security-skills MCP — Casos de uso, Instalar & Demo en vivo

Por qué usarlo

Características clave

Plantilla de modelado de amenazas basada en STRIDE
Flujo de trabajo de referencia cruzada de CVE de dependencias
Verificaciones de configuración errónea de IaC (Terraform, Docker, k8s)
Patrones de revisión de código de seguridad
Enfoque defensivo — sin herramientas de explotación

Demo en vivo

Cómo se ve en la práctica

security-skill.replay ▶ listo

0/0

Instalar

Elige tu cliente

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

Abre Claude Desktop → Settings → Developer → Edit Config. Reinicia después de guardar.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

Cursor usa el mismo esquema mcpServers que Claude Desktop. La configuración del proyecto prevalece sobre la global.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

Haz clic en el icono MCP Servers de la barra lateral de Cline y luego en "Edit Configuration".

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

Mismo formato que Claude Desktop. Reinicia Windsurf para aplicar.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "security-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ]
    }
  ]
}

Continue usa un array de objetos de servidor en lugar de un mapa.

~/.config/zed/settings.json

{
  "context_servers": {
    "security-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/eth0izzle/security-skills",
          "~/.claude/skills/security-skills"
        ]
      }
    }
  }
}

Añádelo a context_servers. Zed recarga en caliente al guardar.

claude mcp add security-skill -- git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills

Un solo comando. Verifica con claude mcp list. Quita con claude mcp remove.

Casos de uso

Usos del mundo real: security-skills

Producir un modelo de amenazas STRIDE para una nueva característica

👤 Ingenieros de seguridad, ingenieros senior responsables de la revisión de seguridad de una característica ⏱ ~45 min advanced

Cuándo usarlo: Revisión de diseño para una característica que toca datos de usuario, autenticación o redes externas.

Requisitos previos

Documento de diseño de característica o diagrama de arquitectura — Pega en el chat o apunta a Claude al archivo
Habilidad instalada — git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills

Flujo

Recorrer el sistema

Usa security-skills. Aquí está el diseño para [característica]. Enumera los límites de confianza y flujos de datos.✓ Copiado

→ Límites de confianza nombrados, flechas de flujo de datos explícitas
Aplicar STRIDE

Para cada límite, identifica riesgos de Spoofing, Tampering, Repudiation, divulgación de información, DoS y escalada de privilegios.✓ Copiado

→ Tabla con amenazas evaluadas, no recomendaciones genéricas tipo 'considera XSS'
Proponer mitigaciones

Clasifica las amenazas por probabilidad × impacto y propone mitigaciones concretas para los 5 principales.✓ Copiado

→ Controles específicos (límite de velocidad, solicitudes firmadas, registro de auditoría)

Resultado: Un documento de modelo de amenazas listo para una reunión de revisión de seguridad.

Errores comunes

STRIDE se convierte en un mero formalismo — Exige historias concretas de atacante — 'atacante con X quiere Y, hace Z'

Combinar con: filesystem

Escanear las dependencias del repositorio en busca de CVE conocidos

👤 Equipos de desarrollo que responden a un aviso de seguridad ⏱ ~30 min intermediate

Cuándo usarlo: Aparece un nuevo CVE y necesitas saber dónde estás expuesto.

Flujo

Apunta al manifiesto

Usa security-skills. Audita package-lock.json en busca de dependencias con CVE conocidos publicados en los últimos 90 días.✓ Copiado

→ Lista de paquetes, ID de avisos, severidad
Clasificar por uso

Para cada dependencia vulnerable, busca en la base de código — ¿es realmente alcanzable?✓ Copiado

→ Clasificación alcanzable vs no alcanzable
Redacta un plan de actualización

Planifica el orden de actualización de riesgo mínimo para que CI no se rompa.✓ Copiado

→ Secuencia de actualización ordenada con versiones especificadas

Resultado: Un plan de parche concreto — no 'ejecuta npm audit fix' y reza.

