Security

A skill security-scan audita sua configuração .claude/ do Claude Code em busca de segredos, configuração arriscada de MCP, instruções propensas a injeção, flags de bypass perigosas e definições fracas de agentes ou hooks, usando o AgentShield. Use-a para verificações de segurança repetíveis antes de fazer commit ou onboard.

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

A security-bounty-hunter ajuda você a encontrar vulnerabilidades que valem recompensa em repositórios, com foco em problemas acessíveis remotamente e controlados pelo usuário, que têm mais chance de passar pela triagem. Use para trabalhos de Security Audit quando quiser achados práticos e reportáveis, em vez de preocupações locais que geram ruído.

safety-guard ajuda a evitar operações destrutivas quando agentes trabalham de forma autônoma ou em sistemas de produção. Ele adiciona os modos careful, write freeze e guard para bloquear comandos arriscados, limitar edições a um único diretório e reduzir erros durante deploys, migrations e trabalhos sensíveis em repositórios.

postgres-patterns é um skill prático de referência rápida em PostgreSQL para otimização de consultas, modelagem de schema, indexação, Row Level Security e pooling de conexões. Ele ajuda fluxos de trabalho de engenharia de banco de dados a tomar decisões mais rápidas e confiáveis usando boas práticas compactas, em vez de um prompt genérico.

A skill perl-security ajuda você a revisar código Perl com foco em tratamento seguro de entradas, taint mode, execução de shell, placeholders do DBI e problemas de segurança web como XSS, SQLi e CSRF. Use esta skill perl-security para trabalho de auditoria de segurança, planejamento de correções e desenvolvimento seguro quando dados controlados pelo usuário chegarem a pontos sensíveis.

llm-trading-agent-security é um guia prático para proteger agentes autônomos de trading com autoridade sobre carteiras. Ele aborda prompt injection, limites de gasto, simulação antes do envio, circuit breakers, execução ciente de MEV e isolamento de chaves para reduzir o risco de perdas financeiras em uma Security Audit.

A skill laravel-security é um checklist prático de segurança em Laravel para authn/authz, validação, CSRF, mass assignment, upload de arquivos, secrets, limitação de taxa e deploy seguro. Use-a em auditorias, revisões de funcionalidades e trabalhos de hardening em apps Laravel.

hipaa-compliance é o ponto de entrada específico para HIPAA em tarefas de privacidade e segurança na saúde. Use o skill hipaa-compliance quando a demanda for explicitamente sobre PHI, covered entities, BAAs, postura diante de incidentes de vazamento ou se um fluxo de trabalho cria exposição à HIPAA. É uma camada leve para triagem rápida de conformidade e orientação.

A skill healthcare-phi-compliance ajuda a revisar apps de saúde em busca de riscos de PHI/PII em modelos de dados, APIs, logs e caminhos de acesso. Use-a para verificar classificação de dados, controle de acesso, criptografia, trilhas de auditoria e vetores comuns de vazamento em necessidades de auditoria de segurança como HIPAA, DISHA, GDPR e afins.

github-ops é uma skill de operações no GitHub para triagem de issues, gerenciamento de PRs, verificação de falhas de CI, preparação de releases e monitoramento da saúde do repositório com a CLI `gh`. Use a skill github-ops quando precisar de um uso repetível do github-ops em um repositório real, com autenticação via `gh auth login` e contexto claro do repositório.

flutter-dart-code-review é uma checklist agnóstica de biblioteca para code review em Flutter e Dart, cobrindo arquitetura, qualidade de widgets, gerenciamento de estado, performance, acessibilidade, segurança e código limpo. Use como um guia estruturado de flutter-dart-code-review para Code Review em BLoC, Riverpod, Provider, GetX, MobX, Signals ou padrões personalizados.

A enterprise-agent-ops ajuda você a operar sistemas de agentes de longa duração ou hospedados na nuvem com observabilidade, controles de segurança, gestão de mudanças e planejamento de recuperação. Use-a quando precisar de um guia prático para orquestração de agentes, e não de um prompt único.

docker-patterns ajuda você a projetar e revisar configurações de Docker e Docker Compose para desenvolvimento local, networking, volumes, health checks e segurança de containers. É especialmente útil como guia docker-patterns para Backend Development e stacks multi-serviço em que a separação entre dev e prod faz diferença.

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

agent-payment-x402 ajuda agentes de IA a lidar com pagamentos x402 usando ferramentas MCP, limites de gasto, listas de destinatários permitidos e carteiras non-custodial para APIs pagas e orquestração de agentes.

code-reviewer é uma skill leve para Code Review que transforma código ou diffs em um relatório estruturado, cobrindo segurança, desempenho, boas práticas, severidade, linhas ou seções afetadas, correções recomendadas e uma pontuação geral de qualidade.

code-reviewer é uma skill de revisão de código com IA que segue uma ordem rígida de análise: security, performance, correctness e maintainability. Ela usa arquivos de regras para SQL injection, XSS, consultas N+1, tratamento de erros, naming e type hints, tornando a revisão de PRs mais consistente do que um prompt genérico de review.

cso é uma skill de auditoria de segurança no estilo Chief Security Officer para agentes. Ela ajuda a revisar codebases e fluxos de trabalho em busca de exposição de segredos, risco de dependências e cadeia de suprimentos, segurança de CI/CD e segurança de LLM/IA usando OWASP Top 10 e STRIDE. Use cso para revisões estruturadas de Security Audit com gates de confiança, verificação ativa e acompanhamento de tendências.

memory-safety-patterns ajuda agentes a aplicar RAII, ownership, smart pointers e limpeza de recursos em C, C++ e Rust. Use para revisar código de backend ou de sistemas, reduzir vazamentos e dangling pointers, e orientar refatorações mais seguras em arquivos, sockets, buffers e limites de FFI.

attack-tree-construction ajuda a criar árvores de ataque estruturadas para Threat Modeling, com objetivos-raiz claros, ramificações AND/OR e ataques-folha testáveis. Use para mapear caminhos de ataque, identificar lacunas de defesa e apoiar revisões de segurança, testes e planejamento de mitigação.

A skill sast-configuration ajuda a configurar Semgrep, SonarQube e CodeQL para fluxos reais de SAST. Use-a para planejar etapas de instalação, integração com CI/CD, regras personalizadas, quality gates e ajuste de falsos positivos em Security Audit e varredura específica por repositório.

security-requirement-extraction transforma modelos de ameaça e contexto de negócio em requisitos de segurança testáveis, histórias de usuário, critérios de aceitação e entregas prontas para backlog no planejamento de requisitos.

stride-analysis-patterns ajuda agentes a executar uma análise estruturada de modelagem de ameaças STRIDE para arquiteturas, APIs e fluxos de dados. Instale a partir do repositório wshobson/agents, leia o arquivo SKILL.md e use a skill para transformar descrições de sistemas em ameaças categorizadas e revisões focadas em controles.