Download

Security Audit Skill

Die vollständige Skill-Definition für Security-Audit.

Ein Skill für AI Coding Agents (OpenClaw, Claude Code, Cursor und Compatible), der eine Codebase auf typische Vibe-Coding-Schwachstellen, geleakte Secrets, Dependency-CVEs und mismatches zwischen Privacy-Versprechen und dem tatsächlichen Code prüft.

Fühlt sich an wie ein sorgfältiger Engineer, der das Repo reviewt — nicht wie ein Scanner, der eine Wand aus Warnungen ausspuckt.

Was er macht

  • Stack-Erkennung. Erkennt die verwendete Sprache und das Framework (Node, Python, Go, Rust, Ruby, PHP, …) von Manifest-Dateien und passt die Prüfung automatisch an.
  • Code- und Config-Audit. Sucht nach den klassischen Vibe-Coding-Schwachstellen: committed Secrets, schwache Password-Handhabung, SQL-Injection-Sinks, XSS, fehlende Admin-Auth, IDOR, kaputte JWT-Validierung, Cookie-Flags, Security-Header, CSRF, SSRF, Path Traversal, Default Admin Credentials und mehr.
  • Dependency-Scan. Ruft den passenden Scanner für den Stack auf (npm/pnpm audit, bundler-audit, pip-audit, govulncheck, cargo-audit, composer audit) und sortiert die Findings nach Severity. Läuft nur Scanner, die bereits installiert sind — mutiert nie die Umgebung.
  • Promise-Audit. Vergleicht die Privacy- und Security-Versprechen aus Legal-Pages, Marketing-Copy und Product-UI gegen den tatsächlichen Code. Wenn auf der Website steht "end-to-end verschlüsselt" und im Code nur TLS läuft: das findet er.
  • Reporting mit Augenmaß. Jedes Finding kommt mit konkretem file:line-Beleg, einer Erklärung warum es wichtig ist, einem Fix-Vorschlag und einer ehrlichen Einschätzung, was der Fix kaputt machen könnte.

Was er nicht macht

  • Er ist kein Penetrationstest.
  • Er ist kein SOC 2-Audit.
  • Er ersetzt keinen professionellen Security-Engineer für High-Stakes-Systeme.

Er fängt etwa 80 % der typischen Probleme ab, bevor sie in Production landen — was in der Regel die Lücke ist, die zählt.

Installation

Kein ZIP, kein Copy-Paste: Der Skill lebt im GitHub-Repo, und dein Agent zieht ihn direkt von dort. Eine Quelle der Wahrheit, immer aktuell.

Claude Code — als Plugin (empfohlen)

Dieses Repo ist ein Claude-Code-Plugin-Marketplace. Einmal hinzufügen, dann installieren:

/plugin marketplace add Enterprise-AI-Circle/agent-skills
/plugin install security-audit@agent-skills

Claude Code klont das Repo, installiert den Skill samt Referenzdateien und hält ihn aktuell. Danach startest du einen Audit mit /security-audit — oder indem du einfach fragst: "Führe einen Security-Audit auf dieser Codebase durch."

Andere Agenten (Codex, OpenClaw, Cursor & Co.) — per Direct-Link

Gib deinem Agenten den Direkt-Link, er lädt den Skill direkt aus dem Repo:

"Installiere den Security-Audit-Skill von hier: https://github.com/Enterprise-AI-Circle/agent-skills/tree/main/agent-skills/security-audit"

Der Ordner enthält die SKILL.md und die zwei Referenzdateien, die sie bei Bedarf nachlädt. Soll dein Agent nur die Skill-Definition fetchen, nimm den Raw-Link zur SKILL.md:

https://raw.githubusercontent.com/Enterprise-AI-Circle/agent-skills/main/agent-skills/security-audit/SKILL.md

Manuell ablegen

Du kannst den Ordner auch selbst in das Skills-Verzeichnis deines Agenten kopieren:

  • OpenClaw: ~/.openclaw/workspace/skills/security-audit/
  • Claude Code (ohne Plugin): ~/.claude/skills/security-audit/ oder projektlokal .claude/skills/security-audit/
  • Cursor: Inhalt der SKILL.md in einen Custom Instructions Block einfügen

Wie man einen Audit ausführt

  1. Öffne dein Projekt in deinem AI Coding Agent.
  2. Frag: "Bitte führe einen Security-Audit auf dieser Codebase durch."
  3. Der Skill kündigt zuerst den Scope und den erkannten Stack an, damit du ihn umleiten kannst, bevor Arbeit passiert.
  4. Er produziert einen Report, gruppiert nach Severity, mit File-References, Erklärungen und vorgeschlagenen Fixes.
  5. Er fragt dich, was er fixen soll — er ändert keinen Code eigenständig während des Audits.

Dateien

  • SKILL.md — Die Skill-Definition, die Agents laden.
  • references/security-checklist.md — Detection-Patterns und Beispiele, die während des Audits verwendet werden.
  • references/report-template.md — Das Ausgabeformat für den finalen Report.

Kontext

Veröffentlicht als Teil der Enterprise AI Circle Goodie Drops, begleitend zum Artikel "Vibe Coding, aber sicher" (derzeit auf Deutsch) auf xalt.de.

Copy-paste-Befehl für deinen Agenten

Installiere den Security-Audit-Skill von hier: https://github.com/Enterprise-AI-Circle/agent-skills/tree/main/agent-skills/security-audit

SKILL.md Vorschau

SKILL.md

Lizenz

MIT

© XALT AI Circle — Agentic Coding Hub xalt.de
Icons: Solar Icons von 480 Design — lizenziert unter CC BY 4.0.