security-scan
bởi affaan-mKỹ năng security-scan kiểm tra cấu hình .claude/ của Claude Code để phát hiện bí mật bị lộ, thiết lập MCP rủi ro, hướng dẫn dễ bị chèn lệnh, các cờ bypass nguy hiểm, và định nghĩa agent hoặc hook yếu bằng AgentShield. Dùng nó để kiểm tra bảo mật lặp lại được trước khi commit hoặc onboard.
Kỹ năng này đạt 78/100, cho thấy đây là một lựa chọn khá tốt cho người dùng thư mục muốn audit bảo mật tập trung cho cấu hình Claude Code. Nội dung cung cấp đủ hướng dẫn quy trình cụ thể để cân nhắc cài đặt với mức độ tự tin hợp lý, dù người dùng nên lưu ý là nó phụ thuộc vào một công cụ bên ngoài và có thể được đóng gói quick start chặt chẽ hơn.
- Nêu rõ các tình huống kích hoạt như dự án mới, thay đổi cấu hình, trước khi commit, khi onboard và kiểm tra định kỳ.
- Phạm vi quét cụ thể trên CLAUDE.md, settings.json, mcp.json, hooks và agents/*.md, giúp agent hiểu chính xác cần kiểm tra gì.
- Hướng dẫn sử dụng thực tế với lệnh cài đặt/chạy AgentShield và các kiểm tra bảo mật rõ ràng như secrets, mẫu injection, MCP server rủi ro và command injection.
- Cần cài đặt AgentShield nên kỹ năng này không hoàn toàn tự chứa.
- Không có file hỗ trợ hay lệnh cài đặt, vì vậy một số chi tiết thiết lập và thực thi có thể phải do người dùng tự xử lý.
Tổng quan về skill security-scan
security-scan làm gì
Skill security-scan kiểm tra cấu hình .claude/ của một dự án Claude Code để tìm rủi ro bảo mật bằng AgentShield. Nó rà soát secrets, cấu hình MCP server nguy hiểm, chỉ dẫn dễ bị injection, các flag bypass rủi ro cao, và định nghĩa agent hoặc hook yếu.
Ai nên cài đặt
Hãy dùng skill security-scan nếu bạn đang quản lý cấu hình Claude Code, review thiết lập AI agent, hoặc cần một bước kiểm tra bảo mật có thể lặp lại trước khi commit thay đổi. Skill này đặc biệt hữu ích cho chủ repo, kỹ sư nền tảng, và bất kỳ ai mới vào một dự án có “vệ sinh” .claude chưa rõ ràng.
Vì sao điều này quan trọng trong thực tế
Một prompt chung chung có thể bỏ sót các mối đe dọa đặc thù của cấu hình. Skill này được thiết kế cho đúng việc thực tế: nhanh chóng xác định một setup Claude Code có đủ an toàn để tin cậy hay không, và chỉ ra rủi ro nằm ở đâu để bạn sửa trước khi nó lan rộng.
Cách dùng skill security-scan
Cài đặt và xác nhận toolchain
Với security-scan install, thêm skill từ đường dẫn repo của thư mục:
npx skills add affaan-m/everything-claude-code --skill security-scan
Sau đó xác nhận AgentShield đã sẵn sàng:
npx ecc-agentshield --version
Nếu cần, cài global bằng npm install -g ecc-agentshield, hoặc chạy quét trực tiếp bằng npx ecc-agentshield scan ..
Cung cấp đúng đầu vào cho skill
security-scan usage hoạt động tốt nhất khi bạn trỏ nó vào một workspace Claude Code cụ thể và mô tả thay đổi đang review. Đầu vào tốt sẽ kiểu như: “Quét thư mục .claude/ của repo này sau khi cập nhật MCP server và hook mới, rồi đánh dấu mọi nguy cơ lộ secrets, đường dẫn injection, hoặc quyền truy cập tool quá rộng.”
Đọc file theo đúng thứ tự
Bắt đầu với SKILL.md, rồi kiểm tra CLAUDE.md, .claude/settings.json, mcp.json, hooks/, và agents/*.md. Thứ tự này khớp với bề mặt được quét và giúp bạn gắn kết kết quả với đúng file cấu hình, thay vì coi đầu ra như một báo cáo bảo mật chung chung.
Dùng vòng lặp review, không chỉ chạy một lần
Chạy quét trước khi commit, sau khi sửa cấu hình, và trong quá trình onboarding vào một repo. Với security-scan for Security Audit, hãy tập trung vào việc từng phát hiện có làm thay đổi mức độ tin cậy hay không: secrets phải được loại bỏ, các lệnh rủi ro phải được thu hẹp, và mọi chỗ có nguy cơ prompt injection cần được viết lại thành ràng buộc rõ ràng.
Câu hỏi thường gặp về skill security-scan
security-scan chỉ dành cho người dùng Claude Code thôi à?
Đúng. Skill này được xây dựng quanh cấu hình Claude Code trong .claude/, chứ không phải quét bảo mật ứng dụng nói chung hay săn lỗ hổng trong mã nguồn.
Nó khác gì so với một prompt bình thường?
Một prompt bình thường có thể chỉ yêu cầu review bảo mật, nhưng security-scan mã hóa sẵn đúng các bề mặt cần kiểm tra: CLAUDE.md, settings, MCP servers, hooks, và file agent. Nhờ vậy, nó phù hợp hơn cho các lần review lặp lại và ít phụ thuộc vào việc model phải tự đoán “bảo mật” nghĩa là gì.
Có thân thiện với người mới không?
Có, nếu bạn xác định được các file cấu hình Claude Code của repo. Hạn chế chính là nó giả định bạn có thể xử lý các phát hiện như shell interpolation rủi ro, allow list quá rộng, hoặc secrets bị lộ.
Khi nào không nên dùng?
Đừng dùng security-scan để thay thế cho kiểm thử lỗ hổng ứng dụng, audit dependency, hoặc quét secrets trên toàn bộ codebase. Nó phù hợp nhất khi câu hỏi bảo mật nằm cụ thể ở cấu hình Claude Code.
Cách cải thiện skill security-scan
Làm rõ phạm vi quét
Kết quả security-scan tốt nhất đến từ việc nêu rõ thư mục, branch, hoặc thay đổi cấu hình cụ thể. “Quét .claude/” là hữu ích; còn “review repo của tôi” thì quá rộng và dễ dẫn đến phát hiện hời hợt.
Nói rõ thay đổi bạn lo nhất
Hãy cho skill biết điều gì đã thay đổi: một MCP server mới, một hook đã sửa, một agent mới, hay một tinh chỉnh settings. Điều đó giúp nó cân trọng số cho chế độ lỗi có khả năng xảy ra nhất, thay vì báo tất cả mọi thứ với cùng mức ưu tiên.
Yêu cầu đầu ra đủ để ra quyết định
Nếu muốn security-scan usage tốt hơn, hãy yêu cầu kết quả theo định dạng ưu tiên sửa trước: file, rủi ro, vì sao quan trọng, và thay đổi an toàn nhỏ nhất. Cách này giảm mơ hồ và giúp bạn vá cấu hình mà không sửa quá tay.
Lặp lại sau lần quét đầu tiên
Sau lần chạy đầu, chỉ quét lại những file bạn đã thay đổi. Với một security-scan guide tạo kết quả tốt dần theo thời gian, hãy coi mỗi phát hiện là tín hiệu để siết chặt allow list, bỏ chỉ dẫn rủi ro, hoặc đơn giản hóa hooks trước lần review tiếp theo.