技能 security-guardian
📦
security-guardian
中風險 ⚙️
外部命令🌐
網路存取⚡
包含腳本📁
檔案系統存取🔑
環境變數
稽核應用程式安全風險
安全審查經常遺漏常見的漏洞模式與薄弱的設計選擇。此技能為 Claude、Codex 和 Claude Code 提供應用程式安全稽核與修復規劃的結構化指引。
支援: Claude Codex Code(CC)
1
下載技能 ZIP
2
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
3
開啟並開始使用
Agent 可讀資源
當 AI Agent、爬蟲或腳本需要乾淨脈絡、而不是讀取完整頁面時,請使用這些連結。
測試它
正在使用「security-guardian」。 在發布前審查新的檔案上傳 endpoint。
預期結果:
- 高風險:依內容驗證檔案類型,而不只是副檔名。
- 中風險:將上傳檔案儲存在 web root 之外。
- 建議檢查:大小限制、防毒掃描、隨機化檔名,以及下載時的授權。
正在使用「security-guardian」。 稽核以 JWT 為基礎的 session 實作。
預期結果:
- 檢查 token 簽章演算法、到期時間、refresh 流程、儲存位置、撤銷與 audience 驗證。
- 當涉及敏感資料時,將缺少輪替或長效 token 標記為較高風險。
正在使用「security-guardian」。 為 injection 發現建立修復摘要。
預期結果:
報告應說明受影響的進入點、不安全的資料流、業務影響、偏好的修復方式,以及證明問題已解決的測試。
安全審計
中風險v6 • 6/28/2026
Static analysis detected many dangerous command, network, filesystem, script, and secret patterns. Manual review found these are primarily security-training examples and audit checklists, not executable code or hidden exfiltration. The skill is publishable with a medium dual-use warning because it documents exploit payloads and sensitive target examples.
26
已掃描檔案
7,813
分析行數
10
發現
6
審計總數
中風險問題 (2)
vulnerabilities/command-injection.md:28-33vulnerabilities/path-traversal.md:14-16vulnerabilities/ssrf.md:46-54vulnerabilities/xxe.md:16vulnerabilities/xss.md:52-56
Dual-use exploit reference content
The skill includes concrete examples of command injection, path traversal, SSRF metadata access, XXE file disclosure, and XSS sink patterns. These are presented as vulnerability examples and audit targets, but they can also help users construct tests or payloads.
Bash tool permission in a security audit skill
The skill declares Bash as an allowed tool while also instructing users to search vulnerability patterns. This is expected for code auditing, but command execution should remain limited to local inspection commands and user-approved project analysis.
低風險問題 (3)
vulnerabilities/command-injection.md:26-34api-security/rate-limiting.md:22-26authentication/jwt-security.md:13-19
Static command execution findings are documentation examples
Most external command findings are code snippets or pattern lists used to teach auditors what vulnerable code looks like. I did not find evidence that the skill itself executes these snippets.
vulnerabilities/path-traversal.md:266-286secrets-management/secrets-detection.md:230-237secrets-management/secrets-detection.md:296-300
Sensitive file and credential strings are audit targets
Sensitive paths, credential filenames, and placeholder API key strings appear in checklists and training examples. They describe what to detect or exclude, not files being read by the skill.
No prompt injection attempt found
Targeted review found no instructions claiming special authority, telling the evaluator to ignore prior instructions, or asking to skip security analysis. Administrator appears only inside a Windows path example.
風險因素
⚙️ 外部命令 (3)
🌐 網路存取 (3)
⚡ 包含腳本 (3)
📁 檔案系統存取 (3)
🔑 環境變數 (1)
偵測到的模式
Dynamic code execution patternsCommand injection payload examplesSensitive path traversal targetsCloud metadata endpoint examples
審計單位: codex 檢視審計紀錄 →
品質評分
55
架構
100
可維護性
87
內容
70
社群
49
安全
83
規範符合度
你可以打造什麼
審查敏感的 pull request
在合併高風險程式碼前,檢查身分驗證、授權、驗證與資料存取變更。
規劃安全的功能設計
在開始實作前,識別濫用案例、必要控制措施、記錄需求與隱私風險。
準備修復報告
將發現的漏洞轉化為具優先順序的修復項目,並包含清楚的影響、負責人指引與驗證步驟。
試試這些提示
基本安全審查
審查此變更的應用程式安全風險。聚焦於輸入驗證、身分驗證、授權、機密與不安全的資料處理。以嚴重性、影響與修復方式回報發現。
OWASP 重點稽核
依據 OWASP Top 10 稽核此功能。識別可能的漏洞,說明每個漏洞的重要性,並列出符合現有程式碼庫的具體修復方式。
身分驗證與授權審查
分析此身分驗證與授權流程。檢查 token 處理、session 生命週期、MFA、RBAC 或 IDOR 風險、暴力破解防護與稽核記錄。
進階威脅模型與修復計畫
為此功能建立威脅模型,然後執行安全審查。優先處理可被利用的風險,將每項風險對應到可能影響,提出修復方式,並定義驗證測試。
最佳實務
- 僅在你擁有或已獲授權測試的程式碼與系統上執行審查。
- 提供周邊程式碼路徑、framework、威脅模型與部署脈絡。
- 針對每個已確認問題要求修復步驟與驗證測試。
避免
- 未經授權,請勿對第三方系統使用 exploit 範例。
- 不要在沒有脈絡的情況下,將每個模式匹配都視為已確認漏洞。
- 不要將真實機密、private keys 或正式環境客戶資料貼到 prompts 中。
常見問題
這是自動化漏洞掃描器嗎?
不是。它是供 Claude、Codex 和 Claude Code 使用的結構化安全審查指南。它需要程式碼脈絡與人類判斷。
它可以審查 OWASP Top 10 問題嗎?
可以。它包含常見 web 風險的指引,例如 injection、XSS、SSRF、XXE、broken access control 與 insecure design。
它會自動執行安全測試嗎?
不會。它提供審查指引與範例檢查。任何主動測試都應由使用者授權並控制。
為什麼風險等級是中等?
這些檔案包含用於防禦教育的 exploit payload 範例與敏感目標字串。它們不是隱藏的可執行行為,但屬於雙重用途。
我可以將它用於專有程式碼嗎?
可以,前提是你的 AI 工具與組織允許此用途。請避免分享真實機密、憑證或受規範的個人資料。
我應該期待什麼輸出?
你可以預期得到按優先順序排列的發現,包含嚴重性、影響、證據、修復指引與建議的驗證步驟。