🛠️ 開発・MCP コミュニティ

skills-security-audit

AIエージェントのスキルをインストール前や定期的に監査し、プロンプトインジェクションやデータ漏洩などのセキュリティリスクを検出し、安全性を確認するSkill。

📜 元の英語説明(参考)

Audit AI agent skills for security risks before installation or periodically. Works on Claude Code, OpenClaw, and all platforms. Detect prompt injection, data exfiltration, malicious commands, obfuscated code, privilege abuse, supply chain risks, memory poisoning, trust exploitation, and behavioral manipulation. Use before installing third-party skills from any marketplace.

🇯🇵 日本人クリエイター向け解説

一言でいうと

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o skills-security-audit.zip https://jpskill.com/download/10203.zip && unzip -o skills-security-audit.zip && rm skills-security-audit.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/10203.zip -OutFile "$d\skills-security-audit.zip"; Expand-Archive "$d\skills-security-audit.zip" -DestinationPath $d -Force; ri "$d\skills-security-audit.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して skills-security-audit.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → skills-security-audit フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-18
取得日時: 2026-05-18
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

スキルセキュリティ監査

概要

AIエージェントのスキル、プラグイン、およびツール定義を、OWASP Agentic AI Top 10（ASI01からASI10）に準拠した9つのリスクカテゴリにわたって、セキュリティ脆弱性についてスキャンおよび監査します。このスキルは、Claude Code、OpenClaw、およびファイルベースのスキル定義を使用するすべてのAIエージェントプラットフォームでクロスプラットフォームに動作します。脆弱な正規表現パターンに依存するのではなく、AIを活用したセマンティック分析を実行して、プロンプトインジェクション、データ漏洩、難読化されたコード、権限昇格、サプライチェーン攻撃、メモリポイズニング、信頼境界違反、および行動操作を検出します。各監査では、重大度評価、証拠引用、および実行可能な修復ガイダンスを含む構造化されたリスクレポートが生成されます。

使用するタイミング

マーケットプレイスからサードパーティのスキルまたはプラグインをインストールする前
OpenClaw、ClawHub、またはその他のレジストリからダウンロードしたスキルをレビューするとき
インストールされているすべてのスキルとプラグインの定期的な監査
スキルが通常とは異なる権限を要求したり、予期しない動作をしたりする場合

セキュリティチェックカテゴリ

ID	カテゴリ	重大度	OWASP ASI
PI	プロンプトインジェクション	CRITICAL	ASI01
DE	データ漏洩	CRITICAL	ASI02
CE	悪意のあるコマンド実行	CRITICAL	ASI02, ASI05
OB	難読化/隠蔽されたコード	WARNING	—
PA	過剰な権限要求	WARNING	ASI03
SC	サプライチェーンリスク	WARNING	ASI04
MP	メモリ/コンテキストポイズニング	WARNING	ASI06
TE	人間の信頼の悪用	WARNING	ASI09
BM	行動操作	INFO	ASI10

詳細な検出パターン、例、および誤検知のガイダンスについては、references/security-rules.md（このファイルのディレクトリからの相対パス）をロードしてください。

監査ワークフロー

フェーズ1：スキャン範囲の決定

ユーザーがディレクトリパスを指定した場合、そのディレクトリ内のすべてのファイルを再帰的にスキャンします。
ユーザーが「インストール済みをスキャン」と言った場合、プラットフォーム固有のスキルディレクトリをスキャンします。
- Claude Code: ~/.claude/plugins/cache/
- Cursor: ~/.cursor/extensions/ およびプロジェクトの .cursorrules
- Windsurf: ~/.codeium/windsurf/
- その他のプラットフォーム：ユーザーにディレクトリパスを尋ねます。
ユーザーが GitHub の URL を提供した場合、WebFetch を使用してリポジトリのコンテンツを取得するか、ローカルにクローンします。
これらのファイルタイプをスキャンします：.md、.json、.js、.py、.sh、.ts、.yaml、.yml
見つかったすべてのファイルをリストし、続行する前にユーザーに確認します。

