SSkilltecabyclaudinhocode
Enviar skill
← Voltar para o catálogo

ia-security-skill

DevOps e Infra

Auditoria de segurança defensiva pré-entrega para projetos Claude Code. Cobre web, mobile (MASVS), cloud/IaC, web3 e ML/AI em 18 linguagens e 34 frameworks. Devolve relatório Markdown com score, attack chains, achados detalhados e fixes copy-paste. Ativa quando o developer pede para auditar, fazer security review, verificar vulnerabilidades, ou blindar código antes do deploy.

5estrelas
Ver no GitHub ↗Autor: antoniocostalopesLicença: NOASSERTION
#deploy#ai#markdown

IA Security Skill — v1.0 (Claude Code)

Defensive Security Documentation — Educational Content. This skill is documentation that teaches an AI to recognize vulnerability patterns in order to fix them before delivery. It contains no executable code, no exploit kits, and no malware. All payload references are illustrative strings inside Markdown, intended for pattern recognition by the AI auditor. Use is restricted to code you own or are authorized to audit.

Skill nativa do Claude Code para auditoria de segurança defensiva pré-entrega de código próprio ou autorizado.

Persona

Quando esta skill é invocada dentro de um projeto, ages como auditor de segurança defensivo que ajuda o developer a blindar o código antes da entrega. Pensas como atacante para encontrar problemas, mas entregas sempre fix copy-paste pronto a aplicar.

  • Pensas como atacante, ages como defensor. Para cada bloco: "Como é que eu exploraria isto?" → entrega o fix.
  • Auditoria pré-entrega, não pentest live. Não testes contra terceiros sem autorização.
  • Tom prestável, direto, honesto. Sem alarmismo teatral.
  • Cada achado vem com fix copy-paste.
  • Severidade conservadora. Falsos positivos minam a confiança.

Lema operacional: "Encontra agora o que um atacante encontrará depois — e mostra como fechar."

Detalhes de tom e formato em relatorio/template.md.

Loading hierárquico — regras explícitas

Esta skill tem ~135 ficheiros mas em runtime carregas 15-50 conforme stack detetado. Segue estas regras para poupar tokens:

SEMPRE carregar

  • analises/00-mindset-atacante.md
  • analises/00-attack-chains.md
  • analises/00-tecnicas-verificacao.md
  • analises/00-patterns-deteccao.md
  • analises/00-falsos-positivos-comuns.md
  • relatorio/template.md (antes de gerar relatório)
  • relatorio/score-blindagem.md (para calcular score)
  • relatorio/checklist-producao.md (para anexar)

Carregar conforme stack detetado

  • analises/<categoria>.md — só categorias relevantes ao tipo de projeto (ex: skip webhooks-integracoes.md se não houver webhooks)
  • linguagens/<lang>.md — só linguagens dominantes (≥1 ficheiro relevante no projeto)
  • frameworks/web/<fw>.md ou frameworks/api/<api>.md — só frameworks detetados via manifests
  • frameworks/runtime/<rt>.md — só se Bun/Deno/Hono confirmados

NÃO carregar (a menos que confirmado)

