Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

lyxjack/security-scan

Name: security-scan
Author: lyxjack

Tool/everything-claude-code/docs/zh-CN/skills/security-scan/SKILL.md

npx skillsauth add lyxjack/toolbox security-scan

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

安全扫描技能

使用 AgentShield 审计您的 Claude Code 配置中的安全问题。

何时激活

设置新的 Claude Code 项目时
修改 .claude/settings.json、CLAUDE.md 或 MCP 配置后
提交配置更改前
加入具有现有 Claude Code 配置的新代码库时
定期进行安全卫生检查时

扫描内容

| 文件 | 检查项 | |------|--------| | CLAUDE.md | 硬编码的密钥、自动运行指令、提示词注入模式 | | settings.json | 过于宽松的允许列表、缺失的拒绝列表、危险的绕过标志 | | mcp.json | 有风险的 MCP 服务器、硬编码的环境变量密钥、npx 供应链风险 | | hooks/ | 通过 ${file} 插值导致的命令注入、数据泄露、静默错误抑制 | | agents/*.md | 无限制的工具访问、提示词注入攻击面、缺失的模型规格 |

先决条件

必须安装 AgentShield。检查并在需要时安装：

# Check if installed
npx ecc-agentshield --version

# Install globally (recommended)
npm install -g ecc-agentshield

# Or run directly via npx (no install needed)
npx ecc-agentshield scan .

使用方法

基础扫描

针对当前项目的 .claude/ 目录运行：

# Scan current project
npx ecc-agentshield scan

# Scan a specific path
npx ecc-agentshield scan --path /path/to/.claude

# Scan with minimum severity filter
npx ecc-agentshield scan --min-severity medium

输出格式

# Terminal output (default) — colored report with grade
npx ecc-agentshield scan

# JSON — for CI/CD integration
npx ecc-agentshield scan --format json

# Markdown — for documentation
npx ecc-agentshield scan --format markdown

# HTML — self-contained dark-theme report
npx ecc-agentshield scan --format html > security-report.html

自动修复

自动应用安全的修复（仅修复标记为可自动修复的问题）：

npx ecc-agentshield scan --fix

这将：

用环境变量引用替换硬编码的密钥
将通配符权限收紧为作用域明确的替代方案
绝不修改仅限手动修复的建议

Opus 4.6 深度分析

运行对抗性的三智能体流程以进行更深入的分析：

# Requires ANTHROPIC_API_KEY
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream

这将运行：

攻击者（红队） — 寻找攻击向量
防御者（蓝队） — 建议加固措施
审计员（最终裁决） — 综合双方观点

初始化安全配置

从头开始搭建一个新的安全 .claude/ 配置：

npx ecc-agentshield init

创建：

具有作用域权限和拒绝列表的 settings.json
遵循安全最佳实践的 CLAUDE.md
mcp.json 占位符

GitHub Action

添加到您的 CI 流水线中：

- uses: affaan-m/agentshield@v1
  with:
    path: '.'
    min-severity: 'medium'
    fail-on-findings: true

严重性等级

| 等级 | 分数 | 含义 | |-------|-------|---------| | A | 90-100 | 安全配置 | | B | 75-89 | 轻微问题 | | C | 60-74 | 需要注意 | | D | 40-59 | 显著风险 | | F | 0-39 | 严重漏洞 |

结果解读

关键发现（立即修复）

配置文件中硬编码的 API 密钥或令牌
允许列表中存在 Bash(*)（无限制的 shell 访问）
钩子中通过 ${file} 插值导致的命令注入
运行 shell 的 MCP 服务器

高优先级发现（生产前修复）

CLAUDE.md 中的自动运行指令（提示词注入向量）
权限配置中缺少拒绝列表
具有不必要 Bash 访问权限的代理

中优先级发现（建议修复）

钩子中的静默错误抑制（2>/dev/null、|| true）
缺少 PreToolUse 安全钩子
MCP 服务器配置中的 npx -y 自动安装

信息性发现（了解情况）

MCP 服务器缺少描述信息
正确标记为良好实践的限制性指令

链接

GitHub: github.com/affaan-m/agentshield
npm: npmjs.com/package/ecc-agentshield

lyxjack/security-scan

Tool/everything-claude-code/docs/zh-CN/skills/security-scan/SKILL.md

使用AgentShield扫描您的Claude代码配置（.claude/目录），以发现安全漏洞、配置错误和注入风险。检查CLAUDE.md、settings.json、MCP服务器、钩子和代理定义。

1 stars

tools

Updated Apr 23, 2026

$ install --global

skillsauth

npx skillsauth add lyxjack/toolbox security-scan

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Mar 29, 2026, 6:51 AM36.9s1 file scanned

