SiniyaYousuf/security-scan
docs/ja-JP/skills/security-scan/SKILL.md
AgentShield を使用して、Claude Code の設定(.claude/ ディレクトリ)のセキュリティ脆弱性、設定ミス、インジェクションリスクをスキャンします。CLAUDE.md、settings.json、MCP サーバー、フック、エージェント定義をチェックします。
$ install --global
skillsauthnpx skillsauth add SiniyaYousuf/everything_claudecode security-scanInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Mar 29, 2026, 5:15 AM36.9s1 file scanned
SKILL.md
- name:
- security-scan
- description:
- AgentShield を使用して、Claude Code の設定(.claude/ ディレクトリ)のセキュリティ脆弱性、設定ミス、インジェクションリスクをスキャンします。CLAUDE.md、settings.json、MCP サーバー、フック、エージェント定義をチェックします。
Security Scan Skill
AgentShield を使用して、Claude Code の設定のセキュリティ問題を監査します。
起動タイミング
- 新しい Claude Code プロジェクトのセットアップ時
.claude/settings.json、CLAUDE.md、または MCP 設定の変更後- 設定変更をコミットする前
- 既存の Claude Code 設定を持つ新しいリポジトリにオンボーディングする際
- 定期的なセキュリティ衛生チェック
スキャン対象
| ファイル | チェック内容 |
|------|--------|
| CLAUDE.md | ハードコードされたシークレット、自動実行命令、プロンプトインジェクションパターン |
| settings.json | 過度に寛容な許可リスト、欠落した拒否リスト、危険なバイパスフラグ |
| mcp.json | リスクのある MCP サーバー、ハードコードされた環境シークレット、npx サプライチェーンリスク |
| hooks/ | 補間によるコマンドインジェクション、データ流出、サイレントエラー抑制 |
| agents/*.md | 無制限のツールアクセス、プロンプトインジェクション表面、欠落したモデル仕様 |
前提条件
AgentShield がインストールされている必要があります。確認し、必要に応じてインストールします:
# インストール済みか確認
npx ecc-agentshield --version
# グローバルにインストール(推奨)
npm install -g ecc-agentshield
# または npx 経由で直接実行(インストール不要)
npx ecc-agentshield scan .
使用方法
基本スキャン
現在のプロジェクトの .claude/ ディレクトリに対して実行します:
# 現在のプロジェクトをスキャン
npx ecc-agentshield scan
# 特定のパスをスキャン
npx ecc-agentshield scan --path /path/to/.claude
# 最小深刻度フィルタでスキャン
npx ecc-agentshield scan --min-severity medium
出力フォーマット
# ターミナル出力(デフォルト) — グレード付きのカラーレポート
npx ecc-agentshield scan
# JSON — CI/CD 統合用
npx ecc-agentshield scan --format json
# Markdown — ドキュメント用
npx ecc-agentshield scan --format markdown
# HTML — 自己完結型のダークテーマレポート
npx ecc-agentshield scan --format html > security-report.html
自動修正
安全な修正を自動的に適用します(自動修正可能とマークされた修正のみ):
npx ecc-agentshield scan --fix
これにより以下が実行されます:
- ハードコードされたシークレットを環境変数参照に置き換え
- ワイルドカード権限をスコープ付き代替に厳格化
- 手動のみの提案は変更しない
Opus 4.6 ディープ分析
より深い分析のために敵対的な3エージェントパイプラインを実行します:
# ANTHROPIC_API_KEY が必要
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream
これにより以下が実行されます:
- 攻撃者(レッドチーム) — 攻撃ベクトルを発見
- 防御者(ブルーチーム) — 強化を推奨
- 監査人(最終判定) — 両方の観点を統合
安全な設定の初期化
新しい安全な .claude/ 設定をゼロから構築します:
npx ecc-agentshield init
作成されるもの:
- スコープ付き権限と拒否リストを持つ
settings.json - セキュリティベストプラクティスを含む
CLAUDE.md mcp.jsonプレースホルダー
GitHub Action
CI パイプラインに追加します:
- uses: affaan-m/agentshield@v1
with:
path: '.'
min-severity: 'medium'
fail-on-findings: true
深刻度レベル
| グレード | スコア | 意味 | |-------|-------|---------| | A | 90-100 | 安全な設定 | | B | 75-89 | 軽微な問題 | | C | 60-74 | 注意が必要 | | D | 40-59 | 重大なリスク | | F | 0-39 | クリティカルな脆弱性 |
結果の解釈
クリティカルな発見(即座に修正)
- 設定ファイル内のハードコードされた API キーまたはトークン
- 許可リスト内の
Bash(*)(無制限のシェルアクセス) ${file}補間によるフック内のコマンドインジェクション- シェルを実行する MCP サーバー
高い発見(本番前に修正)
- CLAUDE.md 内の自動実行命令(プロンプトインジェクションベクトル)
- 権限内の欠落した拒否リスト
- 不要な Bash アクセスを持つエージェント
中程度の発見(推奨)
- フック内のサイレントエラー抑制(
2>/dev/null、|| true) - 欠落した PreToolUse セキュリティフック
- MCP サーバー設定内の
npx -y自動インストール
情報の発見(認識)
- MCP サーバーの欠落した説明
- 正しくフラグ付けされた禁止命令(グッドプラクティス)
リンク
- GitHub: github.com/affaan-m/agentshield
- npm: npmjs.com/package/ecc-agentshield
Related Skills
SiniyaYousuf/x-api
development
VerifiedTrustedCommunity
X/Twitter API integration for posting tweets, threads, reading timelines, search, and analytics. Covers OAuth auth patterns, rate limits, and platform-native content posting. Use when the user wants to interact with X programmatically.
9SKILL.mdUpdated Apr 21, 2026
SiniyaYousuf/visa-doc-translate
documentation
VerifiedTrustedCommunity
Translate visa application documents (images) to English and create a bilingual PDF with original and translation
9SKILL.mdUpdated Apr 21, 2026
SiniyaYousuf/videodb
tools
VerifiedTrustedCommunity
See, Understand, Act on video and audio. See- ingest from local files, URLs, RTSP/live feeds, or live record desktop; return realtime context and playable stream links. Understand- extract frames, build visual/semantic/temporal indexes, and search moments with timestamps and auto-clips. Act- transcode and normalize (codec, fps, resolution, aspect ratio), perform timeline edits (subtitles, text/image overlays, branding, audio overlays, dubbing, translation), generate media assets (image, audio, video), and create real time alerts for events from live streams or desktop capture.
9SKILL.mdUpdated Apr 21, 2026
SiniyaYousuf/video-editing
development
VerifiedTrustedCommunity
AI-assisted video editing workflows for cutting, structuring, and augmenting real footage. Covers the full pipeline from raw capture through FFmpeg, Remotion, ElevenLabs, fal.ai, and final polish in Descript or CapCut. Use when the user wants to edit video, cut footage, create vlogs, or build video content.
9SKILL.mdUpdated Apr 21, 2026