Como instalar esta skill?

Use o comando npx skills add fabricioctelles/skills -s seguido do nome da skill. Também é possível clonar o repositório GitHub e copiar manualmente a pasta da skill para o diretório do seu agente, seja Kiro, Cursor ou Claude Code. Veja a lista completa em skills.sh/fabricioctelles/skills.

Quais agentes suportam esta skill?

Esta skill é compatível com Kiro, Cursor, Windsurf, Claude Code e qualquer outro agente que suporte o formato aberto Agent Skills. O formato é universal, leve e baseado em arquivos Markdown com metadados estruturados que agentes carregam sob demanda.

Sim, esta skill é completamente open-source sob licença Apache 2.0 e pode ser usada livremente em qualquer projeto comercial ou pessoal. O repositório é mantido pela comunidade e aceita contribuições via pull requests no GitHub.

🆕 New skill: Security Specialist v2.0! 6-phase pipeline, 9 attack classes and adversarial validation.View skill →

Security Specialist

Visão Geral

Agente completo de segurança de aplicações — executa SAST (análise estática), DAST (testes dinâmicos), threat modeling, triagem de vulnerabilidades, remediação e penetration testing. Combina revisão de código com testes ao vivo para correlação completa de evidências.

Quando Usar

Auditoria de segurança completa de repositório
Revisão de PR/diff para regressões de segurança
Pentest de aplicações web
Construir threat model
Triar e priorizar vulnerabilidades
Corrigir vulnerabilidades com patches verificados
Exportar findings para GitHub/Jira/Linear
Gerar relatório HTML interativo

Funcionalidades Principais

Pipeline de 6 Fases (Full-Scan)

Fase	O que faz
1. Recon	Agentes paralelos mapeiam arquitetura, trust boundaries e input surfaces
2. Hunt	Agentes paralelos por attack class (9 categorias) com 12 ângulos de hunting
3. Validate	Validação adversarial — agentes separados tentam DISPROVAR cada finding
4. Report	HTML auto-contido com dark theme, filtros e evidência colapsável
5. Schema	findings.json validado contra JSON schema (trace, conditions, execution, confidence)
6. Verify	Verificação independente de cada claim factual por agentes frescos

9 Attack Classes

Injection, Access Control, Resource/File Handling, Cryptography, Business Logic, Feature Abuse, Chained Attacks, Wildcard, Obvious Things.

12 Workflows

full-scan, diff-review, pentest, hunting, threat-model, attack-paths, discovery, triage, remediation, tracking, validation, reporting.

Multi-Run Additive Coverage

Cada run targeta gaps dos runs anteriores. Um single run encontra ~50% do total de vulnerabilidades.

Instalação

npx skills add https://github.com/fabricioctelles/skills -s security-specialist

Changelog

v2.0 (Jun 2026)

Pipeline de 6 fases com agentes paralelos (inspirado no Cloudflare security-audit-skill)
9 attack classes e hunting methodology de 12 ângulos
Validação adversarial (Phase 3) e verificação independente (Phase 6)
JSON schema para findings estruturados com trace, conditions, execution, confidence
Validador de schema zero-deps (Node.js) para integração CI
Multi-run additive coverage
10 anti-patterns a evitar
Calibração de baseline dinâmico na severity policy

v1.0 (Jun 2026)

11 steering workflows modulares
Scripts Python (SQLite, ranker, pentest, finalizer)
HTML report auto-contido com dark theme
Pentest tool cascade
Three-layer correlation (source → dev → prod)

📄 Documentação completa no GitHub