重要：この監査をサブエージェント（Task ツール）にディスパッチしないでください。 サブエージェントは、~/.claude/plugins/cache/ またはその他のシステムディレクトリを読み取ることができないサンドボックス環境で実行されます。常にメインの会話コンテキストで監査を実行してください。

フェーズ2：各ファイルの分析

詳細な検出パターンについては、references/security-rules.md（このファイルのディレクトリからの相対パス）をロードしてください。
Read ツールを使用して各ファイルを読み取ります。
ファイルの内容を9つのカテゴリ（PI、DE、CE、OB、PA、SC、MP、TE、BM）すべてに対してチェックします。
各検出結果について、ルール ID（例：PI-001）、重大度、ファイルパスと行番号、説明、および推奨されるアクションを記録します。
コンテキストを考慮した判断を適用します。すべてのパターンマッチが真陽性であるとは限りません。
単一のコードブロックが複数のルールをトリガーする場合は、適用可能な各ルールを個別に報告します。カテゴリ間の重複（例：同じ行の OB + CE + PI）は、検出結果が真陽性であるという確信を高めます。
検出結果を評価する際には、スキルの明示された目的を考慮してください。セキュリティ監査スキルは、当然危険なパターンを参照します。

フェーズ3：レポートの生成

以下のスコアリング式を使用してリスクスコアを計算します。
以下のテンプレートを使用して構造化されたレポートを出力します。
複数のスキルのバッチスキャンでは、最後にサマリーテーブルを出力します。

レポート形式

シングルスキルレポート

1つのスキルを監査する場合は、この完全なレポートを出力します。

## スキルセキュリティ監査レポート

### 対象：[skill-name] [利用可能な場合はバージョン]
### リスクスコア：X.X/10 ([LEVEL])

---

### CRITICAL

- [PI-001] file.md:42 — 検出結果の説明
  リスク：これが危険な理由
  アクション：推奨される対応

### WARNING

- [OB-003] script.js:15 — 検出結果の説明
  リスク：これが懸念される理由
  アクション：推奨される対応

### INFO

- [BM-002] SKILL.md:88 — 検出結果の説明
  リスク：これが注目に値する理由
  アクション：推奨される対応

---

### サマリー
- CRITICAL: N | WARNING: N | INFO: N
- リスクスコア：X.X/10 — [全体的な推奨事項]

バッチスキャンレポート

複数のスキルをスキャンする場合は、このコンパクトな形式を使用します。まずサマリーダッシュボードを表示し、次に検出結果のあるスキルのみを表示します。

## スキルセキュリティ監査 — バッチレポート

### ダッシュボード

| # | スキル | スコア | レベル | C | W | I | 最も重要な検出結果 |
|---|-------|-------|-------|---|---|---|-------------|
| 1 | skill-a | 0.0 | ✅ SAFE | 0 | 0 | 0 | — |
| 2 | skill-b | 2.4 | ⚠️ RISKY | 0 | 3 | 0 | [PA-001] 包括的な権限付与 |
| 3 | skill-c | 6.0 | 🔴 DANGEROUS | 2 | 1 | 1 | [DE-001] ~/.ssh/id_rsa を読み取る |
| 4 | skill-d | 8.2 | 🟣 MALICIOUS | 3 | 2 | 0 | [CE-003] curl | sh 実行 |

**スキャン済み：4 スキル | クリーン：1 | レビューが必要：3**

---

### #3 skill-c — 6.0/10 🔴 DANGEROUS

| ルール | ファイル:行 | 検出結果 | アクション |
|------|-----------|---------|--------|
| [DE-001] CRITICAL | lib/init.sh:14 | `~/.ssh/id_rsa` を読み取る | 秘密ファイルへのアクセスを削除 |
| [DE-004] CRITICAL | lib/init.sh:15 | 外部 URL に POST | HTTP 漏洩を削除 |
| [OB-007] WARNING | lib/init.sh:13 | コメントには「setup」とあるが、コードは漏洩する | 書き換えるか削除 |
| [BM-003] INFO | lib/init.sh:16 | stderr 出力を抑制 | 必要性を確認 |

