security-skills MCP — 使用場景, 安裝 & 即時演示

為什麼要用

核心特性

基於 STRIDE 的威脅建模範本
相依套件 CVE 交叉比對工作流程
IaC 錯誤設定檢查（Terraform、Docker、k8s）
安全程式碼審查模式
防禦導向 — 不包含任何攻擊工具

即時演示

實際使用效果

security-skill.replay ▶ 就緒

0/0

安裝

選擇你的客戶端

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

開啟 Claude Desktop → Settings → Developer → Edit Config。儲存後重啟應用。

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

Cursor 使用與 Claude Desktop 相同的 mcpServers 格式。專案級設定優先於全域。

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

點擊 Cline 側欄中的 MCP Servers 圖示，然後選 "Edit Configuration"。

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

格式與 Claude Desktop 相同。重啟 Windsurf 生效。

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "security-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ]
    }
  ]
}

Continue 使用伺服器物件陣列，而非映射。

~/.config/zed/settings.json

{
  "context_servers": {
    "security-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/eth0izzle/security-skills",
          "~/.claude/skills/security-skills"
        ]
      }
    }
  }
}

加入 context_servers。Zed 儲存後熱重載。

claude mcp add security-skill -- git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills

一行命令搞定。用 claude mcp list 驗證，claude mcp remove 移除。

使用場景

實戰用法： security-skills

為新功能產出 STRIDE 威脅模型

👤 資安工程師、負責功能安全審查的資深工程師 ⏱ ~45 min advanced

何時使用： 當功能涉及使用者資料、驗證機制或外部網路時，在設計審查階段使用。

前置條件

功能設計文件或架構圖 — 貼入對話中，或將 Claude 指向該檔案
已安裝技能 — git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills

步驟

梳理系統架構

Use security-skills. Here's the design for [feature]. Enumerate trust boundaries and data flows.✓ 已複製

→ 已命名的信任邊界與明確的資料流向
套用 STRIDE

For each boundary, call out Spoofing, Tampering, Repudiation, Info Disclosure, DoS, Elevation risks.✓ 已複製

→ 附有威脅評分的表格，而非泛泛的「請考慮 XSS」
提出緩解措施

Rank the threats by likelihood * impact and propose concrete mitigations for the top 5.✓ 已複製

→ 具體的控制措施（速率限制、簽署請求、稽核日誌）

結果： 一份可直接用於資安審查會議的威脅模型文件。

注意事項

STRIDE 淪為形式上的勾選清單 — 要求提供具體的攻擊者情境 — 「具備 X 能力的攻擊者想達成 Y，採取 Z 行動」

搭配使用： filesystem

掃描專案相依套件中已知的 CVE

👤 回應資安公告的開發團隊 ⏱ ~30 min intermediate

何時使用： 當新的 CVE 公開時，需要快速了解自身暴露範圍。

步驟

指向套件清單

Use security-skills. Audit package-lock.json for dependencies with known CVEs published in the last 90 days.✓ 已複製

→ 套件清單、公告 ID 及嚴重等級
依實際使用情況分流

For each vulnerable dep, grep the codebase — is it actually reachable?✓ 已複製

→ 可達路徑與不可達路徑的分類結果
草擬升級計畫

Plan the minimum-risk upgrade order so CI doesn't explode.✓ 已複製

→ 附有版本鎖定的有序升級步驟

結果： 一份具體的修補計畫 — 而非執行 npm audit fix 然後祈禱。

注意事項

遺漏傳遞性相依套件 — 使用完整的鎖定檔，而非只看頂層清單

搭配使用： filesystem · github

審查 Terraform 與 k8s 清單中的常見錯誤設定

👤 平台工程師、DevSecOps ⏱ ~30 min intermediate

何時使用： 在將 IaC 變更合併至主線前，或稽核現有設定時使用。

步驟

將 Claude 指向 IaC 目錄

Use security-skills. Scan terraform/ for S3 buckets without encryption, IAM wildcards, public security groups.✓ 已複製

→ 含檔案與行號的發現項目及嚴重等級
取得修復建議

For each finding, propose the minimal Terraform diff to fix it.✓ 已複製

→ 顯示修改前後的 HCL 片段

結果： 可逐步合併的 PR 級別資安修復項目。

注意事項

刻意設為公開的資源觸發誤報 — 為刻意設為公開的資源加上標籤，技能應跳過這些資源

搭配使用： github · filesystem

組合

與其他 MCP 搭配，撬動十倍槓桿

security-skill + github

自動將發現項目以 PR 留言形式發布

Review this PR and leave line comments for each security finding.✓ 已複製

security-skill + filesystem

跨整個 monorepo 的遞迴掃描

Walk the entire services/ tree and aggregate findings by service.✓ 已複製

工具

此 MCP 暴露的能力

工具	輸入參數	何時呼叫	成本
threat_model	system description	設計階段的審查	0
cve_audit	lockfile path	在公開 CVE 發布後使用	0 (uses public advisory data)
iac_review	directory path	合併前的 IaC 稽核	0
secret_scan	path or diff	提交前或推送前	0

成本與限制

運行它的成本

API 配額: 無內建限制
每次呼叫 Token 數: 中等 — 取決於所檢查的檔案數量
費用: 免費
提示: 將掃描範圍限縮至特定目錄，不要指向 node_modules。

安全

權限、密鑰、影響範圍

憑證儲存： 技能本身不儲存任何憑證

資料出站： 無 — 技能僅為提示詞；請注意被檢查的程式碼會傳送至 Claude API

僅限防禦用途。請勿用於攻擊、竊取憑證或紅隊演練。
切勿將正式環境的機密資料貼入提示詞中 — 即使是在要求技能「找出它們」的情況下。

故障排查

常見錯誤與修復

Skill suggests exploitation techniques

重新以防禦角度提問：「作為防禦者，我該如何防範 X」

Too many false positives on IaC scan

提供更多背景資訊（正式環境 vs 測試環境；刻意設為公開的資源）

Missed a known vulnerability

Claude 的知識截止日期可能有所落差。請搭配專業掃描工具（Trivy、Snyk）取得具權威性的 CVE 資料。

替代方案

security-skills 對比其他方案

替代方案	何時用它替代	權衡
Trivy / Grype	需要權威且即時的漏洞資料庫時	無 LLM 推理能力 — 僅輸出原始掃描結果
tfsec / checkov	需要以精選規則集進行專項 IaC 掃描時	受規則限制，難以發現較細微的錯誤設定