Trail of Bits Skills — インストール & ライブデモ

Name: Trail of Bits Skills (Claude Skill)
Author: trailofbits

なぜ使うのか

主な機能

愛好家ではなく、セキュリティ会社によって書かれました - パターンは実際の事件を反映しています
C/C++、Rust、Solidity、Python、Go、TypeScript をカバー
防御のみ: 攻撃的なツールではなく、監査/レビューフロー
モジュラー — バンドル全体を採用せずに個々のスキルを引き出す
CC-BY-SA-4.0 ライセンス、帰属が必要

ライブデモ

実際の動作

準備完了

インストール

クライアントを選択

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Claude Desktop → Settings → Developer → Edit Config を開く。保存後、アプリを再起動。

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cursor は Claude Desktop と同じ mcpServers スキーマを使用。プロジェクト設定はグローバルより優先。

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cline サイドバーの MCP Servers アイコンをクリックし、"Edit Configuration" を選択。

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Claude Desktop と同じ形式。Windsurf を再起動して反映。

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

Continue はマップではなくサーバーオブジェクトの配列を使用。

~/.config/zed/settings.json

{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

context_servers に追加。保存時に Zed がホットリロード。

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

ワンライナー。claude mcp list で確認、claude mcp remove で削除。

ユースケース

実用的な使い方： Trail of Bits Skills

すべての PR にセキュリティレビューパスを追加する

👤 専任のセキュリティエンジニアがいないチーム ⏱ ~30 min intermediate

使うタイミング： 現在、PR はコードレビューからマージまで直接行われており、セキュリティの目はありません。

前提条件

インストールされたスキル — git clone https://github.com/trailofbits/skills ~/.claude/skills/trailofbits

フロー

差分をスコープする

Use trailofbits/pr-review skill on the current PR. List files the skill thinks are security-relevant with reasons.✓ コピーしました

→ Concrete file-by-file relevance reasons
詳しいレビュー

For each flagged file, run the appropriate domain skill (crypto, input-validation, auth). Report findings with severity.✓ コピーしました

→ Severity-ranked list with code refs
査読者向けのまとめ

Write a 5-bullet PR comment summarizing the findings, non-scary but precise.✓ コピーしました

→ Reviewer-friendly summary with exact line citations

結果： すべての PR に対するセキュリティレビューコメントは、誤検知に陥ることなく実際の問題を捉えます。

注意点

Skill flags style issues as security — Calibrate by prompting: "focus on exploitable issues only"

組み合わせ： ギットハブ · ファイルシステム

サービス内の暗号化コードパスを監査する

👤 認証/暗号化コードを保守する開発者 ⏱ ~90 min advanced

使うタイミング： JWT/HMAC/暗号化レイヤーがあるので、賢い人に再チェックしてもらいたいと考えています。

フロー

暗号通貨を探す

Use trailofbits/crypto-review. Scan /src for files that touch crypto APIs. Report them.✓ コピーしました

→ Crypto call-site inventory
それぞれを監査する

For each site: what algorithm? Key management? Nonce reuse risk? IV handling? Cite source.✓ コピーしました

→ Per-site audit with code refs
修復計画

For any medium+ finding, draft a remediation — concrete code change, not "consider using ...".✓ コピーしました

→ Applicable diffs, not vague advice

結果： ToB が実際のエンゲージメントで目にした一般的な間違いのベースラインからの、具体的な修正を含む暗号監査レポート。

注意点

Not a substitute for a real audit — Use for self-review; hire professionals before launch of high-value surfaces

組み合わせ： ギットハブ

組み合わせ

他のMCPと組み合わせて10倍の力を

trailofbits-skill + github

Post findings as a PR review comment

レビューを PR コメントとして投稿し、重大度をラベルとして投稿します。✓ コピーしました

trailofbits-skill + filesystem

Scan the whole repo offline

/src 全体で完全なセキュリティスイープを実行し、レポートを /audit/report.md に書き込みます。✓ コピーしました

ツール

このMCPが提供する機能

ツール	入力	呼び出すタイミング
scope_review	diff\|path	深く潜る前に
crypto_review	path	暗号コード具体的には
input_validation_review	path	API/境界コード
iac_review	path	Terraform / CloudFormation / K8s マニフェスト

コストと制限

運用コスト

APIクォータ: N/A
呼び出しあたりのトークン: レビューは読む量が多くなります。差分サイズに比例した予算
金額: 無料 (CC-BY-SA)
ヒント: スコープを第一に — 無関係なファイルに対して深いスキルを実行しないでください

セキュリティ

権限、シークレット、影響範囲

最小スコープ： filesystem-read

認証情報の保管： None

データ送信先： スキルによるものはありません。レビューされたコードは LLM コンテキスト内にあります

絶対に付与しない： write access unless auto-remediating

正式なセキュリティ監査に代わるものではありません。専門家にお金を払う前に明らかな点を把握するために使用してください。

トラブルシューティング

よくあるエラーと対処法

スキルが安全なコードに脆弱性を示すフラグを設定する

根拠を尋ねてください。弱ければ理由をつけて却下する。キャリブレーションはセッションを重ねるごとに改善されます。

明らかなバグを見逃す

このスキルは Trail of Bits のパターンを体系化します。スタックが特殊な場合 (ニッチな Rust クレートなど)、失敗する可能性があります。カスタムパターンを追加します。

出力が長すぎてレビューできない

制約: 「重大度が最も高い上位 5 件の結果のみ」

代替案

Trail of Bits Skills 他との比較

代替案	代わりに使う場面	トレードオフ
Semgrep rules	インタラクティブなレビューではなく、CI で静的分析が必要な場合	狭いパターンセット。 LLM 推論なし
CodeQL	深いデータフロー分析が必要な場合	さらにセットアップが必要です。スキルではありません

その他

リソース

📖 GitHub の公式 README を読む

🐙 オープンな issue を見る

🔍 400以上のMCPサーバーとSkillsを見る