wycheproof

por trailofbits

A skill wycheproof ajuda a validar implementações criptográficas com vetores de teste do Wycheproof, com foco em ataques conhecidos, casos de borda e decisões de aprovação/reprovação em fluxos de trabalho de auditoria de segurança. Use-a para inspecionar AES-GCM, ECDSA, ECDH, RSA e primitivos relacionados com bem menos tentativa e erro do que um prompt genérico sobre criptografia.

Estrelas0

Favoritos0

Comentários0

Adicionado7 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add trailofbits/skills --skill wycheproof

Pontuação editorial

Esta skill recebe nota 78/100, o que a torna uma boa candidata para usuários de diretório. O repositório traz conteúdo suficiente de fluxo real para ajudar um agente a entender quando usar o Wycheproof e aplicá-lo a tarefas de teste de criptografia com menos adivinhação do que um prompt genérico, embora faltem alguns recursos de adoção, como comando de instalação ou arquivos de suporte.

78/100

Pontos fortes

Gatilho e escopo claros para validação criptográfica: o frontmatter indica uso para testar código de criptografia contra ataques conhecidos e casos de borda.
Conteúdo operacional substancial: o corpo é amplo e estruturado, com muitas headings, seções de fluxo e fences de código, o que dá ao agente material suficiente para seguir.
Valor de domínio concreto: explica conceitos-chave como vetores de teste, grupos de teste e flags de resultado, o que aumenta a capacidade do agente em testes de implementação.

Pontos de atenção

Não há comando de instalação nem scripts/recursos auxiliares, então o usuário pode precisar configurar por conta própria a invocação e a execução.
A descrição é concisa e há poucos arquivos de suporte, então parte da configuração e da integração específicas do ambiente ainda pode exigir interpretação manual.

Testing Crypto Cryptography Security Validation Google

Visão geral

Visão geral do skill wycheproof

Para que serve o wycheproof

O skill wycheproof ajuda você a usar vetores de teste do Wycheproof para validar implementações criptográficas contra casos-limite conhecidos e padrões de ataque. Ele é ideal para um fluxo de trabalho de Security Audit quando você precisa verificar se uma biblioteca, serviço ou produto aceita as entradas corretas, rejeita as erradas e falha com segurança em casos ambíguos.

Quem deve instalá-lo

Instale o skill wycheproof se você faz auditoria de código criptográfico, mantém uma aplicação sensível a segurança ou precisa de uma forma repetível de testar primitivas como AES-GCM, ECDSA, ECDH ou RSA. Ele é especialmente útil quando um prompt rápido não basta porque o modo de falha é sutil: o código pode até “funcionar” em exemplos do caminho feliz e ainda assim estar vulnerável.

O que o torna diferente

Wycheproof não é um tutorial geral de criptografia. O valor do skill wycheproof está em focar em entradas sabidamente problemáticas, grupos de teste estruturados e resultados de aprovado/reprovado/aceitável. Isso o torna mais útil do que um prompt genérico de “teste minha criptografia” quando você precisa de resultados confiáveis para uma revisão ou correção.

Como usar o skill wycheproof

Instale e inspecione o skill

Use o fluxo de instalação do wycheproof no seu gerenciador de skills e, em seguida, abra primeiro SKILL.md. Neste repo, SKILL.md é o único arquivo de apoio, então não existe uma camada separada de scripts ou regras para aprender. Isso significa que sua principal tarefa é extrair o fluxo de trabalho, as categorias de teste e as restrições diretamente do corpo do skill.

Transforme um objetivo vago em um prompt útil

O uso do wycheproof funciona melhor quando você informa logo de início a primitiva criptográfica, a linguagem da implementação e o objetivo do teste. Um pedido fraco é: “Cheque meu código de crypto.” Um pedido mais forte é: “Use o skill wycheproof para testar nosso verificador ECDSA em Java contra assinaturas malformadas e casos-limite; informe quais vetores devem passar, falhar ou ser tratados como aceitáveis pela nossa política.”

Comece com as entradas certas

Para obter os melhores resultados, inclua:

o algoritmo ou protocolo
a linguagem ou biblioteca
o que conta como sucesso no seu ambiente
se você quer teste de regressão, apoio a auditoria ou triagem de um caso com falha
quaisquer restrições, como modo FIPS, compatibilidade legada ou limites da plataforma

Esses detalhes importam porque a saída do wycheproof muda dependendo de você estar validando rejeição estrita, comportamento de compatibilidade ou uma lista conhecida de exceções.

Leia o fluxo na ordem certa

Um guia prático de wycheproof deve ser lido nesta ordem: contexto, conceitos principais, quando usar e, depois, as seções de fluxo de teste. Se você estiver usando para uma Security Audit, preste atenção especial em como o skill distingue vetores válidos de inválidos ou aceitáveis, porque essa classificação é o que mais evita conclusões falsas.

