Trail of Bits Skills — Instalar & Demo ao vivo

Name: Trail of Bits Skills (Claude Skill)
Author: trailofbits

Por que usar

Principais recursos

Escrito por uma empresa de segurança, não por hobbyistas — os padrões refletem incidentes reais
Cobre C/C++, Rust, Solidity, Python, Go, TypeScript
Apenas defensivo: fluxos de auditoria/revisão, sem ferramentas ofensivas
Modular — use skills individuais sem adotar o pacote inteiro
Licenciado CC-BY-SA-4.0, atribuição obrigatória

Demo ao vivo

Como fica na prática

pronto

Instalar

Escolha seu cliente

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Abra Claude Desktop → Settings → Developer → Edit Config. Reinicie após salvar.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Cursor usa o mesmo esquema mcpServers que o Claude Desktop. Config de projeto vence a global.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Clique no ícone MCP Servers na barra lateral do Cline, depois "Edit Configuration".

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

Mesmo formato do Claude Desktop. Reinicie o Windsurf para aplicar.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

O Continue usa um array de objetos de servidor em vez de um map.

~/.config/zed/settings.json

{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

Adicione em context_servers. Zed recarrega automaticamente ao salvar.

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

Uma linha só. Verifique com claude mcp list. Remova com claude mcp remove.

Casos de uso

Usos do mundo real: Trail of Bits Skills

Adicionar uma passagem de revisão de segurança a cada PR

👤 Times sem um engenheiro de segurança dedicado ⏱ ~30 min intermediate

Quando usar: Seus PRs atualmente vão direto da revisão de código para o merge — sem olhos de segurança.

Pré-requisitos

Skills instalados — git clone https://github.com/trailofbits/skills ~/.claude/skills/trailofbits

Fluxo

Escopo do diff

Use o skill trailofbits/pr-review no PR atual. Liste os arquivos que o skill considera relevantes para segurança com justificativas.✓ Copiado

→ Justificativas concretas arquivo por arquivo
Revisão aprofundada

Para cada arquivo sinalizado, execute o skill de domínio adequado (crypto, input-validation, auth). Reporte as descobertas com severidade.✓ Copiado

→ Lista ordenada por severidade com referências ao código
Resumo para o revisor

Escreva um comentário de PR de 5 pontos resumindo as descobertas, sem alarmismo mas preciso.✓ Copiado

→ Resumo amigável para o revisor com citações exatas de linhas

Resultado: Um comentário de revisão de segurança em cada PR que captura problemas reais sem afogar em falsos positivos.

Armadilhas

Skill sinaliza problemas de estilo como segurança — Calibre via prompt: "foque apenas em problemas exploráveis"

Combine com: github · filesystem

Auditar caminhos de código criptográfico em um serviço

👤 Devs que mantêm código de autenticação e criptografia ⏱ ~90 min advanced

Quando usar: Você tem uma camada JWT/HMAC/criptografia e quer uma verificação inteligente.

Fluxo

Encontrar cripto

Use trailofbits/crypto-review. Varra /src em busca de arquivos que tocam APIs de cripto. Reporte-os.✓ Copiado

→ Inventário de pontos de chamada de cripto
Auditar cada um

Para cada ponto: qual algoritmo? Gerenciamento de chaves? Risco de reutilização de nonce? Tratamento de IV? Cite a fonte.✓ Copiado

→ Auditoria por ponto com referências ao código
Plano de remediação

Para qualquer descoberta média+, rascunhe uma remediação — mudança concreta no código, não "considere usar...".✓ Copiado

→ Diffs aplicáveis, não conselhos vagos

Resultado: Um relatório de auditoria de criptografia com correções concretas, baseado em erros comuns que a ToB já viu em projetos reais.

Armadilhas

Não é substituto para uma auditoria real — Use para auto-revisão; contrate profissionais antes de lançar superfícies de alto valor

Combine com: github

Combinações

Combine com outros MCPs para 10× de alavancagem

trailofbits-skill + github

Postar descobertas como comentário de revisão no PR

Poste a revisão como comentário no PR — severidades como labels.✓ Copiado

trailofbits-skill + filesystem

Varrer o repositório inteiro offline

Execute o sweep completo de segurança em /src e escreva o relatório em /audit/report.md.✓ Copiado

Ferramentas

O que este MCP expõe

Ferramenta	Entradas	Quando chamar
scope_review	diff\|path	Antes de mergulhar fundo
crypto_review	path	Especificamente para código de cripto
input_validation_review	path	Código de API e fronteiras
iac_review	path	Manifestos Terraform / CloudFormation / K8s

Custo e limites

O que custa rodar

Cota de API: N/A
Tokens por chamada: Revisão é leitura pesada; orçamento proporcional ao tamanho do diff
Monetário: Gratuito (CC-BY-SA)
Dica: Escopifique primeiro — não execute skills aprofundados em arquivos irrelevantes

Segurança

Permissões, segredos, alcance

Escopos mínimos: filesystem-read

Armazenamento de credenciais: Nenhum

Saída de dados: Nenhum do skill; código revisado está no seu contexto LLM

Nunca conceda: write access unless auto-remediating

Não substitui uma auditoria de segurança formal — use para capturar o óbvio antes de pagar por especialistas

Solução de problemas

Erros comuns e correções

Skill sinaliza código seguro como vulnerável

Peça a justificativa; se for fraca, descarte com motivo. A calibração melhora ao longo das sessões.

Perde bugs óbvios

O skill codifica os padrões da Trail of Bits — se seu stack for incomum (ex.: crate Rust de nicho), pode perder. Adicione padrões personalizados.

Saída longa demais para revisar

Restrinja: "apenas as 5 descobertas de maior severidade"

Alternativas

Trail of Bits Skills vs. outros

Alternativa	Quando usar	Troca
Semgrep rules	Você quer análise estática em CI, não revisão interativa	Conjunto de padrões mais restrito; sem raciocínio LLM
CodeQL	Você quer análise profunda de fluxo de dados	Muito mais configuração; não é um skill

Mais

Recursos

📖 Leia o README oficial no GitHub

🐙 Ver issues abertas

🔍 Ver todos os 400+ servidores MCP e Skills