SKILL.md

name:: security-scan
description:: 使用AgentShield扫描您的Claude代码配置（.claude/目录），以发现安全漏洞、配置错误和注入风险。检查CLAUDE.md、settings.json、MCP服务器、钩子和代理定义。
origin:: ECC

安全扫描技能

使用 AgentShield 审计您的 Claude Code 配置中的安全问题。

何时激活

设置新的 Claude Code 项目时
修改 .claude/settings.json、CLAUDE.md 或 MCP 配置后
提交配置更改前
加入具有现有 Claude Code 配置的新代码库时
定期进行安全卫生检查时

扫描内容

先决条件

必须安装 AgentShield。检查并在需要时安装：

# Check if installed
npx ecc-agentshield --version

# Install globally (recommended)
npm install -g ecc-agentshield

# Or run directly via npx (no install needed)
npx ecc-agentshield scan .

使用方法

基础扫描

针对当前项目的 .claude/ 目录运行：

# Scan current project
npx ecc-agentshield scan

# Scan a specific path
npx ecc-agentshield scan --path /path/to/.claude

# Scan with minimum severity filter
npx ecc-agentshield scan --min-severity medium

输出格式

# Terminal output (default) — colored report with grade
npx ecc-agentshield scan

# JSON — for CI/CD integration
npx ecc-agentshield scan --format json

# Markdown — for documentation
npx ecc-agentshield scan --format markdown

# HTML — self-contained dark-theme report
npx ecc-agentshield scan --format html > security-report.html

自动修复

自动应用安全的修复（仅修复标记为可自动修复的问题）：

npx ecc-agentshield scan --fix

这将：

用环境变量引用替换硬编码的密钥
将通配符权限收紧为作用域明确的替代方案
绝不修改仅限手动修复的建议

Opus 4.6 深度分析

运行对抗性的三智能体流程以进行更深入的分析：

# Requires ANTHROPIC_API_KEY
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream

这将运行：

攻击者（红队） — 寻找攻击向量
防御者（蓝队） — 建议加固措施
审计员（最终裁决） — 综合双方观点

初始化安全配置

从头开始搭建一个新的安全 .claude/ 配置：

npx ecc-agentshield init

创建：

具有作用域权限和拒绝列表的 settings.json
遵循安全最佳实践的 CLAUDE.md
mcp.json 占位符

GitHub Action

添加到您的 CI 流水线中：

- uses: affaan-m/agentshield@v1
  with:
    path: '.'
    min-severity: 'medium'
    fail-on-findings: true

严重性等级

结果解读

关键发现（立即修复）

配置文件中硬编码的 API 密钥或令牌
允许列表中存在 Bash(*)（无限制的 shell 访问）
钩子中通过 ${file} 插值导致的命令注入
运行 shell 的 MCP 服务器

高优先级发现（生产前修复）

CLAUDE.md 中的自动运行指令（提示词注入向量）
权限配置中缺少拒绝列表
具有不必要 Bash 访问权限的代理

中优先级发现（建议修复）

钩子中的静默错误抑制（2>/dev/null、|| true）
缺少 PreToolUse 安全钩子
MCP 服务器配置中的 npx -y 自动安装

信息性发现（了解情况）

MCP 服务器缺少描述信息
正确标记为良好实践的限制性指令

链接

GitHub: github.com/affaan-m/agentshield
npm: npmjs.com/package/ecc-agentshield

Related Skills

lyxjack/unity-mcp-orchestrator

tools

VerifiedTrustedCommunity

Orchestrate Unity Editor via MCP (Model Context Protocol) tools and resources. Use when working with Unity projects through MCP for Unity - creating/modifying GameObjects, editing scripts, managing scenes, running tests, or any Unity Editor automation. Provides best practices, tool schemas, and workflow patterns for effective Unity-MCP integration.

1SKILL.mdUpdated Jun 11, 2026

lyxjack/unity-mcp-orchestrator

lyxjack/test-driven-development

development

VerifiedTrustedCommunity

Use when implementing any feature or bugfix, before writing implementation code

1SKILL.mdUpdated Jun 11, 2026

lyxjack/test-driven-development

lyxjack/systematic-debugging

development

VerifiedTrustedCommunity

Use when encountering any bug, test failure, or unexpected behavior, before proposing fixes

1SKILL.mdUpdated Jun 11, 2026

lyxjack/systematic-debugging

lyxjack/writing-skills

testing

VerifiedTrustedCommunity

Use when creating new skills, editing existing skills, or verifying skills work before deployment

1SKILL.mdUpdated Jun 11, 2026

lyxjack/writing-skills

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/lyxjack/toolbox.git

# Copy into Claude Code skills folder (global)
cp -r toolbox/Tool/everything-claude-code/docs/zh-CN/skills/security-scan ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

lyxjack/toolbox

1 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT