AI Security Auditor — Skills OWASP y escaneo de vulnerabilidades
Instala skills de auditoría de seguridad que convierten a Claude Code en un revisor enfocado en seguridad. Controles OWASP Top 10, escaneo de vulnerabilidades en dependencias, detección de secretos y threat modeling, todo ejecutándose localmente en tu editor.
Instalar el Skill Security Auditor
# Install the Security Auditor agent skill
curl -s https://api.tokrepo.com/raw/security-auditor-agent \
> ~/.claude/skills/security-auditor/SKILL.md
# Or install via TokRepo CLI
npx tokrepo install security-auditor-agent
Antigravity Awesome Skills — 1,340+ Agentic Skills Library
Installable library of 1,340+ agentic skills for Claude Code, Cursor, Codex CLI, and Gemini CLI. One command installs skills like brainstorming, security auditing, frontend design, and API design.
Nuxt + Go-Zero Quality Audit Skill — 30 Checks from 250 Real Bugs
Production-tested quality check skill for Nuxt SSR + Go-Zero + MySQL projects. 30 automated checks across 7 dimensions (security, race conditions, transactions, frontend SSR, dependencies, API contracts, ops) — distilled from 10 rounds of Codex audit that found ~250 real issues in a live SaaS product.
Claude Code Agent: Smart Contract Auditor — Web3 Security
Claude Code agent for auditing Solidity smart contracts. Reentrancy, overflow, access control, gas optimization, and best practices.
Claude Code Agent: Security Auditor — OWASP & Dependency Scan
Claude Code agent that audits your codebase for OWASP top 10 vulnerabilities, dependency issues, and security anti-patterns.
ModSecurity — Open Source Web Application Firewall Engine
ModSecurity is a cross-platform web application firewall engine that inspects HTTP traffic in real time. Originally an Apache module, it now runs as a standalone library (libmodsecurity) embeddable in Nginx, Apache, and IIS, with rule sets like OWASP CRS providing out-of-the-box protection against SQL injection, XSS, and other OWASP Top 10 threats.
Amass — In-Depth Attack Surface Mapping and Asset Discovery
An OWASP project for network mapping and external asset discovery using open source intelligence gathering and active reconnaissance techniques.
MCP ZAP Server — OWASP ZAP for Agents (Safe)
MCP ZAP Server exposes OWASP ZAP through MCP with operator guardrails (auth, policies, scopes) and Docker Compose setup for guided scans and reports.
Shift-left de seguridad con IA
El AI security auditor trae patrones profesionales de pentesting a tu flujo de trabajo diario de código. En lugar de lanzar escaneos de seguridad tras el despliegue — cuando los arreglos son caros y arriesgados — estos skills comprueban vulnerabilidades mientras escribes el código. Cada commit se revisa en busca de inyección SQL, XSS, CSRF, deserialización insegura, autenticación rota y el resto del OWASP Top 10.
Lo que diferencia a la auditoría de seguridad con IA de las herramientas SAST (Static Application Security Testing) tradicionales es la comprensión contextual. Un escáner basado en regex marca cada llamada a eval(); un Agente auditor entiende que eval(JSON.stringify(config)) con una entrada de confianza es seguro, mientras que eval(userInput) es crítico. Esto reduce drásticamente los falsos positivos — el ruido que hace que los equipos ignoren por completo las herramientas de seguridad.
Los skills de abajo también cubren áreas que los escáneres tradicionales pasan por alto: detección de secretos (claves API, tokens, contraseñas subidas a git), análisis de dependencias (CVEs conocidos en tu package.json/go.mod), threat modeling (identificación de superficies de ataque en tu arquitectura) y auditoría de smart contracts para proyectos Web3. Combina con skills de revisión de código IA para una puerta de calidad completa, o explora el directorio de herramientas de seguridad para escáneres dedicados. Para integración CI/CD, mira las herramientas DevOps que ejecutan estos chequeos automáticamente en cada PR.
El arreglo de vulnerabilidad más barato es el que tu IA atrapa antes de que pulses commit.
Preguntas frecuentes
¿Qué comprueba el AI security auditor?+
El skill audita: vulnerabilidades del OWASP Top 10 (inyección, XSS, CSRF, autenticación rota, etc.), secretos y claves API hardcodeadas, CVEs conocidos en dependencias, implementaciones criptográficas inseguras, vulnerabilidades de path traversal, deserialización insegura, server-side request forgery (SSRF) y cabeceras de seguridad mal configuradas. Produce un informe clasificado por severidad con ubicaciones de archivo específicas y sugerencias de arreglo.
¿En qué se diferencia de Snyk o SonarQube?+
Las herramientas SAST tradicionales usan pattern matching y motores de reglas: son rápidas, pero producen muchos falsos positivos y se pierden vulnerabilidades complejas que requieren entender el flujo de código. Los auditores de seguridad con IA entienden el contexto: pueden rastrear el flujo de datos desde la entrada del usuario hasta la consulta a base de datos, entender el middleware de autenticación y evaluar si un patrón marcado es realmente explotable. Complementan a los escáneres tradicionales — usa ambos para defensa en profundidad.
¿Puede la IA arreglar las vulnerabilidades que encuentra?+
Sí. Tras identificar una vulnerabilidad, Claude Code puede proponer un arreglo: por ejemplo, sustituir la concatenación de cadenas en SQL por consultas parametrizadas, añadir sanitización de entrada para XSS o implementar tokens CSRF. Revisa siempre los arreglos de seguridad con cuidado antes de aplicarlos — la IA puede introducir regresiones sutiles en código crítico de seguridad. El flujo más seguro: la IA identifica y propone, el humano revisa y aprueba.
¿Funciona para smart contracts?+
Sí. TokRepo incluye un skill Smart Contract Auditor dedicado que comprueba Solidity y otros lenguajes EVM en busca de ataques de reentrada, desbordamiento de enteros, problemas de control de acceso, optimización de gas y vulnerabilidades comunes de DeFi. Está entrenado específicamente sobre patrones conocidos de exploits Web3 y formatos de informes de auditoría.
¿Cómo integro la auditoría de seguridad en CI/CD?+
Ejecuta Claude Code en modo headless como paso de CI: «claude --headless audit-security» con los flags apropiados. Algunos equipos usan Claude Code Hooks para disparar escaneos de seguridad en cada commit. Para soluciones nativas de GitHub, varias herramientas del directorio DevOps de TokRepo proporcionan GitHub Actions que ejecutan escaneos IA en cada PR y bloquean el merge si se encuentran problemas críticos.