Claude Code 安全稽核員 Subagent：OWASP Top 10 + 權限/認證漏洞掃描

功能寫完才送資安審查常常太晚。讓 Claude Code 多一個只做安全稽核的子代理，每次新功能進來就照 OWASP Top 10 掃一遍、標嚴重度、給修法。

[ 登入後可看完整內容 ]

## 這是什麼／解決什麼痛點 大多數團隊的資安審查發生得太晚——功能做完、甚至上線後才補。等到滲透測試或 bug bounty 找出 SQL injection、壞掉的 JWT 驗證、或是把密鑰寫死在程式裡，修起來成本高得多。這個「安全稽核員」子代理（subagent）把資安審查往前推到「功能開發當下」：你寫完一段認證流程或對外 API，就能立刻叫它用 OWASP Top 10 的視角逐檔掃一遍，標出嚴重度、解釋攻擊向量、附上可直接套用的修法。 Claude Code 的 subagent 是一份放在 `.claude/agents/<名稱>.md` 的 Markdown 檔，YAML frontmatter 定義 name / description / model，內文就是這個子代理的系統提示。它跑在獨立的 context 視窗，所以做完一輪資安掃描不會把一堆漏洞細節塞進你主對話、把脈絡撐爆。 ## 為什麼這來源值得用 wshobson/agents 是社群裡最具規模的 Claude Code 子代理集合之一（MIT 授權、GitHub 上超過 3.6 萬星），由 Seth Hobson 維護。它的 security-auditor 不是泛泛的「請注意安全」，而是把焦點明確拆成 OWASP Top 10 各類別、認證/授權、輸入驗證、資料安全、API 強化、相依 CVE、基礎設施七大塊，並規定統一的輸出格式（嚴重度 + OWASP 分類 + 精確位置 + 攻擊說明 + 修補建議）。這種結構化讓它的輸出可以直接進 issue tracker，而不是一坨難以追蹤的散文。 ## 怎麼用（步驟） 1. 在專案根目錄建立 `.claude/agents/security-auditor.md`，貼入 full_prompt 提供的規格。 2. 重新進入 Claude Code（或讓它重新載入 agents 目錄）後，子代理即可用。 3. 主動觸發：在對話中說「用 security-auditor 審查 X」；或因為 description 寫了「請主動使用」，Claude 在你動到認證/輸入處理/敏感資料時可能自行委派。 4. 把它的發現按優先順序逐一修，修完可再叫它複審。 5. 進階：搭配 Claude Code 的 hook，在 PR 或 commit 前自動跑一輪。 ## 何時用 - 新增或改動登入、session、OAuth、權限判斷邏輯時。 - 寫對外 API、處理使用者上傳/輸入、組 SQL 查詢時。 - 引入新相依套件、或要上線前做一次資安總體檢時。 - 不適合用它取代正式滲透測試或合規稽核——它是「左移」的第一道篩網，不是最後一道。 📎 來源：wshobson/agents（作者 Seth Hobson，MIT 授權）— 本篇為繁中改寫整理，原始內容見上方連結。