一个来自 Trail of Bits 的 Claude Code 插件市场,提供用于增强 AI 辅助安全分析、测试和开发工作流的技能。
另请参阅:claude-code-config · skills-curated · claude-code-devcontainer · dropkit
/plugin marketplace add trailofbits/skills
/plugin menu
Codex 原生技能发现通过本仓库中的 sidecar .codex/skills/ 目录树支持。
安装方法:
git clone https://github.com/trailofbits/skills.git ~/.codex/trailofbits-skills
~/.codex/trailofbits-skills/.codex/scripts/install-for-codex.sh
更多详情请参阅 .codex/INSTALL.md。
要在本地添加市场(例如,用于测试或开发),请导航到本仓库的父目录:
cd /path/to/parent # 例如,如果仓库位于 ~/projects/skills,则进入 ~/projects 目录
/plugins marketplace add ./skills
| 插件 | 描述 |
|---|---|
| building-secure-contracts | 智能合约安全工具包,包含针对 6 种区块链的漏洞扫描器 |
| entry-point-analyzer | 识别智能合约中可改变状态的入口点,用于安全审计 |
| 插件 | 描述 |
|---|---|
| agentic-actions-auditor | 审计 GitHub Actions 工作流,查找 AI 代理安全漏洞 |
| audit-context-building | 通过超细粒度代码分析构建深层架构上下文 |
| burpsuite-project-parser | 从 Burp Suite 项目文件中搜索和提取数据 |
| differential-review | 安全导向的代码变更差异审查,包含 Git 历史分析 |
| dimensional-analysis | 为代码库添加维度分析注释,以检测单位不匹配和公式错误 |
| fp-check | 系统化的误报验证工具,用于安全漏洞分析,包含强制门控审查 |
| insecure-defaults | 检测不安全的默认配置、硬编码凭据和“失败开放”安全模式 |
| semgrep-rule-creator | 创建和优化用于自定义漏洞检测的 Semgrep 规则 |
| semgrep-rule-variant-creator | 将现有 Semgrep 规则移植到新的目标语言,并进行测试驱动验证 |
| sharp-edges | 识别易出错的 API、危险配置和易误用设计 |
| static-analysis | 静态分析工具包,包含 CodeQL、Semgrep 和 SARIF 解析 |
| supply-chain-risk-auditor | 审计项目依赖项的供应链威胁态势 |
| testing-handbook-skills | 来自 Testing Handbook 的技能:模糊测试、静态分析、净化器、覆盖率 |
| variant-analysis | 使用基于模式的分析在代码库中查找类似漏洞 |
| 插件 | 描述 |
|---|---|
| yara-authoring | YARA 检测规则编写工具,包含代码检查、原子分析和最佳实践 |
| 插件 | 描述 |
|---|---|
| constant-time-analysis | 检测密码学代码中由编译器引入的时序侧信道 |
| property-based-testing | 为多种语言和智能合约提供基于属性的测试指导 |
| spec-to-code-compliance | 用于区块链审计的规范到代码合规性检查器 |
| zeroize-audit | 检测 C/C++ 和 Rust 代码中缺失或被编译器消除的密钥清零操作 |
| 插件 | 描述 |
|---|---|
| dwarf-expert | 交互并理解 DWARF 调试格式 |
| 插件 | 描述 |
|---|---|
| firebase-apk-scanner | 扫描 Android APK 文件,查找 Firebase 安全配置错误 |
| 插件 | 描述 |
|---|---|
| ask-questions-if-underspecified | 在实现前澄清需求 |
| devcontainer-setup | 创建预配置的 devcontainer,包含 Claude Code 和特定语言工具链 |
| gh-cli | 拦截 GitHub URL 获取请求,并重定向到已认证的 gh CLI |
| git-cleanup | 安全清理 git worktree 和本地分支,采用门控确认工作流 |
| let-fate-decide | 使用加密随机性抽取塔罗牌,为模糊规划增加熵 |
| modern-python | 现代 Python 工具链和最佳实践,包含 uv、ruff 和 pytest |
| seatbelt-sandboxer | 生成最小化的 macOS Seatbelt 沙盒配置 |
| second-opinion | 使用外部 LLM CLI(OpenAI Codex、Google Gemini)对变更、差异或提交进行代码审查。捆绑了 Codex 内置的 MCP 服务器。 |
| skill-improver | 使用自动修复-审查循环进行迭代式技能优化 |
| workflow-skill-design | 基于工作流的 Claude Code 技能设计模式,包含审查代理 |
| 插件 | 描述 |
|---|---|
| culture-index | 解读个人和团队的 Culture Index 调查结果 |
| 插件 | 描述 |
|---|---|
| claude-in-chrome-troubleshooting | 诊断和修复 Claude in Chrome MCP 扩展的连接问题 |
| 插件 | 描述 |
|---|---|
| debug-buttercup | 调试 Buttercup Kubernetes 部署 |
使用 Trail of Bits Skills 发现的漏洞。发现了什么?告诉我们!
报告发现的漏洞时,可以注明:
使用 Trail of Bits Skills 发现
| 技能 | 漏洞 |
|---|---|
| constant-time-analysis | ML-DSA 签名中的时序侧信道 |
我们欢迎贡献!请参阅 CLAUDE.md 了解技能创作指南。
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。由 Trail of Bits 制作。