security-scan

por affaan-m

A skill security-scan audita sua configuração .claude/ do Claude Code em busca de segredos, configuração arriscada de MCP, instruções propensas a injeção, flags de bypass perigosas e definições fracas de agentes ou hooks, usando o AgentShield. Use-a para verificações de segurança repetíveis antes de fazer commit ou onboard.

Estrelas156.3k

Favoritos0

Comentários0

Adicionado15 de abr. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add affaan-m/everything-claude-code --skill security-scan

Pontuação editorial

Esta skill recebe 78/100, o que a torna uma boa candidata para usuários de diretório que querem uma auditoria focada da configuração do Claude Code. Ela oferece orientação de fluxo de trabalho concreta o bastante para instalar com confiança razoável, embora os usuários devam notar que depende de uma ferramenta externa e poderia ter um empacotamento de início rápido mais enxuto.

78/100

Pontos fortes

Cenários de ativação claros para projetos novos, mudanças de configuração, commits, onboarding e verificações periódicas.
Cobertura específica de varredura em CLAUDE.md, settings.json, mcp.json, hooks e agents/*.md, o que ajuda os agentes a entender exatamente o que inspecionar.
Orientação prática de uso com comandos de instalação e execução do AgentShield, além de verificações explícitas de segurança como segredos, padrões de injeção, servidores MCP arriscados e injeção de comandos.

Pontos de atenção

Exige que o AgentShield esteja instalado, então a skill não é totalmente autossuficiente.
Não há arquivos de suporte nem comando de instalação, o que pode deixar parte dos detalhes de configuração e execução por conta do usuário.

Claude Code Claude MCP Hooks Security Prompt Injection Agent Browser

Visão geral

Visão geral da skill security-scan

O que a security-scan faz

A skill security-scan audita a configuração .claude/ de um projeto do Claude Code em busca de riscos de segurança usando o AgentShield. Ela procura segredos expostos, configurações arriscadas de servidores MCP, instruções propensas a injection, flags perigosas de bypass e definições fracas de agents ou hooks.

Quem deve instalar

Use a skill security-scan se você mantém configs do Claude Code, revisa setups de agentes de IA ou precisa de uma checagem de segurança repetível antes de commitar mudanças. Ela é mais útil para donos de repositório, engenheiros de plataforma e qualquer pessoa que esteja entrando em um projeto existente com higiene desconhecida em .claude.

Por que isso importa na prática

Um prompt genérico pode deixar passar ameaças específicas da configuração. Esta skill foi feita para o trabalho real: decidir rapidamente se um setup do Claude Code está seguro o suficiente para confiar e identificar onde o risco está, para corrigir antes que ele se espalhe.

Como usar a skill security-scan

Instale e confirme a toolchain

Para security-scan install, adicione a skill pelo caminho do repositório no diretório:
npx skills add affaan-m/everything-claude-code --skill security-scan

Depois confirme que o AgentShield está disponível:
npx ecc-agentshield --version

Se necessário, instale globalmente com npm install -g ecc-agentshield, ou rode as scans diretamente com npx ecc-agentshield scan ..

Dê à skill a entrada certa

O security-scan usage funciona melhor quando você aponta para um workspace específico do Claude Code e descreve a mudança que está revisando. Uma boa entrada seria: “Scan this repo’s .claude/ folder after the new MCP server and hook updates, and flag any secret exposure, injection paths, or overbroad tool access.”

Leia os arquivos nesta ordem

Comece com SKILL.md e depois inspecione CLAUDE.md, .claude/settings.json, mcp.json, hooks/ e agents/*.md. Essa ordem acompanha a superfície de scan e ajuda você a relacionar os achados ao arquivo de configuração exato, em vez de tratar o resultado como um relatório genérico de segurança.

Use um ciclo de revisão, não uma execução única

Rode a scan antes do commit, depois de editar configs e durante o onboarding em um repositório. Para security-scan for Security Audit, foque em saber se cada achado altera o nível de confiança: segredos devem ser removidos, comandos arriscados devem ser restringidos e qualquer exposição a prompt injection deve ser reescrita como restrições explícitas.

Perguntas frequentes sobre a security-scan

A security-scan é só para usuários do Claude Code?

Sim. Esta skill foi construída em torno da configuração do Claude Code em .claude/, e não para scanning geral de segurança de aplicações nem para caça a vulnerabilidades no código-fonte.

O que a diferencia de um prompt normal?

Um prompt comum pode pedir uma revisão de segurança, mas security-scan codifica as superfícies exatas que devem ser verificadas: CLAUDE.md, settings, servidores MCP, hooks e arquivos de agents. Isso a torna melhor para revisões repetíveis e menos dependente de o modelo adivinhar o que “segurança” significa.

Ela é amigável para iniciantes?

Sim, desde que você consiga identificar os arquivos de configuração do Claude Code no repositório. A principal limitação é que ela pressupõe que você consiga agir sobre os achados, como interpolação insegura de shell, allow lists permissivas ou segredos expostos.

Quando não devo usá-la?

Não use security-scan como substituta de testes de vulnerabilidade da aplicação, auditoria de dependências ou scanning de segredos em todo o codebase. Ela é mais indicada quando a pergunta de segurança é especificamente sobre a configuração do Claude Code.

Como melhorar a skill security-scan

Deixe o escopo da scan explícito

Os melhores resultados da security-scan vêm de nomear o diretório, branch ou mudança de configuração exatos. “Scan .claude/” é útil; “review my repo” é amplo demais e aumenta a chance de achados rasos.

Informe a mudança que mais te preocupa

Diga à skill o que mudou: um novo servidor MCP, um hook alterado, um novo agent ou um ajuste de settings. Isso ajuda a priorizar o modo de falha mais provável, em vez de relatar tudo com o mesmo peso.

