Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

xu-xiang/security-scan

Name: security-scan
Author: xu-xiang

skills/security-scan/SKILL.md

npx skillsauth add xu-xiang/everything-claude-code-zh security-scan

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

安全扫描技能 (Security Scan Skill)

使用 AgentShield 审计您的 Claude Code 配置安全问题。

何时激活

设置新的 Claude Code 项目时
修改 .claude/settings.json、CLAUDE.md 或 MCP 配置后
提交配置更改前
加入具有现有 Claude Code 配置的新仓库时
定期的安全卫生检查

扫描对象

| 文件 | 检查项 | |------|--------| | CLAUDE.md | 硬编码密钥（Hardcoded secrets）、自动运行指令、提示词注入（Prompt injection）模式 | | settings.json | 过度宽松的允许列表（Allow lists）、缺失的拒绝列表（Deny lists）、危险的绕过标志 | | mcp.json | 风险 MCP 服务器、硬编码环境变量密钥、npx 供应链风险 | | hooks/ | 通过插值进行的命令注入、数据外泄、静默错误抑制 | | agents/*.md | 未受限的工具访问、提示词注入攻击面、缺失模型规范 |

前置条件

必须安装 AgentShield。如果需要，请检查并安装：

# 检查是否已安装
npx ecc-agentshield --version

# 全局安装（推荐）
npm install -g ecc-agentshield

# 或通过 npx 直接运行（无需安装）
npx ecc-agentshield scan .

使用方法

基础扫描 (Basic Scan)

针对当前项目的 .claude/ 目录运行：

# 扫描当前项目
npx ecc-agentshield scan

# 扫描特定路径
npx ecc-agentshield scan --path /path/to/.claude

# 使用最低严重程度过滤进行扫描
npx ecc-agentshield scan --min-severity medium

输出格式 (Output Formats)

# 终端输出（默认） — 带有评分的彩色报告
npx ecc-agentshield scan

# JSON — 用于 CI/CD 集成
npx ecc-agentshield scan --format json

# Markdown — 用于文档记录
npx ecc-agentshield scan --format markdown

# HTML — 独立包含的深色主题报告
npx ecc-agentshield scan --format html > security-report.html

自动修复 (Auto-Fix)

自动应用安全修复（仅针对标记为可自动修复的项）：

npx ecc-agentshield scan --fix

此操作将：

将硬编码密钥替换为环境变量引用
将通配符权限收紧为具体范围的替代方案
绝不修改仅限手动建议的项

Opus 4.6 深度分析 (Opus 4.6 Deep Analysis)

运行对抗性三智能体（Three-agent）管道进行更深层次的分析：

# 需要 ANTHROPIC_API_KEY
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream

此操作会运行：

攻击者（红队/Red Team） — 寻找攻击向量
防御者（蓝队/Blue Team） — 建议加固措施
审计员（最终裁决） — 综合两方观点

初始化安全配置 (Initialize Secure Config)

从头开始搭建一个新的安全 .claude/ 配置：

npx ecc-agentshield init

创建内容：

带有具体权限范围和拒绝列表（Deny list）的 settings.json
符合安全最佳实践的 CLAUDE.md
mcp.json 占位符

GitHub Action

添加到您的 CI 流水线：

- uses: affaan-m/agentshield@v1
  with:
    path: '.'
    min-severity: 'medium'
    fail-on-findings: true

严重程度等级 (Severity Levels)

| 等级 | 评分 | 含义 | |-------|-------|---------| | A | 90-100 | 安全配置 | | B | 75-89 | 存在次要问题 | | C | 60-74 | 需要注意 | | D | 40-59 | 存在重大风险 | | F | 0-39 | 存在关键漏洞 |

结果解读

关键发现（立即修复）

配置文件中存在硬编码的 API 密钥或令牌（Tokens）
允许列表（Allow list）中包含 Bash(*)（不受限的 Shell 访问）
钩子（Hooks）中通过 ${file} 插值存在的命令注入
运行 Shell 的 MCP 服务器

