安全稽核

springboot-security 是一份實用的 Spring Boot 安全指南，涵蓋驗證、授權、資料驗證、CSRF/CORS、機密資訊、標頭、速率限制與依賴檢查。當你要進行 Security Audit 工作，或想以較少的安全設定錯誤風險來強化 Java 服務時，可使用 springboot-security 技能。

skill-comply 是一個用於合規測試的 skill，會在實際執行中檢查 agent 是否遵循某個 skill、規則或 agent definition。它會從 markdown 產生規格、以三種不同嚴格度的 prompt 執行測試、分類 tool-call 時序，並以證據回報合規率。適合用來做 skill-comply 的 Compliance Review。

security-scan 技能會使用 AgentShield 稽核你的 Claude Code `.claude/` 設定，檢查是否有機密資訊、風險較高的 MCP 設定、容易遭注入的指令、危險的繞過旗標，以及薄弱的 agent 或 hook 定義。適合在提交前或導入新成員前，進行可重複的安全檢查。

使用 security-review 技能來檢視 auth、使用者輸入、secrets、API、payments、uploads，以及其他敏感流程。它提供實用的安全檢視指南，包含清楚的通過／失敗檢查、風險模式範例，以及聚焦的流程，幫助在發布前找出常見問題。

security-bounty-hunter 協助你在程式庫中找出有獎金價值的弱點，重點放在可遠端觸及、由使用者可控制、且很可能通過初步篩選的問題。當你需要的是可實際提交的發現，而不是只會在本機出現、噪音很高的疑慮時，這個技能很適合用於 Security Audit 工作。

repo-scan 是一個跨技術棧的原始碼稽核 skill，可分類檔案、偵測內嵌的第三方函式庫，並協助判斷哪些是核心、重複或多餘負擔。它很適合用於 Code Review、舊系統遷移與重構規劃中的 repo-scan。請參閱 skill 內的 repo-scan 安裝與 repo-scan 使用說明。

perl-security 可協助你檢視 Perl 程式碼中的較安全輸入處理、taint mode、shell 執行、DBI 佔位符，以及 XSS、SQLi、CSRF 等網頁安全問題。當使用者可控資料會流向敏感 sink 時，可在安全稽核、修補規劃與安全開發中使用這個 perl-security 技能。

llm-trading-agent-security 是一份實用指南，專注於如何保護具錢包權限的自主交易代理。內容涵蓋提示注入、防止超額支出限制、送出前模擬、熔斷機制、考量 MEV 的執行，以及金鑰隔離，協助在 Security Audit 中降低財務損失風險。

laravel-security 技能是一份實用的 Laravel 資安檢查清單，涵蓋 authn/authz、驗證、CSRF、mass assignment、檔案上傳、密鑰、rate limiting 與安全部署。適合用於 Laravel 應用的稽核、功能審查與強化作業。

hipaa-compliance 是處理醫療隱私與資安工作的 HIPAA 專用入口。當任務明確涉及 PHI、受涵蓋實體、BAA、事件外洩風險，或某個工作流程是否會產生 HIPAA 暴露時，請使用 hipaa-compliance skill。它是一個輕量的導流層，可用於快速合規分流與指引。

healthcare-phi-compliance 可協助檢視醫療應用在資料模型、API、log 與存取路徑中的 PHI/PII 風險。可用來檢查資料分類、存取控制、加密、稽核軌跡，以及符合 HIPAA、DISHA、GDPR 與相關安全稽核需求的常見洩漏向量。

healthcare-eval-harness 是一個用於醫療應用部署的病人安全評估 harness。它能協助團隊在發布前驗證 CDSS 準確性、PHI 暴露、資料完整性、臨床工作流程行為，以及整合合規性。重大失敗會阻擋部署，因此它很適合用於 healthcare-eval-harness 的 Model Evaluation 與 CI 安全閘門。

github-ops 是一個用於 GitHub 操作的技能，可透過 gh CLI 協助分流 issues、管理 PR、檢查 CI 失敗、準備發佈，以及監控儲存庫健康狀態。當你需要在真實儲存庫中重複使用 github-ops，並且可透過 `gh auth login` 完成驗證、具備明確的 repo 情境時，就適合使用這個 github-ops 技能。

ecc-tools-cost-audit 是一個以證據為先的稽核技能，專門用來查找 ECC Tools 的成本飆升、PR 失控建立、配額繞過、premium-model 外洩，以及重複工作。適合用於 Backend Development 的調查，能把請求從 webhook 一路追到 worker 與 billing decision，並證明費用究竟是在哪一步產生的。

django-verification 是一個適用於 Django 後端專案的發佈就緒技能。它會引導你完成環境檢查、lint、格式化、型別檢查、資料庫 migration、含覆蓋率的測試、安全掃描，以及部署就緒檢查，幫助你在 PR 或發佈前先找出問題。

django-security 是一份實用指南，協助你透過認證、授權、CSRF、XSS、SQL injection 防護、安全 cookie 與 production settings 來強化 Django apps。它能幫助開發者與審查者執行聚焦的 Security Audit，快速找出高風險設定，並在部署前套用具體修正。

defi-amm-security 是一套專為 Solidity AMM、流動性池、LP vault 與 swap 流程設計的安全檢查清單。它能幫助稽核人員與工程師檢視重入、CEI 順序、捐贈或通膨攻擊、預言機假設、滑點、管理權限控制與整數運算，減少像使用通用提示詞時那樣的猜測成本。

code-reviewer 是一款輕量級的 Code Review 技能，可將程式碼或 diff 轉為結構化審查報告，涵蓋安全性、效能、最佳實務、嚴重程度、受影響的行數或區段、建議修正方式，以及整體品質分數。

code-reviewer 是一個 AI 程式碼審查技能，採用嚴格的審查順序：先看 security，再看 performance、correctness，最後是 maintainability。它透過規則檔涵蓋 SQL injection、XSS、N+1 queries、error handling、naming 與 type hints，讓 PR 審查比一般通用提示詞更一致、更有依據。

cso 是一款給代理使用、偏向 Chief Security Officer 風格的安全稽核技能。它可協助檢視程式碼庫與工作流程中的機密外洩、相依套件與供應鏈風險、CI/CD 安全，以及 LLM/AI 安全，並採用 OWASP Top 10 與 STRIDE。適合用 cso 來進行結構化的 Security Audit 檢視，搭配信心門檻、主動驗證與趨勢追蹤。

attack-tree-construction 可協助你為 Threat Modeling 建立結構化攻擊樹，清楚定義根目標、AND/OR 分支，以及可驗證的葉節點攻擊步驟。你可以用它梳理攻擊路徑、找出防禦缺口，並支援安全審查、測試與緩解規劃。

sast-configuration 技能可協助為實際的 SAST 工作流程設定 Semgrep、SonarQube 與 CodeQL。適合用來規劃安裝步驟、CI/CD 整合、自訂規則、品質閘門，以及針對 Security Audit 與特定 repo 掃描進行誤判調校。

stride-analysis-patterns 可協助代理對架構、API 與資料流程執行結構化的 STRIDE 威脅建模檢視。可從 wshobson/agents repo 安裝，閱讀 SKILL.md，並用它把系統描述整理成分類明確的威脅與以控制措施為核心的審查輸出。

threat-mitigation-mapping 技能可協助將已識別的威脅對應到跨層的預防、偵測與矯正控制措施，支援縱深防禦、修補規劃與控制覆蓋檢視。