Errores comunes

Dependencias transitivas perdidas — Usa el archivo de bloqueo completo, no solo el manifiesto de nivel superior

Combinar con: filesystem · github

Revisar manifiestos de Terraform y k8s en busca de configuraciones erróneas comunes

👤 Ingenieros de plataforma, DevSecOps ⏱ ~30 min intermediate

Cuándo usarlo: Antes de fusionar cambios de IaC en main, o auditar lo que ya está allí.

Flujo

Apunta a Claude al directorio de IaC

Usa security-skills. Escanea terraform/ en busca de cubos S3 sin cifrado, comodines de IAM, grupos de seguridad públicos.✓ Copiado

→ Referencias de archivo+línea con severidad
Obtener correcciones

Para cada hallazgo, propón el diff mínimo de Terraform para solucionarlo.✓ Copiado

→ Fragmentos HCL mostrando antes/después

Resultado: Correcciones de seguridad del tamaño de PR que puedes fusionar incrementalmente.

Errores comunes

Falsos positivos en activos públicos intencionales — Etiqueta los recursos que son públicos intencionalmente; la habilidad debería omitirlos

Combinar con: github · filesystem

Combinaciones

Combínalo con otros MCPs para multiplicar por 10

security-skill + github

Publica hallazgos como comentarios de PR automáticamente

Revisa este PR y deja comentarios de línea para cada hallazgo de seguridad.✓ Copiado

security-skill + filesystem

Escaneos recursivos en todo un monorepo

Recorre el árbol services/ completo y agrega hallazgos por servicio.✓ Copiado

Herramientas

Lo que expone este MCP

Herramienta	Entradas	Cuándo llamar	Coste
threat_model	descripción del sistema	Revisión de fase de diseño	0
cve_audit	ruta del archivo de bloqueo	Después de que aparece un CVE público	0 (utiliza datos públicos de avisos)
iac_review	ruta del directorio	Auditorías de IaC previas a la fusión	0
secret_scan	ruta o diff	Pre-commit o pre-push	0

Coste y límites

Lo que cuesta ejecutarlo

Cuota de API: Ninguno integrado
Tokens por llamada: Moderado — depende de los archivos inspeccionados
Monetario: Gratuito
Consejo: Limita escaneos a directorios específicos; no apuntes a node_modules.

Seguridad

Permisos, secretos, alcance

Almacenamiento de credenciales: Ninguno en la habilidad en sí

Salida de datos: Ninguno — la habilidad es prompts; ten en cuenta que el código inspeccionado va a la API de Claude

Solo defensivo. No usar para explotación, recopilación de credenciales u operaciones de equipo rojo.
Nunca pegues secretos de producción en prompts — incluso cuando le pidas a la habilidad que los 'encuentre'.

Resolución de problemas

Errores comunes y soluciones

La habilidad sugiere técnicas de explotación

Vuelve a solicitar un enfoque defensivo: 'como defensor, ¿cómo prevengo X'

Demasiados falsos positivos en el escaneo de IaC

Proporciona contexto (prod vs staging; recursos públicos intencionales)

Se pasó por alto una vulnerabilidad conocida

El corte de conocimiento de Claude puede estar rezagado. Empareja con un escáner adecuado (Trivy, Snyk) para datos de CVE autorizados.

Alternativas

security-skills vs otros

Alternativa	Cuándo usarla	Contrapartida
Trivy / Grype	Necesitas una base de datos de vulnerabilidades autorizada y actualizada	Sin razonamiento de LLM — solo salida de escaneo sin procesar
tfsec / checkov	Escaneo específico de IaC con un conjunto de reglas curado	Limitado por reglas; pierde configuraciones erróneas matizadas

Más

Recursos

📖 Lee el README oficial en GitHub

🐙 Ver issues abiertas

🔍 Ver todos los 400+ servidores MCP y Skills