访问控制

springboot-security 是一份实用的 Spring Boot 安全指南，覆盖认证、授权、校验、CSRF/CORS、密钥、请求头、限流和依赖检查。适合用于 Security Audit 工作，或在减少安全配置错误风险的前提下加固 Java 服务。

security-scan 技能会使用 AgentShield 审计你的 Claude Code `.claude/` 配置，检查密钥泄露、风险较高的 MCP 配置、容易被注入的指令、危险的绕过标志，以及薄弱的 agent 或 hook 定义。适合在提交前或接入前进行可重复的安全检查。

safety-guard 可在代理自主运行或作用于生产系统时，帮助防止破坏性操作。它提供 careful mode、write freeze mode 和 guard mode，用于拦截高风险命令、将编辑限制在单一目录内，并在部署、迁移以及敏感仓库操作中减少失误。

llm-trading-agent-security 是一份面向带有钱包权限的自主交易代理的实用安全指南。内容涵盖提示注入、防止超额支出、发送前模拟、熔断机制、考虑 MEV 的执行以及密钥隔离，帮助降低 Security Audit 中的资金损失风险。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

django-security 是一份面向 Django 应用加固的实用指南，涵盖认证、授权、CSRF、XSS、SQL 注入防护、安全 Cookie 和生产环境设置。它帮助开发者和审查者开展聚焦的 Security Audit，快速识别高风险配置，并在部署前落实具体修复。

git-guardrails-claude-code 通过添加 PreToolUse hook，在 Claude Code 执行前拦截危险的 git 命令。安装后可防止破坏性 push、hard reset、强制清理和分支删除，并支持按项目或全局范围控制。适合在 Claude Code 中需要用 git-guardrails-claude-code 做访问控制边界时使用。

k8s-security-policies 可帮助团队基于仓库中的模板与参考资料，起草 Kubernetes NetworkPolicy、Pod Security Standards 标签以及 RBAC 模式，用于安全加固与面向审计的上线规划。

auth-implementation-patterns 是一项偏实战的技能，用于设计与实现认证和授权模式，涵盖 sessions、JWT、OAuth2/OIDC、RBAC，以及面向 API 和应用的访问控制校验。

linkerd-patterns 帮助团队将 Linkerd 模式应用到 Kubernetes 工作负载，涵盖 mTLS、sidecar 注入、流量拆分、重试、超时、service profiles，以及基于 Deployment 的多集群发布规划。

mtls-configuration 是一份实用指南，帮助你设计并使用 mutual TLS 来提升服务间安全，涵盖证书信任、轮换、握手调试，以及零信任或多集群环境中的 Access Control。

secrets-management 技能可帮助团队通过 Vault、AWS Secrets Manager、Azure Key Vault、Google Secret Manager 以及平台原生方案来保护 CI/CD 密钥。可用于规划流水线中的运行时密钥获取、轮换，以及遵循最小权限原则的访问控制。

agent-governance 是一项以文档为核心的技能，用于为会调用工具的 AI agent 和多智能体系统设计护栏、策略校验、信任规则、工具限制与审计日志。

security-and-hardening 技能用于在发布前加固应用代码。适用于用户输入、认证、会话、敏感数据、文件上传、webhook 和外部服务等场景，涵盖输入校验、参数化查询、输出编码、安全 Cookie、HTTPS 以及 secrets 处理等具体检查项。

exploiting-kerberoasting-with-impacket 可帮助授权测试人员使用 Impacket 的 GetUserSPNs.py 规划 Kerberoasting 流程，从 SPN 枚举到 TGS 票据提取、离线破解以及检测感知型报告。此 exploiting-kerberoasting-with-impacket 指南适用于渗透测试工作流，提供清晰的安装与使用上下文。

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

detecting-aws-iam-privilege-escalation 可使用 boto3 和 Cloudsplaining 风格分析，帮助审计 AWS IAM 中的权限提升路径。适合在事件发生前识别危险的权限组合、最小权限违规点和安全审计发现。

configuring-hsm-for-key-storage 技能介绍了基于 HSM 的密钥存储，涵盖 PKCS#11、SoftHSM2 和生产级 HSM 方案。本指南适用于安装、使用、密钥属性、token 配置、签名、加密以及 Security Audit 证据收集。

configuring-aws-verified-access-for-ztna 技能可帮助你设计和配置 AWS Verified Access，实现无需 VPN 的零信任网络访问，并在 Cedar 中加入身份和设备健康状态检查。可使用这份 configuring-aws-verified-access-for-ztna 指南进行访问控制规划、信任提供方、组策略和终端设置。

configuring-active-directory-tiered-model 技能可帮助设计和审计 Microsoft ESAE 风格的 Active Directory 分层模型。使用这份 configuring-active-directory-tiered-model 指南，可更清晰地审视 Tier 0/1/2 访问、PAW、管理员边界、凭据暴露以及安全审计发现，并结合实际实现语境进行判断。

azure-identity-py 帮助你在 Python 中使用 Microsoft Entra ID 配置 Azure 身份验证。它适合用于选择 DefaultAzureCredential、managed identity 或 service principal 认证，配置环境变量，并排查访问控制和凭据链问题。安装说明、使用模式和实用的配置提示均基于 repo skill file。

security 技能可用 AWS stencil 生成 PlantUML 安全架构图，涵盖身份认证、加密、防火墙、合规和威胁检测等场景。适用于 IAM 流程、零信任设计、加密流水线、Security Audit 图表以及可直接交付审阅的文档。它不适合通用云基础设施图或泛用 UML 建模。