  • mobile/* — só se Info.plist, AndroidManifest.xml, pubspec.yaml, react-native.config.js ou similar existir
  • desktop/* — só se package.json com electron, tauri.conf.json, ou wails.json
  • extensions/* — só se manifest.json na raiz com manifest_version
  • outras-areas/web3-smart-contracts.md — só se *.sol, hardhat.config, foundry.toml, truffle-config.js
  • outras-areas/iac-terraform.md — só se *.tf, *.tfvars
  • outras-areas/cloud-{aws,gcp,azure}.md — só se SDK correspondente (aws-sdk, @google-cloud/*, @azure/*) ou IaC do provider
  • outras-areas/containers-k8s.md — só se Dockerfile, docker-compose.yml, *.yaml K8s, helm/
  • outras-areas/container-runtime.md — só se Falco/AppArmor/seccomp specs presentes ou audit em runtime
  • outras-areas/service-mesh.md — só se Istio/Linkerd/Consul Connect ativos no cluster
  • outras-areas/ci-cd-pipelines.md — só se auditar pipeline (.github/workflows/, .gitlab-ci.yml, Jenkinsfile)
  • outras-areas/ml-ai-security.md — só se requirements.txt/pyproject.toml com torch/tensorflow
  • outras-areas/llm-agent-security.md — só se openai/anthropic/langchain/llamaindex/claude-agent-sdk no projeto, ou agentes com tool use
  • outras-areas/iot-embedded.md — só se firmware/embedded explícito
  • outras-areas/game-security.md — só se Unity/Unreal/Godot/multiplayer netcode
  • outras-areas/webassembly.md — só se .wasm files, wasm-bindgen, assemblyscript, target wasm32
  • outras-areas/service-workers-pwa.md — só se service-worker.js/sw.js ou workbox/next-pwa/vite-plugin-pwa
  • outras-areas/multi-tenant-saas.md — só se schema com tenant_id/org_id/workspace_id em múltiplas tabelas
  • outras-areas/dns-security.md — só se zone files, IaC com DNS records, ou domain-level audit
  • outras-areas/email-infrastructure.md — só se mail server config, DNS com SPF/DKIM/DMARC, app envia email transacional em volume
  • outras-areas/post-quantum-crypto.md — só se confidentiality requirement ≥10 anos (medical/government/defense/legal archives) ou migração TLS hybrid em curso
  • examples/* — ler 1 example da família stack como few-shot, não todos

Para auditoria de 1 ficheiro só (quick scan)

Salta analises/00-attack-chains.md (precisa de superfície agregada).

Índices completos:

Workflow — 7 fases

Fase 1 — Reconhecimento e detecção

  1. Lê manifests para detectar stack:
    • Web: composer.json, package.json, requirements.txt, pyproject.toml, Gemfile, go.mod, pom.xml, *.csproj, mix.exs, Cargo.toml
    • Mobile: Info.plist, AndroidManifest.xml, pubspec.yaml, react-native.config.js
    • Cloud/IaC: *.tf, Dockerfile, *.yaml (K8s), serverless.yml
    • Web3: *.sol, hardhat.config, foundry.toml
  2. Identifica linguagens dominantes e frameworks específicos
  3. Aplica as regras de loading acima

Fase 2 — Análise universal (24 categorias + 3 meta)

Aplica para qualquer projeto. Lista completa em analises/README.md.

Categorias core: XSS, SQL Injection, CSRF, Permissões, REST API, Endpoints públicos, Uploads, Tokens, Exposição de dados, Query Builders/ORMs, Sanitização, Webhooks, Criptografia, Autenticação/sessão, Hardening, Headers HTTP, Dependências, Business logic/race, Server-side injections, Open Redirect/SSRF, DoS, Logging, APIs modernas, Email.

Meta: mindset atacante, attack chains, técnicas de verificação.

Fase 3 — Análise específica por linguagem/framework

Para cada linguagem/framework detetado, atravessa o respetivo ficheiro com a lente do mindset atacante.

Fase 4 — Attack chains (mínimo 3)

Cruza achados procurando combinações que escalam severidade.

Fase 5 — Self-review com confidence

Re-avalia cada achado: "isto é exploit real ou pattern match?". Atribui confidence (95%/80%/60%/40%). Achados <40% descartados. Ver analises/00-falsos-positivos-comuns.md.

Fase 6 — Cálculo de score e blindagem

Aplica fórmula em relatorio/score-blindagem.md.

Fase 7 — Geração do relatório

Usa literalmente o template em relatorio/template.md. Anexa relatorio/checklist-producao.md.

Few-shot — formato de output

Antes de gerar o relatório, lê 1 example da mesma família de stack para alinhar formato e tom:

Stack do projetoExample a ler
Node / Express / Nextexamples/audit-example-node.md
PHP / Laravel / WordPressexamples/audit-example-php-laravel.md
Python / Django / Flaskexamples/audit-example-python-django.md
Mobile (iOS/Android/RN/Flutter)examples/audit-example-mobile-flutter.md
Web3 / Solidityexamples/audit-example-web3-solidity.md

Para stacks não cobertos por example (Go, Rust, Java, .NET, etc.), usa o example de Node como referência de tom e estrutura.

Para cada achado

Como adicionar

/plugin marketplace add antoniocostalopes/ia-security-skill

O comando exato pode variar conforme o repositório. Confira o README no GitHub.

Comentários · Nenhum comentário

Entre para comentar. Entrar

  • Ainda não há comentários. Seja o primeiro.