메뉴
リポジトリ内で悪用可能でバウンティに値するセキュリティ問題を探します。ノイジーなローカル限定の指摘ではなく、実際のレポートに適格なリモートから到達可能な脆弱性に焦点を当てます。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
SOC 직업 분류 기준
キャプチャ、診断、抑制されたリカバリ、内省レポートを用いた、AI エージェント障害向けの体系的なセルフデバッグワークフローです。
リポジトリ認識の並列レビューパスを使用してスキル、コマンド、ルール、フック、その他を DAILY と LIBRARY のバケットに分類することで、特定のリポジトリ向けにエビデンスに基づく ECC インストールプランを構築します。フルバンドルをロードするのではなく、プロジェクトが実際に必要とするものに ECC をトリミングすべき場合に使用します。
対象リポジトリの既存の統合パターンに正確に合わせて新しい API コネクタやプロバイダを構築します。第二のアーキテクチャを発明することなく、もう一つの統合を追加する場合に使用します。
Write articles, guides, blog posts, tutorials, newsletter issues, and other long-form content in a distinctive voice derived from supplied examples or brand guidance. Use when the user wants polished written content longer than a paragraph, especially when voice consistency, structure, and credibility matter.
ECC 向けのエビデンスファーストな自動化インベントリと重複監査のワークフローです。何かを修正する前に、どのジョブ、フック、コネクタ、MCP サーバー、またはラッパーがライブ、壊れている、冗長、または欠落しているかをユーザーが知りたい場合に使用します。
CodeTour の `.tour` ファイルを作成します。実際のファイルと行のアンカーを持つペルソナ対象のステップバイステップウォークスルーです。オンボーディングツアー、アーキテクチャウォークスルー、PR ツアー、RCA ツアー、および構造化された「これがどのように動作するか説明して」というリクエストに使用します。
| name | security-bounty-hunter |
| description | リポジトリ内で悪用可能でバウンティに値するセキュリティ問題を探します。ノイジーなローカル限定の指摘ではなく、実際のレポートに適格なリモートから到達可能な脆弱性に焦点を当てます。 |
| origin | ECC direct-port adaptation |
| version | 1.0.0 |
責任ある開示やバウンティ提出のための実用的な脆弱性発見が目的の場合にこれを使用します。広範なベストプラクティスレビューではありません。
リモートから到達可能でユーザー制御可能な攻撃パスにバイアスをかけ、プラットフォームが informative または out of scope として定期的に拒否するパターンを除外します。
以下は一貫して重要視される問題です:
| パターン | CWE | 典型的な影響 |
|---|---|---|
| ユーザー制御 URL による SSRF | CWE-918 | 内部ネットワークアクセス、クラウドメタデータ盗難 |
| ミドルウェアや API ガードの認証バイパス | CWE-287 | 権限のないアカウントまたはデータアクセス |
| リモートデシリアライゼーションや upload-to-RCE パス | CWE-502 | コード実行 |
| 到達可能なエンドポイントでの SQL インジェクション | CWE-89 | データ流出、認証バイパス、データ破壊 |
| リクエストハンドラでのコマンドインジェクション | CWE-78 | コード実行 |
| ファイル配信パスでのパストラバーサル | CWE-22 | 任意のファイル読み書き |
| 自動トリガーされる XSS | CWE-79 | セッション盗難、管理者侵害 |
以下は通常、低シグナルまたはバウンティ対象外です(プログラムが別途明示しない限り):
pickle.loads、torch.load または同等物eval() または exec()shell=Truesemgrep --config=auto --severity=ERROR --severity=WARNING --json
その後、手動でフィルタ:
## Description
[脆弱性の内容と、なぜ重要か]
## Vulnerable Code
[ファイルパス、行範囲、小さなスニペット]
## Proof of Concept
[最小限の動作するリクエストまたはスクリプト]
## Impact
[攻撃者が達成できること]
## Affected Version
[テストしたバージョン、コミット、またはデプロイターゲット]
提出前に: