algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner é uma skill de auditoria de segurança para Algorand TEAL e PyTeal. Ela ajuda a identificar 11 problemas comuns, incluindo ataques de rekeying, lacunas na validação de taxas, checagens de campos e falhas de controle de acesso. Use a skill algorand-vulnerability-scanner para uma revisão prática inicial antes de uma auditoria manual.

Estrelas4.9k

Favoritos0

Comentários0

Adicionado30 de abr. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add trailofbits/skills --skill algorand-vulnerability-scanner

Pontuação editorial

Esta skill alcançou 84/100, o que a coloca como uma boa candidata para o diretório quando o usuário precisa de um scanner de segurança específico para Algorand. O repositório oferece estrutura, gatilhos e cobertura de vulnerabilidades suficientes para que um agente a aplique com menos improviso do que um prompt genérico, embora a adoção ainda se beneficie de instruções de execução mais explícitas e de detalhes de integração com ferramentas.

84/100

Pontos fortes

Escopo de gatilho claro e específico para auditorias em TEAL/PyTeal, checagens pré-auditoria e validação de correções em contratos Algorand.
Conteúdo operacional consistente: 11 padrões de vulnerabilidade, padrões de detecção e orientações de mitigação na checklist complementar.
Boa profundidade de repositório para uso por agentes, com múltiplos headings, fences de código e referências ao Tealer, além de marcadores de repositório/arquivo.

Pontos de atenção

Não há comando de instalação nem scripts executáveis, então o usuário pode precisar inferir como operacionalizar o fluxo.
As evidências são mais focadas em documentação do que em automação, o que pode limitar a repetibilidade para agentes que buscam execução pronta para uso.

Algorand Smart Contracts Security Vulnerability Discovery Audit Tealer Pyteal

Visão geral

Visão geral da skill algorand-vulnerability-scanner

algorand-vulnerability-scanner é uma skill de auditoria de segurança focada em smart contracts do Algorand em TEAL e PyTeal. Ela ajuda a detectar erros específicos da plataforma que uma revisão genérica de código costuma deixar passar, especialmente em validação de transações, rekeying, fees e lógica de aplicações stateful. Use a skill algorand-vulnerability-scanner quando precisar de uma triagem prática de segurança antes de uma auditoria manual ou ao validar uma correção contra padrões de ataque conhecidos do Algorand.

Para quem esta skill é indicada

Melhor encaixe: auditores, engenheiros de smart contracts e times de segurança que revisam projetos no Algorand. Ela é mais útil quando a base de código inclui arquivos .teal, imports de PyTeal, apps baseadas em Beaker ou lógica com muitas transações que depende de Txn, Gtxn, Global ou InnerTxnBuilder.

No que ela é boa

A skill foi construída em torno de 11 padrões comuns de vulnerabilidade no Algorand, então ela é mais forte em detecção específica da plataforma do que em revisão ampla de arquitetura. Isso a torna uma boa escolha para encontrar problemas como ausência de checagens de RekeyTo, suposições inseguras sobre transações e validação fraca de campos.

Quando não confiar só nela

Ela não é uma auditoria completa e não substitui conhecimento de protocolo, raciocínio sobre invariantes ou uma segunda revisão humana. Se seu contrato depende de grupos de transações incomuns, lógica de autorização customizada ou fluxos complexos entre contratos, trate a saída como uma checklist de segurança, não como um veredito final.

Como usar a skill algorand-vulnerability-scanner

Instale e carregue a skill

Para a etapa de instalação da algorand-vulnerability-scanner, adicione-a a partir do repositório de skills da Trail of Bits e então abra os arquivos da skill no contexto:

npx skills add trailofbits/skills --skill algorand-vulnerability-scanner

Depois de instalar, leia primeiro as instruções da skill e, em seguida, use a referência de padrões de apoio para entender o que o scanner realmente está procurando.

Comece pelos arquivos certos

Leia primeiro estes arquivos:

SKILL.md para escopo, fluxo de trabalho e detecção da plataforma
resources/VULNERABILITY_PATTERNS.md para a checklist dos 11 padrões e exemplos concretos de vulnerável/seguro

Essa combinação importa porque SKILL.md diz quando usar a skill, enquanto resources/VULNERABILITY_PATTERNS.md mostra as verificações específicas que você deve esperar em um fluxo de uso da algorand-vulnerability-scanner.

Dê à skill um prompt com formato de segurança

Os melhores resultados vêm de um prompt que nomeia o tipo de contrato, a superfície de código e o objetivo da revisão. Um bom input é específico sobre se você está auditando um arquivo isolado, um app inteiro ou uma correção.

Exemplo de prompt:

Revise este approval program em PyTeal para Algorand em busca de problemas de segurança. Foque em rekeying, validação de fees, suposições sobre grupos de transações e controle de acesso. Aponte linhas ou padrões concretos que correspondam à checklist da algorand-vulnerability-scanner e explique o caminho de exploração.

Se você já souber a preocupação, diga isso:

Audite este smart signature em TEAL para exposição de fees sem checagem e validação ausente do sender. Priorize problemas que possam drenar fundos ou permitir execução não autorizada.

Fluxo de trabalho que gera uma saída melhor

Identifique se o alvo é TEAL, PyTeal, um smart signature ou um app stateful.
Confirme que o código contém os marcadores do Algorand que a skill espera, como Txn, Gtxn, Global ou InnerTxnBuilder.
Peça uma revisão em formato de checklist ligada aos padrões de vulnerabilidade, e não uma crítica genérica de código.
Se aparecer um achado, rode o prompt de novo com a função exata ou o grupo de transações que implementa o caminho de risco.

Perguntas frequentes da skill algorand-vulnerability-scanner

Ela substitui uma auditoria completa de segurança?

Não. A skill algorand-vulnerability-scanner funciona melhor como ferramenta de pré-auditoria e triagem de alto sinal. Ela ajuda a destacar rapidamente classes conhecidas de bugs no Algorand, mas não prova que o contrato é seguro.

Ela é útil para iniciantes?

Sim, se o objetivo for entender o que vale inspecionar em código do Algorand. A lista de padrões pode ensinar o que “seguro” costuma significar nesse ecossistema, especialmente em torno de RekeyTo, fees e transações agrupadas.

Em que ela é diferente de um prompt normal?

Um prompt comum pode gerar aconselhamento genérico de revisão de código. Esta skill é ancorada em padrões de vulnerabilidade específicos do Algorand, então ela é melhor para apontar os campos exatos de transação e os comportamentos do contrato que importam para o trabalho de auditoria de segurança.

Quando esta skill é uma má escolha?

Evite-a se você não estiver revisando contratos do Algorand, se o repositório não tiver lógica em TEAL/PyTeal ou se você só precisar de uma explicação superficial sobre o que um contrato faz. Ela também é uma opção fraca para tarefas não relacionadas à segurança, como desenho de produto ou revisão de UX.

Como melhorar a skill algorand-vulnerability-scanner

Traga o contexto do contrato logo de início

O maior ganho de qualidade vem de dizer que tipo de contrato você está revisando e qual modelo de execução ele usa. Por exemplo, informe se a lógica é um smart signature, uma aplicação stateful ou um fluxo de transações agrupadas. Isso ajuda a skill algorand-vulnerability-scanner a priorizar as verificações certas.

Compartilhe a pergunta de segurança exata

Não peça apenas “uma revisão” se você já sabe qual é a área de risco. Pedidos mais fortes produzem achados mais precisos:

“Verifique se há rekeying sem proteção em todos os fluxos de pagamento.”
“Procure caps de fee ausentes neste smart signature.”
“Confirme se chamadas agrupadas não podem contornar a autorização por meio da ordem de Gtxn.”

Inclua o trecho de código relevante

Se possível, forneça o approval program, a função suspeita ou o branch de tratamento de transações em vez do repositório inteiro. A skill algorand-vulnerability-scanner é mais eficaz quando consegue inspecionar a lógica exata que decide quem pode chamar o quê, com quais campos e em que ordem.

Itere a partir da primeira passada

Se a saída vier ampla demais, peça uma segunda passada restrita a uma classe de vulnerabilidade, um ponto de entrada ou um grupo de transações. Se vier estreita demais, solicite verificações adjacentes da lista de padrões, especialmente em torno de rekeying, campos de transação e validação de estado.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices é uma skill de otimização de Supabase Postgres para ajuste de consultas, indexação, design de schema, desempenho de RLS, locking e gerenciamento de conexões.

Database Engineering

Favoritos 0GitHub 1.7k

token-integration-analyzer

por trailofbits

token-integration-analyzer é uma skill de revisão de segurança para implementações de tokens e integrações de tokens. Ela verifica conformidade com ERC20/ERC721, padrões de tokens incomuns, privilégios do owner, escassez e tratamento não padrão de tokens para fluxos de trabalho de Security Audit. Use o guia do token-integration-analyzer para reduzir suposições e avaliar o risco de compatibilidade.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

O cosmos-vulnerability-scanner encontra bugs críticos para o consenso em módulos do Cosmos SDK, contratos CosmWasm, integrações IBC e stacks Cosmos EVM. Use este guia do cosmos-vulnerability-scanner em fluxos de auditoria de segurança, análise de risco de paralisação da cadeia, caminhos de perda de fundos e revisões pré-lançamento.

Security Audit

Favoritos 0GitHub 4.9k

audit-website

por squirrelscan

A skill audit-website usa a CLI squirrel para auditar sites e aplicações web com mais de 230 regras de SEO, aspectos técnicos, conteúdo, performance, segurança, links e saúde do site, retornando relatórios acionáveis prontos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply é uma skill de testes de conformidade que verifica se um agente segue uma skill, regra ou definição de agente em execuções reais. Ela gera especificações a partir de markdown, executa três níveis de rigor de prompt, classifica linhas do tempo de chamadas de ferramentas e reporta taxas de conformidade com evidências. Útil para skill-comply para Revisão de Conformidade.

Compliance Review

Favoritos 0GitHub 156.3k

security-scan

por affaan-m

A skill security-scan audita sua configuração .claude/ do Claude Code em busca de segredos, configuração arriscada de MCP, instruções propensas a injeção, flags de bypass perigosas e definições fracas de agentes ou hooks, usando o AgentShield. Use-a para verificações de segurança repetíveis antes de fazer commit ou onboard.

Security Audit

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

A skill perl-security ajuda você a revisar código Perl com foco em tratamento seguro de entradas, taint mode, execução de shell, placeholders do DBI e problemas de segurança web como XSS, SQLi e CSRF. Use esta skill perl-security para trabalho de auditoria de segurança, planejamento de correções e desenvolvimento seguro quando dados controlados pelo usuário chegarem a pontos sensíveis.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

A skill laravel-security é um checklist prático de segurança em Laravel para authn/authz, validação, CSRF, mass assignment, upload de arquivos, secrets, limitação de taxa e deploy seguro. Use-a em auditorias, revisões de funcionalidades e trabalhos de hardening em apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness é um harness de avaliação de segurança do paciente para implantações de apps de saúde. Ele ajuda equipes a verificar a precisão de CDSS, exposição de PHI, integridade dos dados, comportamento do fluxo clínico e conformidade de integração antes do release. Falhas críticas bloqueiam a implantação, tornando o healthcare-eval-harness útil para Avaliação de Modelo e gates de segurança em CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops é uma skill de operações no GitHub para triagem de issues, gerenciamento de PRs, verificação de falhas de CI, preparação de releases e monitoramento da saúde do repositório com a CLI `gh`. Use a skill github-ops quando precisar de um uso repetível do github-ops em um repositório real, com autenticação via `gh auth login` e contexto claro do repositório.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit é uma skill de auditoria baseada em evidências para picos de custo no ECC Tools, criação descontrolada de PRs, bypass de quota, vazamento de modelo premium e jobs duplicados. Use em investigações de Backend Development que rastreiam uma requisição do webhook ao worker e à decisão de cobrança, para provar onde o gasto está sendo gerado.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

A skill defi-amm-security é uma checklist de segurança focada em AMMs em Solidity, pools de liquidez, vaults de LP e fluxos de swap. Ela ajuda auditores e engenheiros a revisar reentrância, ordenação CEI, ataques de doação ou inflação, premissas de oracle, slippage, controles administrativos e matemática inteira com menos tentativa e erro do que um prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k