Security

security-scan 技能會使用 AgentShield 稽核你的 Claude Code `.claude/` 設定，檢查是否有機密資訊、風險較高的 MCP 設定、容易遭注入的指令、危險的繞過旗標，以及薄弱的 agent 或 hook 定義。適合在提交前或導入新成員前，進行可重複的安全檢查。

使用 security-review 技能來檢視 auth、使用者輸入、secrets、API、payments、uploads，以及其他敏感流程。它提供實用的安全檢視指南，包含清楚的通過／失敗檢查、風險模式範例，以及聚焦的流程，幫助在發布前找出常見問題。

security-bounty-hunter 協助你在程式庫中找出有獎金價值的弱點，重點放在可遠端觸及、由使用者可控制、且很可能通過初步篩選的問題。當你需要的是可實際提交的發現，而不是只會在本機出現、噪音很高的疑慮時，這個技能很適合用於 Security Audit 工作。

safety-guard 可協助在 agent 自主運作或操作正式環境時，避免破壞性操作。它提供 careful mode、write freeze mode 和 guard mode，可封鎖高風險指令、將編輯限制在單一目錄內，並在部署、migration 與敏感 repo 作業時降低失誤。

postgres-patterns 是一個實用的 PostgreSQL 快速參考技能，涵蓋查詢最佳化、資料庫結構設計、索引、Row Level Security 與連線池管理。它協助 Database Engineering 工作流程以精簡的最佳實務做出更快、更可靠的決策，而不是依賴泛用提示詞。

perl-security 可協助你檢視 Perl 程式碼中的較安全輸入處理、taint mode、shell 執行、DBI 佔位符，以及 XSS、SQLi、CSRF 等網頁安全問題。當使用者可控資料會流向敏感 sink 時，可在安全稽核、修補規劃與安全開發中使用這個 perl-security 技能。

llm-trading-agent-security 是一份實用指南，專注於如何保護具錢包權限的自主交易代理。內容涵蓋提示注入、防止超額支出限制、送出前模擬、熔斷機制、考量 MEV 的執行，以及金鑰隔離，協助在 Security Audit 中降低財務損失風險。

laravel-security 技能是一份實用的 Laravel 資安檢查清單，涵蓋 authn/authz、驗證、CSRF、mass assignment、檔案上傳、密鑰、rate limiting 與安全部署。適合用於 Laravel 應用的稽核、功能審查與強化作業。

hipaa-compliance 是處理醫療隱私與資安工作的 HIPAA 專用入口。當任務明確涉及 PHI、受涵蓋實體、BAA、事件外洩風險，或某個工作流程是否會產生 HIPAA 暴露時，請使用 hipaa-compliance skill。它是一個輕量的導流層，可用於快速合規分流與指引。

healthcare-phi-compliance 可協助檢視醫療應用在資料模型、API、log 與存取路徑中的 PHI/PII 風險。可用來檢查資料分類、存取控制、加密、稽核軌跡，以及符合 HIPAA、DISHA、GDPR 與相關安全稽核需求的常見洩漏向量。

github-ops 是一個用於 GitHub 操作的技能，可透過 gh CLI 協助分流 issues、管理 PR、檢查 CI 失敗、準備發佈，以及監控儲存庫健康狀態。當你需要在真實儲存庫中重複使用 github-ops，並且可透過 `gh auth login` 完成驗證、具備明確的 repo 情境時，就適合使用這個 github-ops 技能。

flutter-dart-code-review 是一套與函式庫無關的 Flutter 與 Dart 程式碼審查清單，涵蓋架構、Widget 品質、狀態管理、效能、無障礙、安全性與乾淨程式碼。可將它作為結構化的 flutter-dart-code-review Code Review 指南，適用於 BLoC、Riverpod、Provider、GetX、MobX、Signals 或自訂模式。

enterprise-agent-ops 可協助你管理長期運作或雲端託管的 agent 系統，涵蓋可觀測性、安全控管、變更管理與復原規劃。當你需要的是 agent 編排的實務指南，而不是一次性的 prompt 時，就適合使用它。

docker-patterns 可協助你設計與檢視 Docker 和 Docker Compose 設定，涵蓋本機開發、網路、磁碟區、健康檢查與容器安全。它特別適合作為 Backend Development 與多服務堆疊的 docker-patterns 指南，當你在意 dev/prod 分離時尤其有幫助。

django-security 是一份實用指南，協助你透過認證、授權、CSRF、XSS、SQL injection 防護、安全 cookie 與 production settings 來強化 Django apps。它能幫助開發者與審查者執行聚焦的 Security Audit，快速找出高風險設定，並在部署前套用具體修正。

agent-payment-x402 協助 AI agents 透過 MCP tools 處理 x402 付款流程，支援支出上限、收款方 allowlist 與 non-custodial wallets，適合用於付費 API 與 agent orchestration。

code-reviewer 是一款輕量級的 Code Review 技能，可將程式碼或 diff 轉為結構化審查報告，涵蓋安全性、效能、最佳實務、嚴重程度、受影響的行數或區段、建議修正方式，以及整體品質分數。

code-reviewer 是一個 AI 程式碼審查技能，採用嚴格的審查順序：先看 security，再看 performance、correctness，最後是 maintainability。它透過規則檔涵蓋 SQL injection、XSS、N+1 queries、error handling、naming 與 type hints，讓 PR 審查比一般通用提示詞更一致、更有依據。

cso 是一款給代理使用、偏向 Chief Security Officer 風格的安全稽核技能。它可協助檢視程式碼庫與工作流程中的機密外洩、相依套件與供應鏈風險、CI/CD 安全，以及 LLM/AI 安全，並採用 OWASP Top 10 與 STRIDE。適合用 cso 來進行結構化的 Security Audit 檢視，搭配信心門檻、主動驗證與趨勢追蹤。

memory-safety-patterns 可協助代理在 C、C++ 與 Rust 中運用 RAII、所有權、智慧指標與資源清理模式。適合用來審查後端或系統程式碼、降低記憶體洩漏與懸空指標風險，並為檔案、socket、buffer 與 FFI 邊界周邊的安全重構提供方向。

attack-tree-construction 可協助你為 Threat Modeling 建立結構化攻擊樹，清楚定義根目標、AND/OR 分支，以及可驗證的葉節點攻擊步驟。你可以用它梳理攻擊路徑、找出防禦缺口，並支援安全審查、測試與緩解規劃。

sast-configuration 技能可協助為實際的 SAST 工作流程設定 Semgrep、SonarQube 與 CodeQL。適合用來規劃安裝步驟、CI/CD 整合、自訂規則、品質閘門，以及針對 Security Audit 與特定 repo 掃描進行誤判調校。

security-requirement-extraction 可將威脅模型與業務情境轉化為可驗證的安全需求、使用者故事、驗收標準，以及可直接納入需求規劃待辦的產出。

stride-analysis-patterns 可協助代理對架構、API 與資料流程執行結構化的 STRIDE 威脅建模檢視。可從 wshobson/agents repo 安裝，閱讀 SKILL.md，並用它把系統描述整理成分類明確的威脅與以控制措施為核心的審查輸出。