安全审计

springboot-security 是一份实用的 Spring Boot 安全指南，覆盖认证、授权、校验、CSRF/CORS、密钥、请求头、限流和依赖检查。适合用于 Security Audit 工作，或在减少安全配置错误风险的前提下加固 Java 服务。

skill-comply 是一款合规测试技能，用于在真实运行中检查 agent 是否遵循某个 skill、规则或 agent 定义。它会从 markdown 生成规范，运行三档 prompt 严格度，分类工具调用时间线，并基于证据输出合规率。适合用于 skill-comply 的合规审查。

security-scan 技能会使用 AgentShield 审计你的 Claude Code `.claude/` 配置，检查密钥泄露、风险较高的 MCP 配置、容易被注入的指令、危险的绕过标志，以及薄弱的 agent 或 hook 定义。适合在提交前或接入前进行可重复的安全检查。

使用 security-review 技能审查 auth、用户输入、secrets、API、支付、上传以及其他敏感流程。它提供一份实用的安全审查指南，包含清晰的通过/不通过检查、风险模式示例，以及一套聚焦的流程，帮助你在发布前发现常见问题。

security-bounty-hunter 帮助你在代码仓库中发现更适合拿奖金的漏洞，重点关注可远程访问、由用户可控、且更可能通过初筛的安全问题。适用于 Security Audit 场景中，希望获得可提交、可报告的实际发现，而不是噪音很多的本地影响问题。

repo-scan 是一款跨技术栈的源码审计技能，可对文件进行分类、识别内嵌的第三方库，并帮助你判断哪些是核心代码、重复代码或无用负担。它适用于 repo-scan 代码审查、遗留系统迁移和重构规划。技能中提供了 repo-scan 安装与 repo-scan 使用指引。

perl-security 可帮助你审查 Perl 代码中的更安全输入处理、taint mode、shell 执行、DBI 占位符，以及 XSS、SQLi、CSRF 等 Web 安全问题。在进行安全审计、修复规划和安全开发时，当用户可控数据会流向敏感 sink，就适合使用这个 perl-security skill。

llm-trading-agent-security 是一份面向带有钱包权限的自主交易代理的实用安全指南。内容涵盖提示注入、防止超额支出、发送前模拟、熔断机制、考虑 MEV 的执行以及密钥隔离，帮助降低 Security Audit 中的资金损失风险。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

hipaa-compliance 是面向医疗隐私与安全工作的 HIPAA 专用入口。当任务明确涉及 PHI、受覆盖实体、BAA、泄露风险态势，或某个工作流是否会带来 HIPAA 暴露时，就使用 hipaa-compliance 技能。它是一个轻量覆盖层，适合快速合规分诊与指导。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

healthcare-eval-harness 是面向医疗应用部署的患者安全评估 harness。它帮助团队在发布前验证 CDSS 准确性、PHI 暴露、数据完整性、临床工作流行为以及集成合规性。严重失败会阻止部署，因此它很适合用于 Model Evaluation 和 CI 安全门禁中的 healthcare-eval-harness。

github-ops 是一个用于 GitHub 操作的技能，适合处理 issue、管理 PR、检查 CI 失败、准备发布，以及借助 `gh` CLI 监控仓库健康状况。当你需要在真实仓库中以可重复的方式使用 github-ops，并通过 `gh auth login` 完成认证、明确仓库上下文时，就该使用这个技能。

ecc-tools-cost-audit 是一款基于证据优先的审计技能，面向 ECC Tools 的成本飙升、PR 失控生成、配额绕过、高阶模型泄漏和重复任务问题。适用于 Backend Development 调查：从 webhook 到 worker，再到 billing decision，逐段追踪请求链路，并证明开销究竟是在哪里产生的。

django-verification 是面向 Django 后端项目的发布就绪技能。它会引导你完成环境检查、lint、格式化、类型检查、迁移、带覆盖率的测试、安全扫描和部署就绪检查，帮助你在 PR 或发布前尽早发现问题。

django-security 是一份面向 Django 应用加固的实用指南，涵盖认证、授权、CSRF、XSS、SQL 注入防护、安全 Cookie 和生产环境设置。它帮助开发者和审查者开展聚焦的 Security Audit，快速识别高风险配置，并在部署前落实具体修复。

defi-amm-security 是一份面向 Solidity AMM、流动性池、LP 金库和 swap 流程的聚焦安全清单。它帮助审计人员和工程师检查重入、CEI 顺序、捐赠或通胀攻击、预言机假设、滑点、管理员控制以及整数运算，减少使用通用提示词时的猜测成本。

code-reviewer 是一款轻量级的 Code Review 技能，可将代码或 diff 转换为结构化报告，覆盖 security、performance、best practices、严重级别、受影响的行或区段、修复建议，以及整体质量评分。

code-reviewer 是一款用于结构化代码审查的 AI skill，遵循严格的审查顺序：security、performance、correctness、maintainability。它通过规则文件检查 SQL injection、XSS、N+1 queries、error handling、naming 和 type hints，让 PR 审查比通用 review prompt 更一致、更有章法。

cso 是一款面向代理的 Chief Security Officer 风格安全审计技能。它可帮助审查代码库和工作流中的密钥泄露、依赖与供应链风险、CI/CD 安全，以及基于 OWASP Top 10 和 STRIDE 的 LLM/AI 安全问题。适合用 cso 做结构化的 Security Audit 评审，支持置信门控、主动验证和趋势追踪。

attack-tree-construction 可帮助你为 Threat Modeling 构建结构化攻击树，明确根目标、AND/OR 分支以及可验证的叶子攻击节点。你可以用它梳理攻击路径、发现防御缺口，并支持安全评审、测试与缓解方案规划。

sast-configuration 技能可帮助你为真实 SAST 工作流配置 Semgrep、SonarQube 和 CodeQL。可用于规划安装步骤、CI/CD 集成、自定义规则、质量门禁，以及面向 Security Audit 和仓库定向扫描的误报调优。

stride-analysis-patterns 可帮助智能体针对架构、API 和数据流执行结构化的 STRIDE 威胁建模分析。你可以从 wshobson/agents 仓库安装，阅读 `SKILL.md` 文件，并用它将系统描述转化为按类别整理的威胁项和以控制措施为重点的评审输出。

threat-mitigation-mapping 技能用于将已识别的威胁映射到跨层的预防性、检测性和纠正性控制措施，支持纵深防御、修复规划以及控制覆盖审查。