存取控制

springboot-security 是一份實用的 Spring Boot 安全指南，涵蓋驗證、授權、資料驗證、CSRF/CORS、機密資訊、標頭、速率限制與依賴檢查。當你要進行 Security Audit 工作，或想以較少的安全設定錯誤風險來強化 Java 服務時，可使用 springboot-security 技能。

security-scan 技能會使用 AgentShield 稽核你的 Claude Code `.claude/` 設定，檢查是否有機密資訊、風險較高的 MCP 設定、容易遭注入的指令、危險的繞過旗標，以及薄弱的 agent 或 hook 定義。適合在提交前或導入新成員前，進行可重複的安全檢查。

safety-guard 可協助在 agent 自主運作或操作正式環境時，避免破壞性操作。它提供 careful mode、write freeze mode 和 guard mode，可封鎖高風險指令、將編輯限制在單一目錄內，並在部署、migration 與敏感 repo 作業時降低失誤。

llm-trading-agent-security 是一份實用指南，專注於如何保護具錢包權限的自主交易代理。內容涵蓋提示注入、防止超額支出限制、送出前模擬、熔斷機制、考量 MEV 的執行，以及金鑰隔離，協助在 Security Audit 中降低財務損失風險。

laravel-security 技能是一份實用的 Laravel 資安檢查清單，涵蓋 authn/authz、驗證、CSRF、mass assignment、檔案上傳、密鑰、rate limiting 與安全部署。適合用於 Laravel 應用的稽核、功能審查與強化作業。

healthcare-phi-compliance 可協助檢視醫療應用在資料模型、API、log 與存取路徑中的 PHI/PII 風險。可用來檢查資料分類、存取控制、加密、稽核軌跡，以及符合 HIPAA、DISHA、GDPR 與相關安全稽核需求的常見洩漏向量。

django-security 是一份實用指南，協助你透過認證、授權、CSRF、XSS、SQL injection 防護、安全 cookie 與 production settings 來強化 Django apps。它能幫助開發者與審查者執行聚焦的 Security Audit，快速找出高風險設定，並在部署前套用具體修正。

git-guardrails-claude-code 會加入一個 PreToolUse hook，在 Claude Code 執行前先攔截危險的 git 指令。安裝後可防止破壞性 push、hard reset、強制清理與刪除分支，並可針對單一專案或所有專案做範圍控管。當你需要在 Claude Code 的 Access Control 邊界上使用 git-guardrails-claude-code 時特別有用。

k8s-security-policies 可協助團隊運用以 repo 為基礎的範本與參考資料，撰寫 Kubernetes NetworkPolicy、Pod Security Standards 標籤與 RBAC 模式，用於強化防護與規劃可支援稽核的部署流程。

auth-implementation-patterns 是一項實用技能，適合用來設計與實作驗證與授權模式，涵蓋 sessions、JWT、OAuth2/OIDC、RBAC，以及 API 與應用程式的存取控制檢查。

linkerd-patterns 可協助團隊將 Linkerd 模式套用到 Kubernetes 工作負載，涵蓋 mTLS、sidecar injection、traffic splits、retries、timeouts、service profiles，以及以 Deployment 為基礎的 rollout 所需的 multi-cluster 規劃。

mtls-configuration 是一份實用指南，協助你為服務對服務安全設計並使用 mutual TLS，涵蓋憑證信任、輪替、交握除錯，以及在 zero-trust 或多叢集環境中的 Access Control。

secrets-management 技能可協助團隊以 Vault、AWS Secrets Manager、Azure Key Vault、Google Secret Manager 與原生平台方案，安全管理 CI/CD 密鑰。可用來規劃執行階段的密鑰擷取、輪替，以及管線所需的最小權限 Access Control。

agent-governance 是一個以文件為核心的技能，適合用來設計 AI agent 的防護欄、政策檢查、信任規則、工具限制，以及供工具使用型與多代理系統採用的稽核記錄機制。

security-and-hardening 技能可在發布前協助強化應用程式程式碼。適用於使用者輸入、驗證、session、敏感資料、檔案上傳、webhook 與外部服務等情境，並搭配具體檢查項目，例如輸入驗證、參數化查詢、輸出編碼、安全 Cookie、HTTPS 與 secrets 管理。

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

exploiting-idor-vulnerabilities 可協助授權的資安稽核針對 API、網頁應用程式與多租戶系統測試不安全直接物件參照（IDOR）漏洞，涵蓋跨會話檢查、物件對應，以及讀取／寫入驗證。

detecting-azure-service-principal-abuse 可協助偵測、調查並記錄 Azure 中可疑的 Microsoft Entra ID 服務主體活動。適用於安全稽核、雲端事件應變與威脅狩獵，可檢視認證變更、管理員同意濫用、角色指派、擁有權路徑與登入異常。

detecting-aws-iam-privilege-escalation 可協助你使用 boto3 與類似 Cloudsplaining 的分析方法，稽核 AWS IAM 是否存在權限提升路徑。可用來找出危險的權限組合、最小權限違規，以及在資安事件發生前先發現稽核問題。

configuring-hsm-for-key-storage 技能說明如何透過 PKCS#11、SoftHSM2 與正式環境 HSM 選項來進行 HSM 支援的金鑰儲存。可用於安裝、使用、金鑰屬性、Token 設定、簽章、加密，以及 Security Audit 證據整理。

configuring-aws-verified-access-for-ztna 技能可協助你設計與設定 AWS Verified Access，透過 Cedar 進行身分與裝置狀態檢查，實現免 VPN 的零信任網路存取。這份 configuring-aws-verified-access-for-ztna 指南適用於存取控管規劃、信任提供者、群組原則與端點設定。

configuring-active-directory-tiered-model 技能可協助設計與稽核 Microsoft ESAE 風格的 Active Directory 分層模型。使用這份 configuring-active-directory-tiered-model 指南，可更清楚地檢視 Tier 0/1/2 存取、PAWs、管理邊界、憑證暴露，以及資安稽核發現與實作情境的對應關係。

azure-identity-py 可協助你在 Python 中使用 Microsoft Entra ID 設定 Azure 驗證。可用來選擇 DefaultAzureCredential、managed identity 或 service principal 驗證，設定環境變數，並排除存取控制與 credential chain 問題。安裝指引、使用模式與實用設定說明皆根據 repo skill file 整理而成。

這個 security 技能可用 AWS 樣板建立 PlantUML 安全架構圖，涵蓋身分驗證、加密、防火牆、合規與威脅偵測。適合用在 IAM 流程、零信任設計、加密管線、Security Audit 圖，以及可直接送審的文件。不適合一般雲端基礎架構或通用 UML 建模。