Trail of Bits Skills — Installer & Démo en direct

Name: Trail of Bits Skills (Claude Skill)
Author: trailofbits

Pourquoi l'utiliser

Fonctionnalités clés

Écrit par une firme de sécurité, pas un amateur — les patterns reflètent de vrais incidents
Couvre C/C++, Rust, Solidity, Python, Go, TypeScript
Défensif uniquement : flux d'audit et revue, pas d'outillage offensif
Modulaire — importez des skills individuelles sans adopter tout le bundle
Licence CC-BY-SA-4.0, attribution requise

Démo en direct

Aperçu en pratique

prêt

Installer

Choisissez votre client

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Ouvrez Claude Desktop → Settings → Developer → Edit Config. Redémarrez après avoir enregistré.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cursor utilise le même schéma mcpServers que Claude Desktop. La config projet l'emporte sur la globale.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cliquez sur l'icône MCP Servers dans la barre latérale Cline, puis "Edit Configuration".

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Même format que Claude Desktop. Redémarrez Windsurf pour appliquer.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

Continue utilise un tableau d'objets serveur plutôt qu'une map.

~/.config/zed/settings.json

{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

Ajoutez dans context_servers. Zed recharge à chaud à la sauvegarde.

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

Une seule ligne. Vérifiez avec claude mcp list. Supprimez avec claude mcp remove.

Cas d'usage

Usages concrets : Trail of Bits Skills

Ajouter une passe de revue de sécurité à chaque PR

👤 Équipes sans ingénieur sécurité dédié ⏱ ~30 min intermediate

Quand l'utiliser : Vos PR passent actuellement directement de la revue de code au merge — sans regard sécurité.

Prérequis

Skills installées — git clone https://github.com/trailofbits/skills ~/.claude/skills/trailofbits

Déroulement

Délimiter le diff

Utilise la skill trailofbits/pr-review sur la PR en cours. Liste les fichiers que la skill considère pertinents pour la sécurité avec les raisons.✓ Copié

→ Raisons de pertinence concrètes fichier par fichier
Revue approfondie

Pour chaque fichier signalé, lance la skill de domaine appropriée (crypto, input-validation, auth). Rapporte les résultats avec sévérité.✓ Copié

→ Liste classée par sévérité avec références au code
Résumé pour le revieweur

Rédige un commentaire de PR en 5 points résumant les résultats, sans alarmer mais précis.✓ Copié

→ Résumé accessible au revieweur avec citations de lignes exactes

Résultat : Un commentaire de revue de sécurité sur chaque PR qui détecte de vraies problèmes sans vous noyer dans les faux positifs.

Pièges

La skill signale des problèmes de style comme problèmes de sécurité — Calibrez en précisant dans le prompt : « concentrez-vous uniquement sur les problèmes exploitables »

Combiner avec : github · filesystem

Auditer les chemins de code cryptographiques d'un service

👤 Devs maintenant du code d'auth et de chiffrement ⏱ ~90 min advanced

Quand l'utiliser : Vous avez une couche JWT/HMAC/chiffrement et voulez qu'un regard expert la vérifie.

Déroulement

Trouver la crypto

Utilise trailofbits/crypto-review. Scanne /src pour les fichiers qui touchent aux API crypto. Rapporte-les.✓ Copié

→ Inventaire des points d'appel crypto
Auditer chacun

Pour chaque point : quel algorithme ? Gestion des clés ? Risque de réutilisation du nonce ? Gestion de l'IV ? Cite la source.✓ Copié

→ Audit par point avec références au code
Plan de remédiation

Pour tout résultat de niveau moyen+, propose une remédiation concrète — modification de code précise, pas « envisagez d'utiliser ... ».✓ Copié

→ Diffs applicables, pas de conseils vagues

Résultat : Un rapport d'audit crypto avec des correctifs concrets, basé sur les erreurs courantes que ToB a vues dans de vrais engagements.

Pièges

Ne remplace pas un vrai audit — Utilisez pour l'auto-revue ; faites appel à des professionnels avant le lancement de surfaces à haute valeur

Combiner avec : github

Combinaisons

Associez-le à d'autres MCPs pour un effet X10

trailofbits-skill + github

Poster les résultats comme commentaire de revue de PR

Poste la revue comme commentaire de PR — sévérités comme labels.✓ Copié

trailofbits-skill + filesystem

Scanner tout le dépôt hors ligne

Lance le scan de sécurité complet sur /src et écris le rapport dans /audit/report.md.✓ Copié

Outils

Ce que ce MCP expose

Outil	Entrées	Quand appeler
scope_review	diff\|path	Avant l'analyse approfondie
crypto_review	path	Spécifiquement pour le code cryptographique
input_validation_review	path	Code API/frontière
iac_review	path	Manifests Terraform / CloudFormation / K8s

Coût et limites

Coût d'exécution

Quota d'API: N/A
Tokens par appel: La revue est intensive en lecture ; budget proportionnel à la taille du diff
Monétaire: Gratuit (CC-BY-SA)
Astuce: Délimitez d'abord — ne lancez pas les skills profondes sur des fichiers non pertinents

Sécurité

Permissions, secrets, portée

Portées minimales : filesystem-read

Stockage des identifiants : Aucun

Sortie de données : Aucune depuis la skill ; le code révisé est dans votre contexte LLM

Ne jamais accorder : write access unless auto-remediating

Ne remplace pas un audit de sécurité formel — utilisez-le pour attraper l'évident avant de payer des experts

Dépannage

Erreurs courantes et correctifs

La skill signale du code sûr comme vulnérable

Demandez une justification ; si elle est faible, rejetez avec motivation. La calibration s'améliore avec les sessions.

Rate des bugs évidents

La skill codifie les patterns de Trail of Bits — si votre stack est inhabituel (ex. crate Rust de niche), elle peut rater. Ajoutez des patterns personnalisés.

Sorties trop longues à examiner

Contraignez : « uniquement les 5 résultats de plus haute sévérité »

Alternatives

Trail of Bits Skills vs autres

Alternative	Quand l'utiliser	Compromis
Semgrep rules	Vous voulez de l'analyse statique en CI, pas une revue interactive	Ensemble de patterns plus restreint ; pas de raisonnement LLM
CodeQL	Vous voulez une analyse approfondie du flux de données	Bien plus de configuration ; pas une skill

Plus

Ressources

📖 Lire le README officiel sur GitHub

🐙 Voir les issues ouvertes

🔍 Parcourir les 400+ serveurs MCP et Skills