### #4 skill-d — 8.2/10 🟣 MALICIOUS
...

バッチ形式のルール：

ダッシュボードテーブルは常に最初に表示されます。これにより、ユーザーはすぐに概要を把握できます。
0.0を超えるスコアのスキル（SAFE スキルをスキップ）の詳細のみを展開します。
ネストされた箇条書きリストの代わりに、スキルごとにコンパクトなテーブルを使用します。
レベル列で絵文字インジケーターを使用します：✅ SAFE、⚠️ RISKY、🔴 DANGEROUS、🟣 MALICIOUS。
ダッシュボードの「最も重要な検出結果」列に、最も重要な単一の検出結果を表示します。

スコアリング

リスクを計算します

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Skill Security Audit

Overview

Scan and audit AI agent skills, plugins, and tool definitions for security vulnerabilities across nine risk categories aligned with the OWASP Agentic AI Top 10 (ASI01 through ASI10). This skill works cross-platform with Claude Code, OpenClaw, and any AI agent platform that uses file-based skill definitions. Rather than relying on brittle regex patterns, it performs AI-powered semantic analysis to detect prompt injection, data exfiltration, obfuscated code, privilege escalation, supply chain attacks, memory poisoning, trust boundary violations, and behavioral manipulation. Each audit produces a structured risk report with severity ratings, evidence citations, and actionable remediation guidance.

When to Use

Before installing any third-party skill or plugin from a marketplace
When reviewing skills downloaded from OpenClaw, ClawHub, or other registries
Periodic audit of all installed skills and plugins
When a skill requests unusual permissions or behaves unexpectedly

Security Check Categories

ID	Category	Severity	OWASP ASI
PI	Prompt Injection	CRITICAL	ASI01
DE	Data Exfiltration	CRITICAL	ASI02
CE	Malicious Command Execution	CRITICAL	ASI02, ASI05
OB	Obfuscated/Hidden Code	WARNING	—
PA	Privilege Over-Request	WARNING	ASI03
SC	Supply Chain Risks	WARNING	ASI04
MP	Memory/Context Poisoning	WARNING	ASI06
TE	Human Trust Exploitation	WARNING	ASI09
BM	Behavioral Manipulation	INFO	ASI10

Load references/security-rules.md (relative to this file's directory) for detailed detection patterns, examples, and false positive guidance.

Audit Workflow

Phase 1: Determine Scan Scope

If user specifies a directory path, scan all files in that directory recursively.
If user says "scan installed", scan platform-specific skill directories:
- Claude Code: ~/.claude/plugins/cache/
- Cursor: ~/.cursor/extensions/ and project .cursorrules
- Windsurf: ~/.codeium/windsurf/
- Other platforms: ask user for the directory path.
If user provides a GitHub URL, use WebFetch to retrieve the repository content, or clone it locally.
Scan these file types: .md, .json, .js, .py, .sh, .ts, .yaml, .yml
List all files found and confirm with user before proceeding.

Important: Do NOT dispatch this audit to a subagent (Task tool). Subagents run in a sandboxed environment that cannot read ~/.claude/plugins/cache/ or other system directories. Always run the audit in the main conversation context.

Phase 2: Analyze Each File

Load references/security-rules.md (relative to this file's directory) for detailed detection patterns.
Read each file using the Read tool.
Check file content against all 9 categories (PI, DE, CE, OB, PA, SC, MP, TE, BM).
For each finding, record: rule ID (e.g., PI-001), severity, file path and line number, description, and recommended action.
Apply context-aware judgment — not every pattern match is a true positive.
When a single code block triggers multiple rules, report each applicable rule separately. Cross-category overlap (e.g., OB + CE + PI on the same line) increases confidence that the finding is a true positive.
Consider the skill's stated purpose when evaluating findings. A security auditing skill will naturally reference dangerous patterns.

