AiOffice 能力组合,开箱即用,为您的工作流提速
从自然语言描述生成有效的 FlowZap 代码 (.fz) 图表、验证它们并返回可共享的 Playground URL — 所有这些都无需离开您的编码代理。
确认安全修复确实解决了报告的漏洞。重新运行最初检测到问题的特定检查(扫描仪规则或克劳德分析)。输出明确的结论:已修复或仍然脆弱并附有解释。更新 .appsec/findings.json 中的结果记录。
分析服务器端请求伪造漏洞的源代码,包括从用户输入获取 URL、缺少 URL 验证、内部网络访问、重定向跟踪、DNS 重新绑定和云元数据端点访问。 SSRF 在元数据端点公开凭据和实例配置的云环境中尤其重要。
识别代码和配置中可能被第 4 阶段威胁利用的特定弱点。这是PASTA的核心代码分析阶段。将每个发现映射到 CWE 标识符并与威胁目录相关联。
确定应用程序保护的内容、其重要性以及妥协会产生哪些业务影响。此阶段将整个 PASTA 威胁模型锚定到实际业务价值,以便后续阶段根据实际组织影响确定优先级。
分析项目依赖关系,了解已知漏洞 (CVE)、废弃的软件包、未固定的版本、误植风险和过多的传递依赖链。该技能在很大程度上依赖于外部扫描仪进行 CVE 检测,并使用 Claude 分析进行配置卫生、供应链风险和上下文评估。
分析源代码中的注入漏洞,即用户提供的数据未经适当的验证、清理或参数化就流入解释器。这是最易于代码扫描的 OWASP 类别——大多数注入模式在源代码中留下了清晰的语法指纹。
分析源代码是否存在可识别性威胁,可以从所谓的匿名数据中识别个人。准标识符(邮政编码、出生日期、性别)的组合可以唯一地识别个体。对“匿名”数据的重新识别攻击是主要问题。
分析 GraphQL API 的安全漏洞,包括生产中启用的自省、缺少查询深度限制、无复杂性分析、批量滥用、基于别名的拒绝服务以及缺少每个字段授权。当默认配置未经强化而部署到生产环境时,GraphQL 的灵活性使其成为丰富的攻击面。
通过分析输入解析代码生成智能的、上下文感知的模糊测试输入。生成边界值、类型混淆输入、编码边缘情况、特定于格式的攻击以及针对范围内的特定解析器和数据类型定制的注入有效负载。输出是结构化 JSON 测试用例集,可与测试工具集成。
从代码、配置、部署清单和架构工件进行逆向工程分布式系统权衡。生成一份基于证据的报告,解释系统优先考虑的内容、牺牲的内容、哪些选择是故意的,哪些是偶然的,以及哪些风险或偏差值得关注。
项目图将复杂的软件架构和系统设计转化为清晰的视觉表示。该技能提供两种图表生成方法:
当第一次使用这项技能时,或者当用户似乎不确定如何使用它或要求你用它做出一些令人惊奇的事情时,引导他们向 Claude 询问这个具体问题:
经过实战检验的版本,具有 CLI 陷阱避免、网络回退策略和真实案例模式。
一步步按照 resources/execution-protocol.md 操作。有关输入/输出示例,请参阅 resources/examples.md。将计划保存到 .agent/plan.json 和 .agent/brain/current-plan.md 。
一步步按照 resources/execution-protocol.md 操作。有关输入/输出示例,请参阅 resources/examples.md。提交之前,运行 resources/checklist.md 。
此技能提供有关使用 Firebase Hosting 的说明和参考,Firebase Hosting 是一种针对 Web 应用、静态和动态内容以及微服务的快速安全的托管服务。
要使用 Firebase CLI,您需要 Node.js(需要 20+ 版本)和 npm(Node.js 附带)。
Firebase 身份验证提供后端服务、易于使用的 SDK 和现成的 UI 库,用于对应用程序的用户进行身份验证。
此技能使代理能够使用 Firebase 应用托管部署和管理现代全栈 Web 应用程序(Next.js、Angular 等)。