops는 관측 가능성, 안전 제어, 변경 관리, 복구 계획을 갖춘 장기 운영형 또는 클라우드 호스팅 에이전트 시스템을 운영하는 데 도움을 줍니다. 일회성 프롬프트가 아니라, 에이전트 오케스트레이션을 위한 실용적인 가이드가 필요할 때 사용하세요.

docker-patterns는 로컬 개발, 네트워킹, 볼륨, 헬스 체크, 컨테이너 보안을 위한 Docker 및 Docker Compose 구성을 설계하고 검토하는 데 도움을 줍니다. 특히 Backend Development와 dev/prod 분리가 중요한 멀티서비스 스택에서 docker-patterns 가이드로 유용합니다.

django-security는 인증, 인가, CSRF, XSS, SQL 인젝션 방지, 보안 쿠키, 운영 환경 설정을 중심으로 Django 앱을 강화하는 실용 가이드입니다. 개발자와 리뷰어가 집중적인 보안 감사(Security Audit)를 수행하고, 위험한 설정을 빠르게 찾아내며, 배포 전에 구체적인 수정안을 적용하는 데 도움을 줍니다.

agent-payment-x402는 AI 에이전트가 MCP 도구, 지출 한도, 수취인 허용 목록, 비수탁형 지갑을 활용해 유료 API와 에이전트 오케스트레이션에서 x402 결제를 처리할 수 있도록 돕습니다.

code-reviewer는 코드나 diff를 보안, 성능, 베스트 프랙티스, 심각도, 영향 받은 라인 또는 섹션, 권장 수정안, 전체 품질 점수까지 담은 구조화된 보고서로 바꿔주는 가벼운 Code Review 스킬입니다.

code-reviewer는 보안, 성능, 정확성, 유지보수성 순서로 엄격하게 검토하는 AI 코드 리뷰 스킬입니다. SQL injection, XSS, N+1 queries, error handling, naming, type hints용 규칙 파일을 활용해, 일반적인 리뷰 프롬프트보다 PR 리뷰를 더 일관되게 수행할 수 있습니다.

cso는 에이전트를 위한 Chief Security Officer 스타일의 보안 감사 스킬입니다. 코드베이스와 워크플로에서 비밀 정보 노출, 의존성 및 공급망 리스크, CI/CD 보안, LLM/AI 보안을 OWASP Top 10과 STRIDE 기준으로 검토하는 데 도움을 줍니다. 신뢰도 게이트, 능동 검증, 추세 추적이 포함된 구조화된 Security Audit 리뷰에 cso를 사용하세요.

memory-safety-patterns는 C, C++, Rust 전반에서 RAII, ownership, smart pointers, 리소스 정리 패턴을 에이전트가 적용할 수 있도록 돕습니다. 백엔드나 시스템 코드를 검토할 때 활용해 메모리 누수와 dangling pointer를 줄이고, files, sockets, buffers, FFI boundaries 주변의 리팩터링을 더 안전하게 진행하도록 안내할 수 있습니다.

attack-tree-construction은 위협 모델링을 위해 루트 목표, AND/OR 분기, 검증 가능한 리프 공격을 갖춘 구조화된 공격 트리를 만드는 데 도움을 줍니다. 공격 경로를 매핑하고, 방어 공백을 드러내며, 보안 검토·테스트·완화 계획 수립을 지원할 때 유용합니다.

sast-configuration 스킬은 실제 SAST 워크플로에 맞춰 Semgrep, SonarQube, CodeQL을 구성하는 데 도움을 줍니다. 설치 단계 계획, CI/CD 연동, 커스텀 규칙, 품질 게이트, 오탐 조정을 포함해 Security Audit 및 저장소별 스캔 구성을 검토할 때 유용합니다.

security-requirement-extraction은 위협 모델과 비즈니스 맥락을 바탕으로 테스트 가능한 보안 요구사항, 사용자 스토리, 승인 기준, 그리고 Requirements Planning에 바로 활용할 수 있는 백로그 산출물로 정리해 주는 스킬입니다.

stride-analysis-patterns는 아키텍처, API, 데이터 흐름을 대상으로 구조화된 STRIDE 위협 모델링 검토를 수행하도록 에이전트를 돕는 스킬입니다. `wshobson/agents` 저장소에서 설치한 뒤 `SKILL.md`를 확인하면, 시스템 설명을 범주화된 위협과 통제 중심의 리뷰 결과로 정리하는 데 활용할 수 있습니다.