Peça saída pronta para decisão

Se você quer uma melhor security-scan usage, solicite achados em um formato orientado a correção: arquivo, risco, por que isso importa e a menor mudança segura. Isso reduz a ambiguidade e facilita corrigir configs sem exagerar na resposta.

Itere depois da primeira passagem

Depois da primeira execução, rode novamente apenas nos arquivos que você alterou. Para um security-scan guide que melhora ao longo do tempo, trate cada achado como um convite para apertar allow lists, remover instruções arriscadas ou simplificar hooks antes da próxima revisão.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices é uma skill de otimização de Supabase Postgres para ajuste de consultas, indexação, design de schema, desempenho de RLS, locking e gerenciamento de conexões.

Database Engineering

Favoritos 0GitHub 1.7k

audit-website

por squirrelscan

A skill audit-website usa a CLI squirrel para auditar sites e aplicações web com mais de 230 regras de SEO, aspectos técnicos, conteúdo, performance, segurança, links e saúde do site, retornando relatórios acionáveis prontos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply é uma skill de testes de conformidade que verifica se um agente segue uma skill, regra ou definição de agente em execuções reais. Ela gera especificações a partir de markdown, executa três níveis de rigor de prompt, classifica linhas do tempo de chamadas de ferramentas e reporta taxas de conformidade com evidências. Útil para skill-comply para Revisão de Conformidade.

Compliance Review

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

A skill perl-security ajuda você a revisar código Perl com foco em tratamento seguro de entradas, taint mode, execução de shell, placeholders do DBI e problemas de segurança web como XSS, SQLi e CSRF. Use esta skill perl-security para trabalho de auditoria de segurança, planejamento de correções e desenvolvimento seguro quando dados controlados pelo usuário chegarem a pontos sensíveis.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

A skill laravel-security é um checklist prático de segurança em Laravel para authn/authz, validação, CSRF, mass assignment, upload de arquivos, secrets, limitação de taxa e deploy seguro. Use-a em auditorias, revisões de funcionalidades e trabalhos de hardening em apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness é um harness de avaliação de segurança do paciente para implantações de apps de saúde. Ele ajuda equipes a verificar a precisão de CDSS, exposição de PHI, integridade dos dados, comportamento do fluxo clínico e conformidade de integração antes do release. Falhas críticas bloqueiam a implantação, tornando o healthcare-eval-harness útil para Avaliação de Modelo e gates de segurança em CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops é uma skill de operações no GitHub para triagem de issues, gerenciamento de PRs, verificação de falhas de CI, preparação de releases e monitoramento da saúde do repositório com a CLI `gh`. Use a skill github-ops quando precisar de um uso repetível do github-ops em um repositório real, com autenticação via `gh auth login` e contexto claro do repositório.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit é uma skill de auditoria baseada em evidências para picos de custo no ECC Tools, criação descontrolada de PRs, bypass de quota, vazamento de modelo premium e jobs duplicados. Use em investigações de Backend Development que rastreiam uma requisição do webhook ao worker e à decisão de cobrança, para provar onde o gasto está sendo gerado.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

A skill defi-amm-security é uma checklist de segurança focada em AMMs em Solidity, pools de liquidez, vaults de LP e fluxos de swap. Ela ajuda auditores e engenheiros a revisar reentrância, ordenação CEI, ataques de doação ou inflação, premissas de oracle, slippage, controles administrativos e matemática inteira com menos tentativa e erro do que um prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k

code-reviewer

por Shubhamsaboo

code-reviewer é uma skill de revisão de código com IA que segue uma ordem rígida de análise: security, performance, correctness e maintainability. Ela usa arquivos de regras para SQL injection, XSS, consultas N+1, tratamento de erros, naming e type hints, tornando a revisão de PRs mais consistente do que um prompt genérico de review.

Code Review

Favoritos 0GitHub 104.2k

stride-analysis-patterns

por wshobson

stride-analysis-patterns ajuda agentes a executar uma análise estruturada de modelagem de ameaças STRIDE para arquiteturas, APIs e fluxos de dados. Instale a partir do repositório wshobson/agents, leia o arquivo SKILL.md e use a skill para transformar descrições de sistemas em ameaças categorizadas e revisões focadas em controles.

Threat Modeling

Favoritos 0GitHub 32.6k

anti-reversing-techniques

por wshobson

anti-reversing-techniques é uma skill de engenharia reversa voltada para análise autorizada de malware, desafios de CTF, triagem de binários empacotados e auditorias de segurança. Ela ajuda a identificar padrões de anti-debugging, anti-VM, empacotamento e ofuscação, além de orientar a escolha de um fluxo de análise prático com base na skill principal e na referência avançada.

Security Audit

Favoritos 0GitHub 32.6k

k8s-security-policies

por wshobson

k8s-security-policies ajuda equipes a elaborar NetworkPolicy do Kubernetes, rótulos de Pod Security Standards e padrões de RBAC com templates e referências versionados no repositório, apoiando hardening e um planejamento de rollout pronto para auditoria.

Security Audit

Favoritos 0GitHub 32.6k

security

por markdown-viewer

A skill security cria diagramas de arquitetura de segurança em PlantUML com stencils da AWS para identidade, criptografia, firewall, conformidade e detecção de ameaças. Use-a para fluxos de IAM, designs zero trust, pipelines de criptografia, diagramas de Security Audit e documentação pronta para revisão. Ela não foi feita para infraestrutura de nuvem genérica nem para modelagem UML ampla.

Security Audit

Favoritos 0GitHub 1.1k