AI Security Auditor — Skills OWASP et scan de vulnérabilités
Installez des skills d'audit de sécurité qui transforment Claude Code en relecteur orienté sécurité. Contrôles OWASP Top 10, scan de vulnérabilités des dépendances, détection de secrets et threat modeling, le tout en local dans votre éditeur.
Installer le Skill Security Auditor
# Install the Security Auditor agent skill
curl -s https://api.tokrepo.com/raw/security-auditor-agent \
> ~/.claude/skills/security-auditor/SKILL.md
# Or install via TokRepo CLI
npx tokrepo install security-auditor-agent
Antigravity Awesome Skills — 1,340+ Agentic Skills Library
Installable library of 1,340+ agentic skills for Claude Code, Cursor, Codex CLI, and Gemini CLI. One command installs skills like brainstorming, security auditing, frontend design, and API design.
Nuxt + Go-Zero Quality Audit Skill — 30 Checks from 250 Real Bugs
Production-tested quality check skill for Nuxt SSR + Go-Zero + MySQL projects. 30 automated checks across 7 dimensions (security, race conditions, transactions, frontend SSR, dependencies, API contracts, ops) — distilled from 10 rounds of Codex audit that found ~250 real issues in a live SaaS product.
Claude Code Agent: Smart Contract Auditor — Web3 Security
Claude Code agent for auditing Solidity smart contracts. Reentrancy, overflow, access control, gas optimization, and best practices.
Claude Code Agent: Security Auditor — OWASP & Dependency Scan
Claude Code agent that audits your codebase for OWASP top 10 vulnerabilities, dependency issues, and security anti-patterns.
ModSecurity — Open Source Web Application Firewall Engine
ModSecurity is a cross-platform web application firewall engine that inspects HTTP traffic in real time. Originally an Apache module, it now runs as a standalone library (libmodsecurity) embeddable in Nginx, Apache, and IIS, with rule sets like OWASP CRS providing out-of-the-box protection against SQL injection, XSS, and other OWASP Top 10 threats.
Amass — In-Depth Attack Surface Mapping and Asset Discovery
An OWASP project for network mapping and external asset discovery using open source intelligence gathering and active reconnaissance techniques.
MCP ZAP Server — OWASP ZAP for Agents (Safe)
MCP ZAP Server exposes OWASP ZAP through MCP with operator guardrails (auth, policies, scopes) and Docker Compose setup for guided scans and reports.
Décaler la sécurité à gauche avec l'IA
L'AI security auditor apporte des patterns de pentesting professionnel dans votre workflow de code quotidien. Au lieu de lancer des scans de sécurité après le déploiement — quand les correctifs sont coûteux et risqués — ces skills vérifient les vulnérabilités au fil de l'écriture du code. Chaque commit est inspecté pour les injections SQL, XSS, CSRF, désérialisation non sécurisée, authentification cassée et le reste de l'OWASP Top 10.
Ce qui distingue l'audit de sécurité piloté par IA des outils SAST (Static Application Security Testing) traditionnels, c'est la compréhension contextuelle. Un scanner basé sur regex signale chaque appel à eval() ; un Agent auditeur comprend que eval(JSON.stringify(config)) avec une entrée de confiance est sûr alors que eval(userInput) est critique. Cela réduit considérablement les faux positifs — le bruit qui pousse les équipes à ignorer entièrement les outils de sécurité.
Les skills ci-dessous couvrent aussi des domaines que les scanners traditionnels ratent : détection de secrets (clés API, tokens, mots de passe commités dans git), analyse des dépendances (CVE connus dans votre package.json/go.mod), threat modeling (identification des surfaces d'attaque dans votre architecture) et audit de smart contracts pour les projets Web3. Associez avec les skills de revue de code IA pour une porte qualité complète, ou parcourez l'annuaire complet d'outils de sécurité pour des scanners dédiés. Pour l'intégration CI/CD, consultez les outils DevOps qui exécutent ces contrôles automatiquement à chaque PR.
Le correctif de vulnérabilité le moins cher est celui que votre IA attrape avant que vous n'appuyiez sur commit.
Questions fréquentes
Que vérifie l'AI security auditor ?+
Le skill audite : les vulnérabilités OWASP Top 10 (injection, XSS, CSRF, authentification cassée, etc.), les secrets et clés API en dur, les CVE connus dans les dépendances, les implémentations cryptographiques non sécurisées, les vulnérabilités de path traversal, la désérialisation non sécurisée, le server-side request forgery (SSRF) et les en-têtes de sécurité mal configurés. Il produit un rapport classé par sévérité avec les emplacements de fichiers précis et des suggestions de correctifs.
En quoi est-ce différent de Snyk ou SonarQube ?+
Les outils SAST traditionnels utilisent du pattern matching et des moteurs de règles : ils sont rapides mais produisent beaucoup de faux positifs et manquent les vulnérabilités complexes qui nécessitent de comprendre le flux de code. Les auditeurs de sécurité IA comprennent le contexte : ils peuvent tracer le flux de données depuis l'entrée utilisateur jusqu'à la requête base de données, comprendre le middleware d'authentification et évaluer si un pattern signalé est réellement exploitable. Ils complètent les scanners traditionnels — utilisez les deux pour une défense en profondeur.
L'IA peut-elle corriger les vulnérabilités qu'elle trouve ?+
Oui. Après avoir identifié une vulnérabilité, Claude Code peut proposer un correctif — par exemple, remplacer la concaténation de chaînes en SQL par des requêtes paramétrées, ajouter de la sanitisation d'entrée pour XSS, ou implémenter des tokens CSRF. Vérifiez toujours les correctifs de sécurité avec attention avant de les appliquer — l'IA peut introduire des régressions subtiles dans du code sensible. Le workflow le plus sûr : l'IA identifie et propose, l'humain relit et approuve.
Fonctionne-t-il pour les smart contracts ?+
Oui. TokRepo inclut un skill Smart Contract Auditor dédié qui vérifie Solidity et d'autres langages EVM pour les attaques par réentrance, les dépassements d'entiers, les problèmes de contrôle d'accès, l'optimisation du gas et les vulnérabilités DeFi courantes. Il est spécifiquement entraîné sur des patterns d'exploits Web3 connus et des formats de rapports d'audit.
Comment intégrer l'audit de sécurité dans CI/CD ?+
Lancez Claude Code en mode headless comme étape CI : « claude --headless audit-security » avec les flags appropriés. Certaines équipes utilisent Claude Code Hooks pour déclencher les scans de sécurité à chaque commit. Pour des solutions natives GitHub, plusieurs outils du répertoire DevOps de TokRepo fournissent des GitHub Actions qui lancent des scans IA à chaque PR et bloquent le merge si des problèmes critiques sont trouvés.