Security

Kỹ năng security-scan kiểm tra cấu hình .claude/ của Claude Code để phát hiện bí mật bị lộ, thiết lập MCP rủi ro, hướng dẫn dễ bị chèn lệnh, các cờ bypass nguy hiểm, và định nghĩa agent hoặc hook yếu bằng AgentShield. Dùng nó để kiểm tra bảo mật lặp lại được trước khi commit hoặc onboard.

Dùng skill security-review để rà soát auth, đầu vào người dùng, secrets, APIs, thanh toán, uploads và các luồng nhạy cảm khác. Skill này cung cấp một hướng dẫn security-review thực tế với các kiểm tra pass/fail rõ ràng, ví dụ về mẫu thiết kế rủi ro, và quy trình tập trung để phát hiện các lỗi phổ biến trước khi phát hành.

security-bounty-hunter giúp bạn tìm các lỗ hổng xứng đáng nhận bounty trong repository, tập trung vào những vấn đề có thể truy cập từ xa, do người dùng kiểm soát và có khả năng vượt qua khâu triage. Hãy dùng skill này cho công việc Security Audit khi bạn cần các phát hiện thực tế, có thể báo cáo được thay vì những mối lo cục bộ nhưng nhiễu.

safety-guard giúp ngăn các thao tác phá hoại khi agent làm việc tự động hoặc trên hệ thống production. Công cụ này bổ sung các chế độ careful mode, write freeze mode và guard mode để chặn lệnh rủi ro, giới hạn chỉnh sửa trong một thư mục và giảm sai sót trong lúc deploy, migrate và xử lý repo nhạy cảm.

postgres-patterns là một skill tham chiếu nhanh PostgreSQL thực tiễn cho tối ưu truy vấn, thiết kế schema, indexing, Row Level Security và connection pooling. Skill này giúp các quy trình Database Engineering ra quyết định nhanh và đáng tin cậy hơn bằng các thực hành tốt nhất súc tích, thay vì một prompt chung chung.

perl-security giúp bạn rà soát mã Perl để xử lý đầu vào an toàn hơn, chế độ taint mode, thực thi shell, placeholder DBI, và các vấn đề bảo mật web như XSS, SQLi, và CSRF. Hãy dùng skill perl-security này cho công việc Security Audit, lập kế hoạch khắc phục, và phát triển an toàn khi dữ liệu do người dùng kiểm soát đi vào các sink nhạy cảm.

llm-trading-agent-security là một hướng dẫn thực tiễn để bảo vệ các tác nhân giao dịch tự động có quyền truy cập ví. Nội dung bao gồm chống prompt injection, giới hạn chi tiêu, mô phỏng trước khi gửi, cơ chế ngắt mạch, thực thi có tính đến MEV và cô lập khóa nhằm giảm rủi ro thua lỗ tài chính trong một Security Audit.

Skill laravel-security là một checklist bảo mật Laravel thực tiễn cho authn/authz, validation, CSRF, mass assignment, upload file, secrets, rate limiting và triển khai an toàn. Hãy dùng nó cho audit, rà soát tính năng và siết chặt bảo mật trong các ứng dụng Laravel.

hipaa-compliance là điểm vào dành riêng cho HIPAA trong công việc về quyền riêng tư và bảo mật y tế. Hãy dùng skill hipaa-compliance khi nhiệm vụ nói rõ về PHI, covered entities, BAA, trạng thái vi phạm dữ liệu, hoặc việc một quy trình có tạo ra rủi ro HIPAA hay không. Đây là một lớp bao mỏng, giúp phân loại nhanh và định hướng tuân thủ.

healthcare-phi-compliance giúp rà soát ứng dụng y tế để phát hiện rủi ro PHI/PII trong mô hình dữ liệu, API, log và các đường truy cập. Dùng skill này để kiểm tra phân loại dữ liệu, kiểm soát truy cập, mã hóa, nhật ký kiểm toán và các vector rò rỉ thường gặp cho nhu cầu audit an ninh theo HIPAA, DISHA, GDPR và các khung liên quan.

github-ops là một skill thao tác GitHub để xử lý issue, quản lý PR, kiểm tra lỗi CI, chuẩn bị bản phát hành và theo dõi tình trạng repository bằng `gh` CLI. Hãy dùng github-ops khi bạn cần cách dùng github-ops lặp lại được cho một repository thực tế, với xác thực qua `gh auth login` và ngữ cảnh repo rõ ràng.

flutter-dart-code-review là một checklist review code Flutter và Dart không phụ thuộc thư viện, bao quát kiến trúc, chất lượng widget, quản lý state, hiệu năng, khả năng truy cập, bảo mật và clean code. Hãy dùng nó như một hướng dẫn review code có cấu trúc cho Code Review trên BLoC, Riverpod, Provider, GetX, MobX, Signals hoặc các pattern tùy chỉnh.

enterprise-agent-ops giúp bạn vận hành các hệ thống agent chạy dài hạn hoặc được host trên cloud với khả năng quan sát, kiểm soát an toàn, quản lý thay đổi và lập kế hoạch khôi phục. Hãy dùng skill này khi bạn cần một hướng dẫn thực tiễn cho việc điều phối agent, chứ không phải một prompt dùng một lần.

docker-patterns giúp bạn thiết kế và rà soát các cấu hình Docker và Docker Compose cho môi trường phát triển cục bộ, networking, volumes, health checks và bảo mật container. Skill này đặc biệt hữu ích như một hướng dẫn docker-patterns cho Backend Development và các stack nhiều dịch vụ, nơi việc tách biệt dev/prod rất quan trọng.

django-security là một hướng dẫn thực hành để tăng cường bảo mật cho các ứng dụng Django với xác thực, phân quyền, ngăn CSRF, XSS, SQL injection, cookie an toàn và thiết lập production. Skill này giúp lập trình viên và người rà soát thực hiện một Security Audit tập trung, nhanh chóng phát hiện cấu hình rủi ro và áp dụng các bản sửa cụ thể trước khi triển khai.

agent-payment-x402 giúp AI agent xử lý thanh toán x402 bằng công cụ MCP, giới hạn chi tiêu, danh sách người nhận được phép và ví non-custodial cho API trả phí và điều phối agent.

code-reviewer là một skill gọn nhẹ cho Code Review, biến code hoặc diff thành báo cáo có cấu trúc, bao quát bảo mật, hiệu năng, best practices, mức độ nghiêm trọng, dòng hoặc phần bị ảnh hưởng, hướng sửa được khuyến nghị và điểm chất lượng tổng thể.

code-reviewer là skill review code bằng AI, áp dụng quy trình đánh giá chặt chẽ theo thứ tự: security, performance, correctness và maintainability. Skill dùng các file quy tắc cho SQL injection, XSS, truy vấn N+1, xử lý lỗi, đặt tên và type hints, giúp review PR nhất quán hơn so với một prompt review chung chung.

cso là kỹ năng kiểm tra bảo mật theo phong cách Chief Security Officer dành cho tác nhân. Kỹ năng này giúp rà soát codebase và workflow để phát hiện lộ bí mật, rủi ro về dependency và supply chain, bảo mật CI/CD, cũng như bảo mật LLM/AI bằng OWASP Top 10 và STRIDE. Hãy dùng cso cho các cuộc rà soát Security Audit có cấu trúc, với cổng tin cậy, xác minh chủ động và theo dõi xu hướng.

memory-safety-patterns giúp tác nhân áp dụng RAII, ownership, smart pointers và dọn dẹp tài nguyên trong C, C++ và Rust. Hãy dùng skill này để rà soát mã backend hoặc mã hệ thống, giảm rò rỉ bộ nhớ và dangling pointers, đồng thời định hướng refactor an toàn hơn quanh file, socket, buffer và ranh giới FFI.

attack-tree-construction giúp xây dựng attack tree có cấu trúc cho Threat Modeling với mục tiêu gốc rõ ràng, các nhánh AND/OR và các bước tấn công ở nút lá có thể kiểm chứng. Dùng skill này để lập bản đồ đường tấn công, chỉ ra lỗ hổng trong phòng thủ và hỗ trợ review bảo mật, kiểm thử cũng như lập kế hoạch giảm thiểu rủi ro.

Skill sast-configuration giúp cấu hình Semgrep, SonarQube và CodeQL cho các quy trình SAST thực tế. Hãy dùng skill này để lên kế hoạch cài đặt, tích hợp CI/CD, thiết lập rule tùy chỉnh, quality gate và tinh chỉnh false positive cho Security Audit cũng như quét theo từng repo.

security-requirement-extraction chuyển mô hình đe dọa và bối cảnh kinh doanh thành các yêu cầu bảo mật có thể kiểm thử, user story, tiêu chí chấp nhận và đầu ra sẵn sàng đưa vào backlog cho giai đoạn Requirements Planning.

stride-analysis-patterns giúp agent thực hiện quy trình mô hình hóa mối đe dọa STRIDE có cấu trúc cho kiến trúc, API và luồng dữ liệu. Cài từ repo wshobson/agents, đọc file SKILL.md và dùng nó để chuyển mô tả hệ thống thành các mối đe dọa được phân loại cùng đầu ra rà soát tập trung vào biện pháp kiểm soát.