Trail of Bits Skills

Name: Trail of Bits Skills (Claude Skill)
Author: trailofbits

왜 쓰나요

핵심 기능

취미가 아닌 보안 회사가 작성 - 패턴은 실제 사건을 반영합니다.
C/C++, Rust, Solidity, Python, Go, TypeScript를 다룹니다.
방어 전용: 공격적인 도구가 아닌 감사/검토 흐름
모듈식 — 전체 번들을 채택하지 않고도 개별 기술을 끌어낼 수 있습니다.
CC-BY-SA-4.0 라이선스, 저작자 표시 필요

라이브 데모

실제 사용 모습

준비됨

설치

클라이언트 선택

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Claude Desktop → Settings → Developer → Edit Config 열기. 저장 후 앱 재시작.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cursor는 Claude Desktop과 동일한 mcpServers 스키마 사용. 프로젝트 설정이 전역보다 우선.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cline 사이드바의 MCP Servers 아이콘 클릭 후 "Edit Configuration" 선택.

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Claude Desktop과 같은 형식. Windsurf 재시작 후 적용.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

Continue는 맵이 아닌 서버 오브젝트 배열 사용.

~/.config/zed/settings.json

{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

context_servers에 추가. 저장 시 Zed가 핫 리로드.

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

한 줄 명령. claude mcp list로 확인, claude mcp remove로 제거.

사용 사례

실전 활용법: Trail of Bits Skills

모든 PR에 보안 검토 패스 추가

👤 전담 보안 엔지니어가 없는 팀 ⏱ ~30 min intermediate

언제 쓸까: 귀하의 PR은 현재 코드 검토에서 병합으로 바로 진행됩니다. 보안 담당자가 없습니다.

사전 조건

설치된 스킬 — 자식 클론 https://github.com/trailofbits/skills ~/.claude/skills/trailofbits

흐름

차이점 범위 지정

Use trailofbits/pr-review skill on the current PR. List files the skill thinks are security-relevant with reasons.✓ 복사됨

→ Concrete file-by-file relevance reasons
심층 검토

For each flagged file, run the appropriate domain skill (crypto, input-validation, auth). Report findings with severity.✓ 복사됨

→ Severity-ranked list with code refs
리뷰어를 위한 요약

Write a 5-bullet PR comment summarizing the findings, non-scary but precise.✓ 복사됨

→ Reviewer-friendly summary with exact line citations

결과: 오탐에 빠지지 않고 실제 문제를 포착하는 모든 PR에 대한 보안 검토 의견입니다.

함정

Skill flags style issues as security — Calibrate by prompting: "focus on exploitable issues only"

함께 쓰기: 깃허브 · 파일 시스템

서비스의 암호화 코드 경로 감사

👤 인증/암호화 코드를 유지 관리하는 개발자 ⏱ ~90 min advanced

언제 쓸까: JWT/HMAC/암호화 계층이 있고 똑똑한 사람이 다시 확인하기를 원합니다.

흐름

암호화폐 찾기

Use trailofbits/crypto-review. Scan /src for files that touch crypto APIs. Report them.✓ 복사됨

→ Crypto call-site inventory
각각 감사

For each site: what algorithm? Key management? Nonce reuse risk? IV handling? Cite source.✓ 복사됨

→ Per-site audit with code refs
교정 계획

For any medium+ finding, draft a remediation — concrete code change, not "consider using ...".✓ 복사됨

→ Applicable diffs, not vague advice

결과: ToB가 실제 참여에서 발견한 일반적인 실수를 기준으로 구체적인 수정 사항이 포함된 암호화 감사 보고서입니다.

함정

Not a substitute for a real audit — Use for self-review; hire professionals before launch of high-value surfaces

함께 쓰기: 깃허브

조합

다른 MCP와 조합해 10배 효율

trailofbits-skill + github

Post findings as a PR review comment

리뷰를 PR 댓글로 게시하세요. 심각도는 라벨로 표시됩니다.✓ 복사됨

trailofbits-skill + filesystem

Scan the whole repo offline

/src 전체에 걸쳐 전체 보안 검색을 실행하고 /audit/report.md에 보고서를 작성합니다.✓ 복사됨

도구

이 MCP가 노출하는 것

도구	입력	언제 호출
scope_review	diff\|path	딥다이빙 전
crypto_review	path	구체적으로 암호화 코드
input_validation_review	path	API/경계 코드
iac_review	path	Terraform/CloudFormation/K8s 매니페스트

비용 및 제한

운영 비용

API 쿼터: N/A
호출당 토큰: 리뷰는 읽기가 많습니다. 차이 크기에 비례하는 예산
금액: 무료(CC-BY-SA)
팁: 범위 우선 - 관련 없는 파일에 대해 심층적인 기술을 실행하지 마십시오.

보안

권한, 시크릿, 파급범위

최소 스코프: filesystem-read

자격 증명 저장: None

데이터 외부 송신: 기술로는 없음; 검토된 코드가 LLM 컨텍스트에 있습니다.

절대 부여 금지: write access unless auto-remediating

공식적인 보안 감사를 대체하지 않습니다. 전문가에게 비용을 지불하기 전에 명백한 내용을 파악하는 데 사용하세요.

문제 해결

자주 발생하는 오류와 해결

기술은 안전한 코드를 취약한 것으로 표시합니다.

근거를 물어보세요. 약하다면 이유를 가지고 해고하십시오. 세션을 통해 보정이 향상됩니다.

명백한 버그를 놓치다

이 스킬은 Trail of Bits의 패턴을 체계화합니다. 스택이 비정상적인 경우(예: 틈새 Rust 상자) 놓칠 수 있습니다. 사용자 정의 패턴을 추가합니다.

출력이 너무 길어 검토할 수 없음

제한: "심각도가 가장 높은 상위 5개 결과만"

대안