/ Verzeichnis / Playground / Trail of Bits Skills
← Alle Server ↗ GitHub
● Community trailofbits ⚡ Sofort

Trail of Bits Skills

von trailofbits · trailofbits/skills

Trail of Bits' Claude Code Skills für Security-Code-Reviews, Schwachstellenerkennung und defensive Audit-Workflows.

Die Sicherheitsfirma Trail of Bits hat ihre internen Code-Review-Playbooks als Claude Code Skills verpackt. Abdeckung: Erkennung häufiger Schwachstellen in mehreren Sprachen, Crypto-Fehler, Eingabevalidierungsprüfung und IaC-Fehlkonfigurations-Checks. CC-BY-SA-4.0 — frei nutzbar und anpassbar.

▶ Demo ansehen 📦 Installieren 💡 Anwendungsfälle

Warum nutzen

Hauptfunktionen

Live-Demo

In der Praxis

bereit

Installieren

Wählen Sie Ihren Client

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Öffne Claude Desktop → Settings → Developer → Edit Config. Nach dem Speichern neu starten.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cursor nutzt das gleiche mcpServers-Schema wie Claude Desktop. Projektkonfiguration schlägt die globale.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Klicken Sie auf das MCP-Servers-Symbol in der Cline-Seitenleiste, dann "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Gleiche Struktur wie Claude Desktop. Windsurf neu starten zum Übernehmen.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

Continue nutzt ein Array von Serverobjekten statt einer Map.

~/.config/zed/settings.json
{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

In context_servers hinzufügen. Zed lädt beim Speichern neu.

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

Einzeiler. Prüfen mit claude mcp list. Entfernen mit claude mcp remove.

Anwendungsfälle

Praxisnahe Nutzung: Trail of Bits Skills

Jeden PR um einen Security-Review-Durchlauf erweitern

👤 Teams ohne dedizierten Security-Engineer ⏱ ~30 min intermediate

Wann einsetzen: Deine PRs gehen momentan direkt von Code-Review in den Merge — ohne Security-Blick.

Voraussetzungen
  • Skills installiert — git clone https://github.com/trailofbits/skills ~/.claude/skills/trailofbits
Ablauf
  1. Diff eingrenzen
    Den trailofbits/pr-review Skill auf den aktuellen PR anwenden. Dateien auflisten, die der Skill für sicherheitsrelevant hält, mit Begründungen.✓ Kopiert
    → Konkrete dateiweise Relevanzgründe
  2. Tiefgreifender Review
    Für jede markierte Datei den passenden Domain-Skill ausführen (Crypto, Eingabevalidierung, Auth). Befunde mit Schweregrad berichten.✓ Kopiert
    → Nach Schweregrad sortierte Liste mit Code-Referenzen
  3. Zusammenfassung für Reviewer
    Einen 5-Punkt-PR-Kommentar mit den Befunden schreiben — sachlich, nicht alarmistisch, aber präzise.✓ Kopiert
    → Reviewer-freundliche Zusammenfassung mit genauen Zeilennummern

Ergebnis: Ein Security-Review-Kommentar bei jedem PR, der echte Probleme findet, ohne in False Positives zu ertrinken.

Fallstricke
  • Skill markiert Stil-Probleme als Sicherheitsprobleme — Kalibrieren durch Prompt: „focus on exploitable issues only“
Kombinieren mit: github · filesystem

Kryptographische Code-Pfade in einem Service auditieren

👤 Entwickler, die Auth/Verschlüsselungs-Code pflegen ⏱ ~90 min advanced

Wann einsetzen: Du hast einen JWT/HMAC/Verschlüsselungs-Layer und willst, dass jemand Kompetentes drüber schaut.

Ablauf
  1. Crypto finden
    trailofbits/crypto-review nutzen. /src nach Dateien scannen, die Crypto-APIs berühren. Berichten.✓ Kopiert
    → Inventar der Crypto-Aufrufstellen
  2. Jede prüfen
    Für jede Stelle: Welcher Algorithmus? Key-Management? Nonce-Wiederverwendungsrisiko? IV-Handling? Quelle zitieren.✓ Kopiert
    → Stellenweises Audit mit Code-Referenzen
  3. Behebungsplan
    Für jeden mittel- oder höhergewichteten Befund eine konkrete Behebung entwerfen — echte Code-Änderung, kein „consider using ...“.✓ Kopiert
    → Anwendbare Diffs, keine vagen Ratschläge

Ergebnis: Ein Crypto-Audit-Bericht mit konkreten Fixes, basierend auf häufigen Fehlern, die ToB in echten Engagements gesehen hat.

Fallstricke
  • Kein Ersatz für ein echtes Audit — Für Selbst-Review nutzen; vor dem Launch hochwertiger Flächen Profis beauftragen
Kombinieren mit: github

Kombinationen

Mit anderen MCPs für 10-fache Wirkung

trailofbits-skill + github

Befunde als PR-Review-Kommentar posten

Review als PR-Kommentar posten — Schweregrade als Labels.✓ Kopiert
trailofbits-skill + filesystem

Das gesamte Repo offline scannen

Vollständigen Security-Sweep über /src ausführen und Bericht in /audit/report.md schreiben.✓ Kopiert

Werkzeuge

Was dieses MCP bereitstellt

WerkzeugEingabenWann aufrufenKosten
scope_review diff|path Vor dem tiefen Einstieg 0
crypto_review path Speziell für Crypto-Code 0
input_validation_review path API- und Grenzstellen-Code 0
iac_review path Terraform / CloudFormation / K8s-Manifeste 0

Kosten & Limits

Was der Betrieb kostet

API-Kontingent
k. A.
Tokens pro Aufruf
Review ist leseintensiv; Budget proportional zur Diff-Größe
Kosten in €
Kostenlos (CC-BY-SA)
Tipp
Zuerst eingrenzen — keine tiefen Skills auf irrelevante Dateien anwenden

Sicherheit

Rechte, Secrets, Reichweite

Minimale Scopes: filesystem-read
Credential-Speicherung: Keine
Datenabfluss: Keine vom Skill; überprüfter Code ist in deinem LLM-Kontext
Niemals gewähren: write access unless auto-remediating

Fehlerbehebung

Häufige Fehler und Lösungen

Skill markiert sicheren Code als anfällig

Um Begründung bitten; falls schwach, mit Grund ablehnen. Kalibrierung verbessert sich über Sessions.

Offensichtliche Bugs werden übersehen

Der Skill kodiert Trail of Bits-Muster — bei ungewöhnlichen Stacks (z. B. Nischen-Rust-Crates) können Fehler auftreten. Eigene Muster hinzufügen.

Ausgaben zu lang zum Reviewen

Eingrenzen: „top 5 highest-severity findings only“

Alternativen

Trail of Bits Skills vs. andere

AlternativeWann stattdessenKompromiss
Semgrep rulesDu willst statische Analyse in CI, nicht interaktiven ReviewSchmalerer Mustersatz; kein LLM-Reasoning
CodeQLDu willst tiefe DatenflusanalyseDeutlich mehr Setup; kein Skill

Mehr

Ressourcen

📖 Offizielle README auf GitHub lesen

🐙 Offene Issues ansehen

🔍 Alle 400+ MCP-Server und Skills durchsuchen