FAQ do skill wycheproof

O wycheproof é só para auditorias de segurança?

Não. O skill wycheproof é valioso para auditorias, mas também é útil durante a implementação e os testes de regressão. Se você distribui criptografia, esse skill ajuda a detectar problemas antes que virem achados de auditoria.

Preciso ser especialista em criptografia antes?

Não, mas você precisa de contexto suficiente para nomear a primitiva e descrever o comportamento esperado. Se você não consegue dizer se um vetor deve passar, falhar ou ser aceito sob uma regra de compatibilidade, a saída será menos acionável.

Como isso é diferente de um prompt comum?

Um prompt comum pode gerar uma checklist genérica. O skill wycheproof é melhor quando você precisa de raciocínio estruturado sobre vetores de teste e cobertura de casos-limite. Ele reduz o chute ao ancorar a tarefa em padrões de ataque conhecidos, em vez de conselhos amplos.

Quando não devo usá-lo?

Não use o wycheproof se você estiver tentando projetar um protocolo criptográfico do zero ou explicar criptografia em alto nível. Ele serve para validação e testes, não para ensino teórico nem arquitetura de produto.

Como melhorar o skill wycheproof

Dê ao skill o alvo criptográfico exato

O maior ganho de qualidade vem de nomear a primitiva, a implementação e o modo de falha. Por exemplo, “verificador RSA-PSS em Python cryptography, falhando em certos comprimentos de salt” é muito melhor do que “meu código de assinatura está quebrado”. Quanto mais exato for o alvo, mais fácil fica mapear os vetores corretos do Wycheproof.

Declare sua política de aceitação cedo

Um modo de falha comum no trabalho com wycheproof é misturar correção de segurança com compatibilidade de produto. Diga se você quer rejeição estrita de vetores inválidos, compatibilidade com entradas legadas ou uma allowlist documentada. Essa distinção muda o resultado e evita idas e voltas desnecessárias depois da primeira rodada.

Itere na classe de vetores, não só no bug

Se a primeira saída encontrar uma falha, refine o próximo pedido solicitando casos adjacentes: tamanhos de chave próximos, codificações malformadas, entradas truncadas ou valores de limite do mesmo grupo de teste. Isso costuma ser mais útil do que pedir uma nova execução genérica, porque a força do Wycheproof está na cobertura de famílias de casos-limite.

Use a saída para alimentar testes de regressão

Depois de confirmar um achado, converta o caso com falha em um teste permanente na sua própria suíte. O skill wycheproof é mais valioso quando produz uma trilha de auditoria de segurança durável: qual vetor falhou, por que falhou e qual condição deve ser imposta nas próximas versões.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner é uma skill de auditoria de segurança para Algorand TEAL e PyTeal. Ela ajuda a identificar 11 problemas comuns, incluindo ataques de rekeying, lacunas na validação de taxas, checagens de campos e falhas de controle de acesso. Use a skill algorand-vulnerability-scanner para uma revisão prática inicial antes de uma auditoria manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices é uma skill de otimização de Supabase Postgres para ajuste de consultas, indexação, design de schema, desempenho de RLS, locking e gerenciamento de conexões.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id é uma skill de prévia do Microsoft Entra Agent ID para equipes de desenvolvimento backend que constroem identidades de agentes de IA compatíveis com OAuth2 usando Graph beta. Cobre configuração de blueprint, Blueprint principals, identidades de agente, permissões, sponsors, federação de identidade de workload e autenticação baseada em sidecar. Use para entender a instalação, o uso e as restrições de rollout do entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer é uma skill de revisão de segurança para implementações de tokens e integrações de tokens. Ela verifica conformidade com ERC20/ERC721, padrões de tokens incomuns, privilégios do owner, escassez e tratamento não padrão de tokens para fluxos de trabalho de Security Audit. Use o guia do token-integration-analyzer para reduzir suposições e avaliar o risco de compatibilidade.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

O cosmos-vulnerability-scanner encontra bugs críticos para o consenso em módulos do Cosmos SDK, contratos CosmWasm, integrações IBC e stacks Cosmos EVM. Use este guia do cosmos-vulnerability-scanner em fluxos de auditoria de segurança, análise de risco de paralisação da cadeia, caminhos de perda de fundos e revisões pré-lançamento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy é uma skill de fuzzing em Ruby guiada por cobertura, voltada para testar código Ruby puro e extensões C para Ruby. Use o guia do ruzzy para configurar um ambiente Linux compatível, verificar a integração com sanitizers e montar fluxos de trabalho práticos de fuzzing para tarefas de Security Audit.

Security Audit

Favoritos 0GitHub 5k