antoniocostalopes/ia-security-skill

# 🛡️ IA Security Skill — para Claude Code [](https://github.com/antoniocostalopes/ia-security-skill) [](LICENSE) []() []() [](CONTRIBUTING.md) []() ## 📦 Instalação — 1 comando git clone https://github.com/antoniocostalopes/ia-security-skill ~/.claude/skills/seguranca ✅ Pronto. **Zero configuração por projeto, zero ficheiros copiados para os teus repos.** O Claude Code deteta a skill automaticamente em qualquer pasta onde corras `claude`. ## 🚀 Uso — 1 frase Dentro de qualquer projeto: cd ~/projetos/o-meu-projeto claude > audita este projeto ⏱️ Em ~30 segundos recebes um relatório Markdown com score, attack chains, achados detalhados e fixes copy-paste. 💬 Frases equivalentes que ativam a skill: - *"audita este projeto"* - *"faz security review"* - *"audita src/ antes do deploy"* - *"vê se este código tem vulnerabilidades"* - *"usa a skill seguranca em [path]"* ## 🔍 O que cobre ### 🧠 24 análises universais (sempre carregadas) ### 💻 18 linguagens JavaScript/TypeScript · Python · PHP · Java · C#/.NET · Go · Ruby · Rust · Kotlin · Swift · Dart · C/C++ · Scala · Elixir · Shell/Bash · SQL · GraphQL · Solidity ### 🔧 34 frameworks **PHP**: WordPress · Laravel · Symfony **Node**: Express · Fastify · NestJS · Next.js · Nuxt · Remix · SvelteKit · AdonisJS **Frontend**: React · Vue 3 · Angular · Astro · HTMX **Python**: Django · Flask · FastAPI **Java**: Spring Boot · Quarkus **.NET**: ASP.NET Core · Blazor **Outros**: Rails · Gin/Echo · Phoenix · Actix/Axum **Runtimes**: Bun · Deno · Hono **APIs**: REST/OpenAPI · GraphQL/Apollo · gRPC · tRPC ### 📱 Track Mobile (MASVS-aligned) iOS Native · Android Native · React Native · Flutter · Xamarin/MAUI · Ionic/Cordova/Capacitor + Storage local · Network/Cert pinning · Deep links · WebView · Biometric · Anti-jailbreak/root · Reverse Engineering · Store distribution ### 🖥️ Desktop apps Electron · Tauri · Wails — IPC security, renderer isolation, contextIsolation, allowlist, auto-update signing ### 🧩 Browser extensions Chrome · Firefox · Safari — Manifest v3, content scripts, message passing, CSP, permissions, web_accessible_resources ### 🌐 Outras áreas especializadas 🏗️ **Infraestrutura:** Containers/Kubernetes · Container runtime (Falco/AppArmor/seccomp/gVisor) · Service mesh (Istio/Linkerd mTLS) · IaC (Terraform/CloudFormation) · CI/CD pipelines ☁️ **Cloud:** AWS · GCP · Azure 🔐 **Identity & DNS:** DNS/DNSSEC (subdomain takeover, CAA, AXFR, rebinding) · Email infrastructure (SPF/DKIM/DMARC/BIMI/MTA-STS/TLS-RPT) 🌍 **Web platforms:** WebAssembly (WASI, imports/exports, side-channel) · Service workers/PWA (cache poisoning, push auth) 🏢 **Arquitetura:** Multi-tenant SaaS (tenant isolation, RLS, cross-tenant IDOR) 🤖 **AI/ML/Web3:** LLM agent security (OWASP LLM Top 10, prompt injection, tool use, JWKS) · ML/AI security · Web3/Smart contracts 🎮 **Verticals:** Game security (anti-cheat, IAP, server-authoritative) · IoT/Embedded 🔮 **Crypto avançada:** Post-quantum crypto (ML-KEM/ML-DSA, híbridos, migration roadmap) 📋 **Compliance:** Privacidade/Compliance (GDPR/LGPD/CCPA/HIPAA/PCI-DSS) ## ⚙️ Como funciona O Claude Code lê o frontmatter de [`SKILL.md`](SKILL.md) e ativa a skill quando o teu pedido bate com a descrição (ex: *"audita"*, *"security review"*, *"vulnerabilidades"*). A skill executa um workflow em 7 fases: 1. 🔎 **Reconhecimento** — lê manifests (`package.json`, `composer.json`, `requirements.txt`, `Info.plist`, `Dockerfile`, `manifest.json`, `tauri.conf.json`, `wails.json`, `*.tf`, `*.sol`, etc.) para detetar stack 2. 🧪 **Análise universal** — 24 categorias aplicadas a qualquer projeto 3. 🎯 **Análise específica** — carrega só os ficheiros de [`linguagens/`](linguagens/) e [`frameworks/`](frameworks/) relevantes 4. 🔗 **Attack chains** — combina achados (mínimo 3 cadeias) para escalar severidade 5. 🪞 **Self-review** — confidence scoring (95%/80%/60%/40%) e filtragem de falsos positivos 6. 📈 **Score & blindagem** — fórmula em [`relatorio/score-blindagem.md`](relatorio/score-blindagem.md) 7. 