Security Audit

springboot-security là một hướng dẫn bảo mật Spring Boot thực tiễn cho xác thực, phân quyền, validation, CSRF/CORS, secrets, headers, rate limiting và kiểm tra dependency. Dùng skill springboot-security cho công việc Security Audit hoặc để harden một dịch vụ Java với rủi ro cấu hình sai bảo mật thấp hơn.

skill-comply là một skill kiểm thử tuân thủ, dùng để kiểm tra liệu một agent có thực sự làm theo một skill, rule hoặc agent definition trong các lần chạy thực tế hay không. Skill này tạo spec từ markdown, chạy 3 mức độ nghiêm ngặt của prompt, phân loại timeline tool-call và báo cáo tỷ lệ tuân thủ kèm bằng chứng. Hữu ích cho skill-comply trong rà soát tuân thủ.

Kỹ năng security-scan kiểm tra cấu hình .claude/ của Claude Code để phát hiện bí mật bị lộ, thiết lập MCP rủi ro, hướng dẫn dễ bị chèn lệnh, các cờ bypass nguy hiểm, và định nghĩa agent hoặc hook yếu bằng AgentShield. Dùng nó để kiểm tra bảo mật lặp lại được trước khi commit hoặc onboard.

Dùng skill security-review để rà soát auth, đầu vào người dùng, secrets, APIs, thanh toán, uploads và các luồng nhạy cảm khác. Skill này cung cấp một hướng dẫn security-review thực tế với các kiểm tra pass/fail rõ ràng, ví dụ về mẫu thiết kế rủi ro, và quy trình tập trung để phát hiện các lỗi phổ biến trước khi phát hành.

security-bounty-hunter giúp bạn tìm các lỗ hổng xứng đáng nhận bounty trong repository, tập trung vào những vấn đề có thể truy cập từ xa, do người dùng kiểm soát và có khả năng vượt qua khâu triage. Hãy dùng skill này cho công việc Security Audit khi bạn cần các phát hiện thực tế, có thể báo cáo được thay vì những mối lo cục bộ nhưng nhiễu.

repo-scan là một skill kiểm tra source đa nền tảng, có khả năng phân loại file, phát hiện thư viện bên thứ ba được nhúng, và giúp bạn đánh giá phần nào là lõi, phần nào bị lặp, hoặc chỉ là gánh nặng dư thừa. Skill này hữu ích cho repo-scan trong Code Review, di chuyển hệ thống legacy, và lập kế hoạch refactor. Xem hướng dẫn cài đặt repo-scan và cách dùng repo-scan ngay trong skill.

perl-security giúp bạn rà soát mã Perl để xử lý đầu vào an toàn hơn, chế độ taint mode, thực thi shell, placeholder DBI, và các vấn đề bảo mật web như XSS, SQLi, và CSRF. Hãy dùng skill perl-security này cho công việc Security Audit, lập kế hoạch khắc phục, và phát triển an toàn khi dữ liệu do người dùng kiểm soát đi vào các sink nhạy cảm.

llm-trading-agent-security là một hướng dẫn thực tiễn để bảo vệ các tác nhân giao dịch tự động có quyền truy cập ví. Nội dung bao gồm chống prompt injection, giới hạn chi tiêu, mô phỏng trước khi gửi, cơ chế ngắt mạch, thực thi có tính đến MEV và cô lập khóa nhằm giảm rủi ro thua lỗ tài chính trong một Security Audit.

Skill laravel-security là một checklist bảo mật Laravel thực tiễn cho authn/authz, validation, CSRF, mass assignment, upload file, secrets, rate limiting và triển khai an toàn. Hãy dùng nó cho audit, rà soát tính năng và siết chặt bảo mật trong các ứng dụng Laravel.

hipaa-compliance là điểm vào dành riêng cho HIPAA trong công việc về quyền riêng tư và bảo mật y tế. Hãy dùng skill hipaa-compliance khi nhiệm vụ nói rõ về PHI, covered entities, BAA, trạng thái vi phạm dữ liệu, hoặc việc một quy trình có tạo ra rủi ro HIPAA hay không. Đây là một lớp bao mỏng, giúp phân loại nhanh và định hướng tuân thủ.

healthcare-phi-compliance giúp rà soát ứng dụng y tế để phát hiện rủi ro PHI/PII trong mô hình dữ liệu, API, log và các đường truy cập. Dùng skill này để kiểm tra phân loại dữ liệu, kiểm soát truy cập, mã hóa, nhật ký kiểm toán và các vector rò rỉ thường gặp cho nhu cầu audit an ninh theo HIPAA, DISHA, GDPR và các khung liên quan.

healthcare-eval-harness là một bộ đánh giá an toàn bệnh nhân cho các triển khai ứng dụng y tế. Nó giúp nhóm kiểm tra độ chính xác của CDSS, nguy cơ lộ PHI, tính toàn vẹn dữ liệu, hành vi quy trình lâm sàng và mức độ tuân thủ tích hợp trước khi phát hành. Các lỗi nghiêm trọng sẽ chặn triển khai, vì vậy healthcare-eval-harness hữu ích cho Model Evaluation và các cổng an toàn CI.