高风险发现（生产环境部署前修复）

CLAUDE.md 中的自动运行指令（提示词注入向量）
权限设置中缺失拒绝列表（Deny lists）
智能体（Agents）拥有不必要的 Bash 访问权限

中风险发现（建议修复）

钩子（Hooks）中的静默错误抑制（2>/dev/null，|| true）
缺失 PreToolUse 安全钩子（Hooks）
MCP 服务器配置中的 npx -y 自动安装

信息类发现（仅供参考）

MCP 服务器缺失描述信息
预防性指令被正确标记为良好实践

xu-xiang/security-scan

skills/security-scan/SKILL.md

使用 AgentShield 扫描您的 Claude Code 配置（.claude/ 目录）是否存在安全漏洞、配置错误和注入风险。检查项包括 CLAUDE.md、settings.json、MCP 服务器、钩子（Hooks）以及智能体（Agent）定义。

410 stars

tools

Updated Apr 17, 2026

$ install --global

skillsauth

npx skillsauth add xu-xiang/everything-claude-code-zh security-scan

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 17, 2026, 12:27 PM5.2s1 file scanned

SKILL.md

name:: security-scan
description:: 使用 AgentShield 扫描您的 Claude Code 配置（.claude/ 目录）是否存在安全漏洞、配置错误和注入风险。检查项包括 CLAUDE.md、settings.json、MCP 服务器、钩子（Hooks）以及智能体（Agent）定义。
origin:: ECC

安全扫描技能 (Security Scan Skill)

使用 AgentShield 审计您的 Claude Code 配置安全问题。

何时激活

设置新的 Claude Code 项目时
修改 .claude/settings.json、CLAUDE.md 或 MCP 配置后
提交配置更改前
加入具有现有 Claude Code 配置的新仓库时
定期的安全卫生检查

扫描对象

前置条件

必须安装 AgentShield。如果需要，请检查并安装：

# 检查是否已安装
npx ecc-agentshield --version

# 全局安装（推荐）
npm install -g ecc-agentshield

# 或通过 npx 直接运行（无需安装）
npx ecc-agentshield scan .

使用方法

基础扫描 (Basic Scan)

针对当前项目的 .claude/ 目录运行：

# 扫描当前项目
npx ecc-agentshield scan

# 扫描特定路径
npx ecc-agentshield scan --path /path/to/.claude

# 使用最低严重程度过滤进行扫描
npx ecc-agentshield scan --min-severity medium

输出格式 (Output Formats)

# 终端输出（默认） — 带有评分的彩色报告
npx ecc-agentshield scan

# JSON — 用于 CI/CD 集成
npx ecc-agentshield scan --format json

# Markdown — 用于文档记录
npx ecc-agentshield scan --format markdown

# HTML — 独立包含的深色主题报告
npx ecc-agentshield scan --format html > security-report.html

自动修复 (Auto-Fix)

自动应用安全修复（仅针对标记为可自动修复的项）：

npx ecc-agentshield scan --fix

此操作将：

将硬编码密钥替换为环境变量引用
将通配符权限收紧为具体范围的替代方案
绝不修改仅限手动建议的项

Opus 4.6 深度分析 (Opus 4.6 Deep Analysis)

运行对抗性三智能体（Three-agent）管道进行更深层次的分析：

# 需要 ANTHROPIC_API_KEY
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream

此操作会运行：

攻击者（红队/Red Team） — 寻找攻击向量
防御者（蓝队/Blue Team） — 建议加固措施
审计员（最终裁决） — 综合两方观点

初始化安全配置 (Initialize Secure Config)

从头开始搭建一个新的安全 .claude/ 配置：

npx ecc-agentshield init

创建内容：

带有具体权限范围和拒绝列表（Deny list）的 settings.json
符合安全最佳实践的 CLAUDE.md
mcp.json 占位符

GitHub Action

添加到您的 CI 流水线：

- uses: affaan-m/agentshield@v1
  with:
    path: '.'
    min-severity: 'medium'
    fail-on-findings: true