📝 **Relatório** — template fixo em [`relatorio/template.md`](relatorio/template.md) ### 📚 Carregamento hierárquico — 3 camadas A IA carrega só o que precisa (não bloat por carregar tudo): 1. Universal (sempre) → analises/ (24 análises + 5 meta) 2. Linguagem (per stack) → linguagens/ (1-3 ficheiros) 3. Framework (per stack) → frameworks/ (1-3 ficheiros) + Mobile (se aplicável) → mobile/ (até 16 ficheiros MASVS) + Desktop (se aplicável) → desktop/ (Electron / Tauri / Wails) + Extensions (se aplicável) → extensions/ (Browser extensions MV3) + Outras áreas (se relevante)→ outras-areas/ (21 domínios especializados) ⚡ Em runtime: 15-50 ficheiros ativos conforme stack. ## 📊 Output Relatório Markdown único com: - 🏆 **Score 0-100** + nível de blindagem (Crítico → Blindado) - 🗺️ **Mapa de superfícies de ataque** (entry points, trust boundaries) - 🔗 **Attack chains** (mínimo 3 cadeias de exploração) - 📋 **Resumo executivo** (cliente) + **Resumo técnico** (devs) - 🔬 **Achados detalhados** com severidade, ficheiro:linha, código vulnerável, exploração, **fix copy-paste**, confidence - 🛠️ **Plano de correção em 4 fases** (Críticos agora → Hardening no fim) - ✅ **Checklist pré-produção** 📂 Ver exemplos reais: - [Node.js / Express](examples/audit-example-node.md) - [PHP / Laravel](examples/audit-example-php-laravel.md) - [Python / Django](examples/audit-example-python-django.md) - [Mobile / Flutter](examples/audit-example-mobile-flutter.md) - [Web3 / Solidity](examples/audit-example-web3-solidity.md) ## 📁 Estrutura seguranca/ ├── SKILL.md ← entry point (frontmatter Claude Code) ├── README.md / USAGE.md / INSTALL.md ├── CHANGELOG.md / CONTRIBUTING.md / SECURITY.md / LICENSE ├── analises/ ← 24 análises + 5 meta (mindset/chains/verificação/patterns/falsos-positivos) ├── linguagens/ ← 18 cartões por linguagem ├── frameworks/ │ ├── web/ ← 27 web frameworks │ ├── api/ ← REST/GraphQL/gRPC/tRPC │ └── runtime/ ← Bun, Deno, Hono ├── mobile/ ← 16 ficheiros MASVS-aligned ├── desktop/ ← Electron, Tauri, Wails ├── extensions/ ← Browser extensions (Manifest v3) ├── outras-areas/ ← Containers, IaC, Cloud, Service mesh, DNS, Email, Wasm, PWA, │ Multi-tenant SaaS, LLM agents, Games, Post-quantum crypto, │ ML, Web3, IoT, Privacidade/Compliance ├── examples/ ← 5 exemplos de auditorias completas ├── relatorio/ ← templates de output (score, template, checklist) ├── commands/ ← slash commands opcionais (/audita, /audita-rapido, /audita-diff) ├── agents/ ← subagent opcional (auditor-seguranca) └── .github/ ← CI workflows + issue/PR templates ## 🔄 Atualizar cd ~/.claude/skills/seguranca && git pull ## 🎯 Tom Direto, prestável, honesto. Sem alarmismo teatral. Cada achado tem fix copy-paste. Severidade conservadora — falsos positivos minam confiança. ## 👥 Para quem é - 👨‍💻 **Developers** que usam Claude Code e querem auditar o próprio código antes do deploy - 🧑‍🚀 **Tech leads** a fazer security review pré-merge dentro do Claude Code - 🏢 **Equipas** que adotaram Claude Code como agente principal e querem segurança como capacidade nativa ## 🚫 Para quem **não** é - ❌ Pentesting de sistemas de terceiros sem autorização - ❌ Compliance auditing formal (usar ferramentas dedicadas) - ❌ Resposta a incidente / forense (usar SIEM) - ❌ Quem **não** usa Claude Code (esta skill é específica do Claude Code; para outras IAs, faz fork do repo e adapta) ## 🏛️ Cobertura OWASP | OWASP | Cobertura | |---|---| | 🌐 OWASP Top 10 (Web 2021) | 10/10 | | 🔌 OWASP API Security Top 10 (2023) | 10/10 | | 🤖 OWASP Top 10 LLM (2025) | via [`outras-areas/llm-agent-security.md`](outras-areas/llm-agent-security.md) + [`outras-areas/ml-ai-security.md`](outras-areas/ml-ai-security.md) | | 📱 OWASP MASVS (Mobile) | track mobile completo | | 📡 OWASP Top 10 IoT | via [`outras-areas/iot-embedded.md`](outras-areas/iot-embedded.md) | ## 🏷️ Versão **v1.0.0** — Release inicial pública. Skill nativa Claude Code com 24 análises universais, 18 linguagens, 34 frameworks, track mobile (MASVS), desktop (Electron/Tauri/Wails), browser extensions (MV3), 21 áreas especializadas (incluindo LLM agents, service mesh, DNS, email infra, multi-tenant SaaS, WebAssembly, PWA, games, post-quantum crypto), self-review pass, confidence scoring e 5 examples reais. 155 ficheiros .md. 📅 Ver [CHANGELOG.md](CHANGELOG.md) para detalhes. ## 🤝 Como contribuir Contribuições são bem-vindas: - 🐛 **Reportar bugs ou falsos positivos** — abrir issue - 💡 **Sugerir nova categoria/framework/linguagem** — abrir issue com proposta - 🔧 **Pull requests** — ver [CONTRIBUTING.md](CONTRIBUTING.md) - 🔒 **Reportar vulnerabilidades** na própria skill — ver [SECURITY.md](SECURITY.md) - ⭐ **Star o repo** — ajuda outros developers Claude Code a descobrir ## 👤 Autor **António Lopes** 🐙 GitHub: [@antoniocostalopes](https://github.com/antoniocostalopes) ## 📜 Licença **MIT** — ver [LICENSE](LICENSE). Copyright © 2026 António Lopes. ⚖️ Uso destinado a **auditoria defensiva pré-entrega** de código próprio ou autorizado. Não usar para testar sistemas de terceiros sem autorização.