github-ops là một skill thao tác GitHub để xử lý issue, quản lý PR, kiểm tra lỗi CI, chuẩn bị bản phát hành và theo dõi tình trạng repository bằng `gh` CLI. Hãy dùng github-ops khi bạn cần cách dùng github-ops lặp lại được cho một repository thực tế, với xác thực qua `gh auth login` và ngữ cảnh repo rõ ràng.

ecc-tools-cost-audit là một skill kiểm toán ưu tiên bằng chứng cho các đợt tăng chi phí, vòng lặp tạo PR ngoài kiểm soát, vượt quota, rò rỉ sang mô hình cao cấp và job trùng lặp trong ECC Tools. Dùng cho các cuộc điều tra Backend Development cần lần theo một request từ webhook đến worker rồi đến quyết định tính phí, để xác định chính xác chi phí đang được tạo ra ở đâu.

django-verification là một skill sẵn sàng phát hành cho các dự án backend Django. Skill này hướng dẫn kiểm tra môi trường, lint, định dạng mã, kiểm tra kiểu, migrations, chạy test kèm coverage, quét bảo mật và đánh giá mức độ sẵn sàng triển khai, giúp bạn phát hiện vấn đề trước khi mở PR hoặc phát hành.

django-security là một hướng dẫn thực hành để tăng cường bảo mật cho các ứng dụng Django với xác thực, phân quyền, ngăn CSRF, XSS, SQL injection, cookie an toàn và thiết lập production. Skill này giúp lập trình viên và người rà soát thực hiện một Security Audit tập trung, nhanh chóng phát hiện cấu hình rủi ro và áp dụng các bản sửa cụ thể trước khi triển khai.

defi-amm-security là một checklist bảo mật tập trung cho các AMM Solidity, liquidity pool, LP vault và luồng swap. Skill này giúp auditor và kỹ sư rà soát reentrancy, thứ tự CEI, các tấn công donation hoặc inflation, giả định về oracle, slippage, kiểm soát admin và số học số nguyên với ít phải phán đoán hơn so với một prompt chung chung.

code-reviewer là một skill gọn nhẹ cho Code Review, biến code hoặc diff thành báo cáo có cấu trúc, bao quát bảo mật, hiệu năng, best practices, mức độ nghiêm trọng, dòng hoặc phần bị ảnh hưởng, hướng sửa được khuyến nghị và điểm chất lượng tổng thể.

code-reviewer là skill review code bằng AI, áp dụng quy trình đánh giá chặt chẽ theo thứ tự: security, performance, correctness và maintainability. Skill dùng các file quy tắc cho SQL injection, XSS, truy vấn N+1, xử lý lỗi, đặt tên và type hints, giúp review PR nhất quán hơn so với một prompt review chung chung.

cso là kỹ năng kiểm tra bảo mật theo phong cách Chief Security Officer dành cho tác nhân. Kỹ năng này giúp rà soát codebase và workflow để phát hiện lộ bí mật, rủi ro về dependency và supply chain, bảo mật CI/CD, cũng như bảo mật LLM/AI bằng OWASP Top 10 và STRIDE. Hãy dùng cso cho các cuộc rà soát Security Audit có cấu trúc, với cổng tin cậy, xác minh chủ động và theo dõi xu hướng.

attack-tree-construction giúp xây dựng attack tree có cấu trúc cho Threat Modeling với mục tiêu gốc rõ ràng, các nhánh AND/OR và các bước tấn công ở nút lá có thể kiểm chứng. Dùng skill này để lập bản đồ đường tấn công, chỉ ra lỗ hổng trong phòng thủ và hỗ trợ review bảo mật, kiểm thử cũng như lập kế hoạch giảm thiểu rủi ro.

Skill sast-configuration giúp cấu hình Semgrep, SonarQube và CodeQL cho các quy trình SAST thực tế. Hãy dùng skill này để lên kế hoạch cài đặt, tích hợp CI/CD, thiết lập rule tùy chỉnh, quality gate và tinh chỉnh false positive cho Security Audit cũng như quét theo từng repo.

stride-analysis-patterns giúp agent thực hiện quy trình mô hình hóa mối đe dọa STRIDE có cấu trúc cho kiến trúc, API và luồng dữ liệu. Cài từ repo wshobson/agents, đọc file SKILL.md và dùng nó để chuyển mô tả hệ thống thành các mối đe dọa được phân loại cùng đầu ra rà soát tập trung vào biện pháp kiểm soát.

Kỹ năng threat-mitigation-mapping hỗ trợ lập bản đồ các mối đe dọa đã xác định với những biện pháp kiểm soát phòng ngừa, phát hiện và khắc phục trên nhiều lớp, qua đó hỗ trợ chiến lược phòng thủ nhiều tầng, lập kế hoạch xử lý và rà soát độ bao phủ kiểm soát.