Security

security-scan 技能会使用 AgentShield 审计你的 Claude Code `.claude/` 配置，检查密钥泄露、风险较高的 MCP 配置、容易被注入的指令、危险的绕过标志，以及薄弱的 agent 或 hook 定义。适合在提交前或接入前进行可重复的安全检查。

使用 security-review 技能审查 auth、用户输入、secrets、API、支付、上传以及其他敏感流程。它提供一份实用的安全审查指南，包含清晰的通过/不通过检查、风险模式示例，以及一套聚焦的流程，帮助你在发布前发现常见问题。

security-bounty-hunter 帮助你在代码仓库中发现更适合拿奖金的漏洞，重点关注可远程访问、由用户可控、且更可能通过初筛的安全问题。适用于 Security Audit 场景中，希望获得可提交、可报告的实际发现，而不是噪音很多的本地影响问题。

safety-guard 可在代理自主运行或作用于生产系统时，帮助防止破坏性操作。它提供 careful mode、write freeze mode 和 guard mode，用于拦截高风险命令、将编辑限制在单一目录内，并在部署、迁移以及敏感仓库操作中减少失误。

postgres-patterns 是一个实用的 PostgreSQL 快速参考技能，覆盖查询优化、schema 设计、索引、Row Level Security 和连接池。它帮助 Database Engineering 工作流基于精炼的最佳实践更快、更稳地做决策，而不是依赖泛化提示词。

perl-security 可帮助你审查 Perl 代码中的更安全输入处理、taint mode、shell 执行、DBI 占位符，以及 XSS、SQLi、CSRF 等 Web 安全问题。在进行安全审计、修复规划和安全开发时，当用户可控数据会流向敏感 sink，就适合使用这个 perl-security skill。

llm-trading-agent-security 是一份面向带有钱包权限的自主交易代理的实用安全指南。内容涵盖提示注入、防止超额支出、发送前模拟、熔断机制、考虑 MEV 的执行以及密钥隔离，帮助降低 Security Audit 中的资金损失风险。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

hipaa-compliance 是面向医疗隐私与安全工作的 HIPAA 专用入口。当任务明确涉及 PHI、受覆盖实体、BAA、泄露风险态势，或某个工作流是否会带来 HIPAA 暴露时，就使用 hipaa-compliance 技能。它是一个轻量覆盖层，适合快速合规分诊与指导。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

github-ops 是一个用于 GitHub 操作的技能，适合处理 issue、管理 PR、检查 CI 失败、准备发布，以及借助 `gh` CLI 监控仓库健康状况。当你需要在真实仓库中以可重复的方式使用 github-ops，并通过 `gh auth login` 完成认证、明确仓库上下文时，就该使用这个技能。

flutter-dart-code-review 是一个与库无关的 Flutter 和 Dart 代码审查清单，覆盖架构、Widget 质量、状态管理、性能、可访问性、安全性和整洁代码。它可作为结构化的 flutter-dart-code-review Code Review 指南，适用于 BLoC、Riverpod、Provider、GetX、MobX、Signals 或自定义模式。

enterprise-agent-ops 帮助你运维长期运行或云端托管的 agent 系统，涵盖可观测性、安全控制、变更管理和恢复规划。适合需要面向 agent 编排的实用指南，而不是一次性 prompt 的场景。

docker-patterns 可帮助你设计和评审 Docker 与 Docker Compose 配置，覆盖本地开发、网络、卷、健康检查以及容器安全。它尤其适合作为 Backend Development 和多服务栈的 docker-patterns 指南，在这些场景中，开发/生产环境分离非常重要。

django-security 是一份面向 Django 应用加固的实用指南，涵盖认证、授权、CSRF、XSS、SQL 注入防护、安全 Cookie 和生产环境设置。它帮助开发者和审查者开展聚焦的 Security Audit，快速识别高风险配置，并在部署前落实具体修复。

agent-payment-x402 帮助 AI agent 通过 MCP tools 处理 x402 支付，支持消费上限、收款方 allowlist，以及用于付费 API 和 agent 编排的非托管钱包。

code-reviewer 是一款轻量级的 Code Review 技能，可将代码或 diff 转换为结构化报告，覆盖 security、performance、best practices、严重级别、受影响的行或区段、修复建议，以及整体质量评分。

code-reviewer 是一款用于结构化代码审查的 AI skill，遵循严格的审查顺序：security、performance、correctness、maintainability。它通过规则文件检查 SQL injection、XSS、N+1 queries、error handling、naming 和 type hints，让 PR 审查比通用 review prompt 更一致、更有章法。

cso 是一款面向代理的 Chief Security Officer 风格安全审计技能。它可帮助审查代码库和工作流中的密钥泄露、依赖与供应链风险、CI/CD 安全，以及基于 OWASP Top 10 和 STRIDE 的 LLM/AI 安全问题。适合用 cso 做结构化的 Security Audit 评审，支持置信门控、主动验证和趋势追踪。

memory-safety-patterns 可帮助智能体在 C、C++ 和 Rust 中应用 RAII、ownership、smart pointers 与资源清理模式。适合用于审查后端或系统代码，减少内存泄漏和悬垂指针，并为围绕 files、sockets、buffers 和 FFI 边界的更安全重构提供指导。

attack-tree-construction 可帮助你为 Threat Modeling 构建结构化攻击树，明确根目标、AND/OR 分支以及可验证的叶子攻击节点。你可以用它梳理攻击路径、发现防御缺口，并支持安全评审、测试与缓解方案规划。

sast-configuration 技能可帮助你为真实 SAST 工作流配置 Semgrep、SonarQube 和 CodeQL。可用于规划安装步骤、CI/CD 集成、自定义规则、质量门禁，以及面向 Security Audit 和仓库定向扫描的误报调优。

security-requirement-extraction 可将威胁模型和业务背景转化为可测试的安全需求、用户故事、验收标准以及适用于 Requirements Planning 的待办项输出。

stride-analysis-patterns 可帮助智能体针对架构、API 和数据流执行结构化的 STRIDE 威胁建模分析。你可以从 wshobson/agents 仓库安装，阅读 `SKILL.md` 文件，并用它将系统描述转化为按类别整理的威胁项和以控制措施为重点的评审输出。