pop123-ux/agent-security-skills

## 什么是 Agent Skills？ [Agent Skills](https://docs.claude.com/en/docs/claude-code/skills) 是包含 `SKILL.md` 文件的文件夹，可通过专注且可复用的专业知识来扩展 AI agent 的能力。当任务与某项技能的描述相匹配时，agent 会按需加载它——无需 fine-tuning，无需插件，只需 Markdown。 这些技能适用于 **Claude Code**、**Claude agents (Agent SDK)**、**OpenClaw**，以及任何支持 `SKILL.md` 约定的 agent runtime。 ## 技能列表 | 技能 | 功能描述 | 适用场景 | |-------|--------------|-------------| | 🔐 [**api-security**](skills/api-security/) | OWASP API Top 10 模式：JWT/OAuth2 身份验证、输入验证 (Zod)、速率限制、安全标头、参数化查询以及完整的安全检查清单。 | 设计或强化 REST/GraphQL/WebSocket API 时。 | | 👤 [**secure-auth-patterns**](skills/secure-auth-patterns/) | 正确实现身份验证与授权：JWT + refresh tokens、会话、OAuth2/社交登录、RBAC、权限系统、资源所有权、密码安全。 | 构建登录、SSO 或访问控制系统时。 | 每项技能都是独立的，提供了可直接复制粘贴的代码示例 (Node/TypeScript) 以及清晰的 *USE WHEN / DON'T USE WHEN*（何时使用 / 何时不应使用）指南。 ## 快速入门 ### Claude Code 克隆到您项目的 skills 目录中： ``` git clone https://github.com/pop123-ux/agent-security-skills.git cp -r agent-security-skills/skills/* .claude/skills/ ``` 然后只需提问：*“Review my staged changes”* 或 *“Secure this API endpoint”* —— Claude Code 会自动加载匹配的技能。 ### OpenClaw 将任意技能文件夹复制到您工作区的 `skills/` 目录中，并开启一个新的会话： ``` cp -r agent-security-skills/skills/api-security ~/.openclaw/workspace/skills/ ``` ### 任意 agent 这些技能都是纯 Markdown 文件。只需让您的 agent 指向某个 `SKILL.md`，或者将其内容作为专注的安全上下文粘贴到您的系统提示词中即可。 ## 为什么要使用这些技能？ - **默认安全** —— 只需编码一次 OWASP 最佳实践，即可在每个任务中应用它们。 - **无锁定** —— 仅包含 `SKILL.md` 文件。您可以阅读、fork 并对它们进行适配。 - **经过实战检验的模式** —— JWT 陷阱、RBAC、速率限制、注入防御、安全标头——这些都是在实际交付中最容易出错的地方。 ## 仓库结构 ``` agent-security-skills/ ├── README.md ├── LICENSE └── skills/ ├── api-security/ # OWASP API Top 10 patterns │ └── SKILL.md └── secure-auth-patterns/ # AuthN/AuthZ, JWT, OAuth2, RBAC └── SKILL.md ``` ## 许可证 [MIT](LICENSE) —— 可自由使用，如有署名我们将不胜感激。

标签：AI智能体, API安全, JSON输出, MITM代理, 安全编码规范, 开发提示词, 防御加固