Phase 3: Generate Report

Calculate risk score using the scoring formula below.
Output the structured report using the template below.
For batch scans of multiple skills, output a summary table at the end.

Report Format

Single Skill Report

When auditing one skill, output this full report:

## Skill Security Audit Report

### Target: [skill-name] [version if available]
### Risk Score: X.X/10 ([LEVEL])

---

### CRITICAL

- [PI-001] file.md:42 — Description of finding
  Risk: Why this is dangerous
  Action: Recommended response

### WARNING

- [OB-003] script.js:15 — Description of finding
  Risk: Why this is concerning
  Action: Recommended response

### INFO

- [BM-002] SKILL.md:88 — Description of finding
  Risk: Why this is worth noting
  Action: Recommended response

---

### Summary
- CRITICAL: N | WARNING: N | INFO: N
- Risk Score: X.X/10 — [Overall recommendation]

Batch Scan Report

When scanning multiple skills, use this compact format. Start with the summary dashboard, then show only skills with findings:

## Skill Security Audit — Batch Report

### Dashboard

| # | Skill | Score | Level | C | W | I | Top Finding |
|---|-------|-------|-------|---|---|---|-------------|
| 1 | skill-a | 0.0 | ✅ SAFE | 0 | 0 | 0 | — |
| 2 | skill-b | 2.4 | ⚠️ RISKY | 0 | 3 | 0 | [PA-001] Blanket permission grant |
| 3 | skill-c | 6.0 | 🔴 DANGEROUS | 2 | 1 | 1 | [DE-001] Reads ~/.ssh/id_rsa |
| 4 | skill-d | 8.2 | 🟣 MALICIOUS | 3 | 2 | 0 | [CE-003] curl | sh execution |

**Scanned: 4 skills | Clean: 1 | Needs review: 3**

---

### #3 skill-c — 6.0/10 🔴 DANGEROUS

| Rule | File:Line | Finding | Action |
|------|-----------|---------|--------|
| [DE-001] CRITICAL | lib/init.sh:14 | Reads `~/.ssh/id_rsa` | Remove sensitive file access |
| [DE-004] CRITICAL | lib/init.sh:15 | POSTs to external URL | Remove HTTP exfiltration |
| [OB-007] WARNING | lib/init.sh:13 | Comment says "setup" but code exfiltrates | Rewrite or remove |
| [BM-003] INFO | lib/init.sh:16 | Suppresses stderr output | Review necessity |

### #4 skill-d — 8.2/10 🟣 MALICIOUS
...

Batch format rules:

Dashboard table always comes first — gives the user an instant overview.
Only expand details for skills scoring above 0.0 (skip SAFE skills).
Use a compact table per skill instead of nested bullet lists.
Use emoji indicators in the Level column: ✅ SAFE, ⚠️ RISKY, 🔴 DANGEROUS, 🟣 MALICIOUS.
Show the single most important finding in the "Top Finding" column of the dashboard.

Scoring

Calculate risk score:

Each CRITICAL finding: +2.0 points
Each WARNING finding: +0.8 points
Each INFO finding: +0.2 points
Maximum score: 10.0

Risk levels:

0.0–2.0: SAFE — No significant risks found.
2.1–5.0: RISKY — Manual review recommended before use.
5.1–8.0: DANGEROUS — Do not install.
8.1–10.0: MALICIOUS — Confirmed malicious intent. Report to marketplace.

False Positive Guidance

Consider the skill's legitimate purpose before flagging.
A security auditing skill will naturally reference dangerous patterns — this is not malicious.
Development tools may legitimately need Bash access.
Look for intent, not just pattern presence.
When uncertain, report the finding with a note explaining the ambiguity.