严重程度等级 (Severity Levels)

结果解读

关键发现（立即修复）

配置文件中存在硬编码的 API 密钥或令牌（Tokens）
允许列表（Allow list）中包含 Bash(*)（不受限的 Shell 访问）
钩子（Hooks）中通过 ${file} 插值存在的命令注入
运行 Shell 的 MCP 服务器

高风险发现（生产环境部署前修复）

CLAUDE.md 中的自动运行指令（提示词注入向量）
权限设置中缺失拒绝列表（Deny lists）
智能体（Agents）拥有不必要的 Bash 访问权限

中风险发现（建议修复）

钩子（Hooks）中的静默错误抑制（2>/dev/null，|| true）
缺失 PreToolUse 安全钩子（Hooks）
MCP 服务器配置中的 npx -y 自动安装

信息类发现（仅供参考）

MCP 服务器缺失描述信息
预防性指令被正确标记为良好实践

Related Skills

xu-xiang/visa-doc-translate

documentation

VerifiedTrustedCommunity

将签证申请文件（图像）翻译成英文，并创建包含原文和译文的双语 PDF。

411SKILL.mdUpdated Apr 18, 2026

xu-xiang/visa-doc-translate

xu-xiang/verification-loop

development

VerifiedTrustedCommunity

Claude Code 会话的全方位验证系统。

410SKILL.mdUpdated Apr 17, 2026

xu-xiang/verification-loop

xu-xiang/tdd-workflow

tools

VerifiedTrustedCommunity

在编写新功能、修复 Bug 或重构代码时使用此技能。强制执行测试驱动开发（TDD），包括单元测试、集成测试和 E2E 测试，且覆盖率需达到 80% 以上。

410SKILL.mdUpdated Apr 17, 2026

xu-xiang/tdd-workflow

xu-xiang/swiftui-patterns

tools

VerifiedTrustedCommunity

SwiftUI 架构模式，使用 @Observable 进行状态管理，视图组合、导航、性能优化以及现代 iOS/macOS UI 最佳实践。

410SKILL.mdUpdated Apr 17, 2026

xu-xiang/swiftui-patterns

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/xu-xiang/everything-claude-code-zh.git

# Copy into Claude Code skills folder (global)
cp -r everything-claude-code-zh/skills/security-scan ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

xu-xiang/everything-claude-code-zh

410 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT

Adoption

xu-xiang/security-scan

$ install --global

Security Scan Results

SKILL.md

安全扫描技能 (Security Scan Skill)

何时激活

扫描对象

前置条件

使用方法

基础扫描 (Basic Scan)

输出格式 (Output Formats)

自动修复 (Auto-Fix)

Opus 4.6 深度分析 (Opus 4.6 Deep Analysis)

初始化安全配置 (Initialize Secure Config)

GitHub Action

严重程度等级 (Severity Levels)

结果解读

关键发现（立即修复）

高风险发现（生产环境部署前修复）

中风险发现（建议修复）

信息类发现（仅供参考）

相关链接

Related Skills

xu-xiang/visa-doc-translate

xu-xiang/verification-loop

xu-xiang/tdd-workflow

xu-xiang/swiftui-patterns

xu-xiang/security-scan

$ install --global

Security Scan Results

SKILL.md

安全扫描技能 (Security Scan Skill)

何时激活

扫描对象

前置条件

使用方法

基础扫描 (Basic Scan)

输出格式 (Output Formats)

自动修复 (Auto-Fix)

Opus 4.6 深度分析 (Opus 4.6 Deep Analysis)

初始化安全配置 (Initialize Secure Config)

GitHub Action

严重程度等级 (Severity Levels)

结果解读

关键发现（立即修复）

高风险发现（生产环境部署前修复）

中风险发现（建议修复）

信息类发现（仅供参考）

相关链接

Related Skills

xu-xiang/visa-doc-translate

xu-xiang/verification-loop

xu-xiang/tdd-workflow

xu-xiang/swiftui-patterns