security-scan
作者 affaan-msecurity-scan 技能會使用 AgentShield 稽核你的 Claude Code `.claude/` 設定,檢查是否有機密資訊、風險較高的 MCP 設定、容易遭注入的指令、危險的繞過旗標,以及薄弱的 agent 或 hook 定義。適合在提交前或導入新成員前,進行可重複的安全檢查。
這個技能評分為 78/100,對於想針對 Claude Code 設定做聚焦式安全稽核的目錄使用者來說,是一個不錯的收錄候選。它提供足夠具體的工作流程指引,可在合理把握下安裝使用;但使用者也應注意,它依賴外部工具,且快速上手包裝還可再更精簡。
- 明確列出適用情境,包括新專案、設定異動、提交前、導入新成員,以及定期檢查。
- 涵蓋範圍具體,包含 `CLAUDE.md`、`settings.json`、`mcp.json`、hooks 與 `agents/*.md`,有助於 agent 清楚知道要檢查哪些內容。
- 提供實用的使用指引,包含 AgentShield 的安裝/執行命令,以及明確的安全檢查項目,例如機密資訊、注入模式、風險 MCP servers 與 command injection。
- 需要先安裝 AgentShield,因此這個技能並非完全自包含。
- 沒有附帶支援檔案或安裝命令,部分設定與執行細節可能需要使用者自行處理。
security-scan 技能總覽
security-scan 的功能
security-scan 技能會使用 AgentShield 稽核 Claude Code 專案的 .claude/ 組態,找出安全風險。它會檢查 secrets、風險較高的 MCP server 設定、容易被 injection 利用的指令、危險的 bypass flags,以及薄弱的 agent 或 hook 定義。
適合誰安裝
如果你負責維護 Claude Code 組態、審查 AI agent 設定,或是在提交變更前需要一套可重複執行的安全檢查,就很適合安裝 security-scan 技能。它特別適合 repo 擁有者、平台工程師,以及剛接手一個 .claude 衛生狀況不明的既有專案的人。
實務上為什麼重要
一般化的 prompt 很容易漏掉與組態相關的威脅。這個技能的目標很務實:快速判斷一套 Claude Code 設定是否安全到足以信任,並找出風險實際藏在哪裡,讓你在問題擴散前先修掉。
如何使用 security-scan 技能
安裝並確認工具鏈
執行 security-scan install 時,先從此技能目錄的 repo 路徑加入技能:
npx skills add affaan-m/everything-claude-code --skill security-scan
接著確認 AgentShield 可用:
npx ecc-agentshield --version
如果需要,也可以用 npm install -g ecc-agentshield 全域安裝,或直接用 npx ecc-agentshield scan . 執行掃描。
給技能正確的輸入
security-scan usage 在你把它指向特定的 Claude Code workspace,並清楚說明你正在審查的變更時,效果最好。好的輸入像這樣:「掃描這個 repo 的 .claude/ 資料夾,重點看新增的 MCP server 和 hook 更新,並標出任何 secrets 外洩、injection 路徑或過寬的工具存取。」
依這個順序讀檔案
先看 SKILL.md,再檢查 CLAUDE.md、.claude/settings.json、mcp.json、hooks/ 和 agents/*.md。這個順序和掃描面一致,也能幫你把結果對回實際的組態檔,而不是把輸出當成泛用的安全報告。
用迭代審查,不要只跑一次
在 commit 之前、修改組態之後,以及接手一個 repo 的 onboarding 過程中都跑一次掃描。使用 security-scan for Security Audit 時,重點放在每個發現是否會改變信任判斷:secrets 應該移除,風險高的命令應該縮小範圍,任何 prompt injection 風險都應改寫成明確限制。
security-scan 技能常見問題
security-scan 只適合 Claude Code 使用者嗎?
是。這個技能是針對 .claude/ 裡的 Claude Code 組態設計的,不是用來做一般應用程式安全掃描,也不是用來找 source code 的漏洞。
它和一般 prompt 有什麼不同?
一般 prompt 可以要求做安全審查,但 security-scan 把需要檢查的面向直接編碼進去:CLAUDE.md、settings、MCP servers、hooks 和 agent 檔案。這讓它更適合重複性審查,也比較不依賴模型去猜「安全」到底指什麼。
對新手友善嗎?
如果你能辨認 repo 裡的 Claude Code 組態檔,就算友善。主要限制是,它假設你有能力處理像是危險的 shell interpolation、過寬的 allow lists,或已暴露的 secrets 這類發現。
什麼情況不該用?
不要把 security-scan 當成應用程式漏洞測試、依賴套件稽核,或整個 codebase 的 secrets 掃描替代品。它最適合的情境,是安全問題明確指向 Claude Code 組態的時候。
如何改善 security-scan 技能
把掃描範圍講清楚
security-scan 最好的結果,通常來自明確指出目錄、分支或組態變更。說「掃描 .claude/」很有用;說「幫我看整個 repo」就太寬,容易讓發現變得淺而散。
提供你最擔心的變更
直接告訴技能哪裡變了:新增的 MCP server、修改過的 hook、新 agent,或 settings 的調整。這樣它才能把重點放在最可能的失敗模式,而不是把所有問題都用同樣的優先級列出來。
要求可直接拿來做決策的輸出
如果你想讓 security-scan usage 更好用,可以要求它用「先修復」的格式輸出:檔案、風險、重要性,以及最小且安全的修改。這樣能降低歧義,也更容易在不過度修正的前提下修好組態。
第一輪之後持續迭代
第一次跑完後,只重新掃描你改動過的檔案。對於會讓 security-scan guide 持續變準的方法來說,把每個發現都當成提示:去收緊 allow lists、移除高風險指令,或在下一輪審查前簡化 hooks。