Bug Hunter — Recherche Adversaire de Bugs

Score de confiance 84/100

Exécute un pipeline adversaire séquentiel (Recon → Hunter → Skeptic → Referee) pour trouver, vérifier et éventuellement corriger automatiquement les bugs de runtime et les problèmes de sécurité.

déclencheurs:bug huntbug-hunterscan projectsecurity reviewpr security reviewauto-fix

GitHub SKILL.md

Ce que fait ce skill

Bug Hunter fournit un pipeline adversaire multiphase pour trouver et valider des bugs dans les bases de code. Il cartographie le projet (Recon), effectue des passes de scan approfondies (Hunter), remet en question les résultats (Skeptic) et confirme les problèmes réels (Referee). Lorsqu'il est activé, il peut créer des correctifs sécurisés basés sur des branches avec des commits checkpointés et une vérification. Le skill supporte plusieurs modes (fichier unique, petit, hybride parallèle, étendu, mis à l'échelle, boucle pour grandes bases de code) et est conçu pour gérer aussi bien les petites revues de PR que les grands monorepos avec état de reprise.

Quand l'utiliser

Utilisez Bug Hunter pour les audits de sécurité, les vérifications de régression, les revues de code axées sur le comportement au runtime, ou chaque fois que vous avez besoin d'un scan adversaire automatisé. Les phrases de déclenchement incluent les demandes de scan de projet, de revue de PR, de revue de sécurité ou de correction automatique des problèmes éligibles. Il convient pour le gating CI, les vérifications pré-fusion et les balayages de sécurité planifiés.

Ce qui est inclus

Scripts : les scripts d'orchestration et de triage sont référencés dans le skill (triage, orchestration de run, scan de dépendances, rendu de rapport) bien qu'ils ne soient pas groupés dans le corps du SKILL.md.
Références : aucune référence groupée dans le SKILL.md récupéré.
Instructions : directives opérationnelles complètes sur les modes, les drapeaux, le triage, les backends d'orchestration, l'intégration de la boucle d'expérimentation et les conventions de rapport JSON/markdown.

Agents compatibles

Conçu pour les pipelines multi-agents et les backends d'agents de type CLI (Claude Code, agents Codex/CLI, Cursor, agents séquentiels locaux). Fonctionne dans des contextes de CI automatisés ou de revue interactive.

Étiquettes

#security #code-audit #bug-detection #auto-fix #triage #multi-agent #sast #devops #ci-cd

Scripts exécutés dans un bac à sableExécution échouéeAudité le May 11, 2026

Résumé de l'audit

Bug-hunter est un pipeline complet de recherche de bugs adversaire comprenant 19 scripts implémentant un flux Recon→Hunter→Skeptic→Referee avec des boucles de correction et d'expérimentation. Les scripts sont des modules Node.js bien structurés avec validation de schéma, gestion d'état et gestion de verrous. Les scripts .cjs n'ont pas pu être exécutés seuls par l'auditeur (ils nécessitent des importations de modules et des arguments CLI), et le script .sh unique a échoué car le répertoire test-fixture n'existe pas dans le bac à sable d'audit. La sécurité est solide : les commandes shell utilisent spawnSync avec des tableaux argv, un helper shellQuote existe, et l'unique utilisation de bash -c est explicitement documentée comme étant contrôlée par l'utilisateur. Les appels réseau sont uniquement adressés à l'API de context7.com (recherche de documentation). Préoccupation mineure : prepublish-guard.cjs utilise execSync avec interpolation de littéraux de modèles pour les chaînes de version (risque faible — n'interpole que la version de package.json).

Points d'attention

18 des 19 scripts sont des modules Node.js .cjs qui nécessitent des importations de modules et des arguments CLI appropriés — ils ne peuvent pas être exécutés facilement de manière isolée
experiment-loop.cjs utilise intentionnellement bash -c pour les commandes de benchmark fournies par l'utilisateur (documenté, acceptable)
prepublish-guard.cjs utilise execSync avec interpolation de littéraux de modèles pour la version (risque faible)
context7-api.cjs et doc-lookup.cjs effectuent des appels HTTPS vers context7.com (API de documentation, attendu)
Les scripts se référencent les uns les autres via require() — ils forment un système cohérent, pas des outils autonomes

Dépendances manquantes

node (for .cjs scripts)

Notes

Compétence de haute qualité avec une portée impressionnante. 19 scripts couvrant la gestion d'état, l'indexation du code, le scan de dépendances, le triage, la définition du périmètre des PR, le verrouillage des corrections, les boucles d'expérimentation, le rendu de rapports, la validation de schéma, et plus encore. SKILL.md bien documenté avec des phases, des flags et des workflows clairs. Le seul vecteur d'injection shell (bash -c dans experiment-loop) est explicitement documenté comme étant contrôlé par l'utilisateur. Aucun identifiant codé en dur, pas d'exfiltration, pas de mise à jour automatique, pas de commandes rm destructives. Les scripts .cjs sont architecturalement sains avec une gestion d'erreurs et une validation d'entrée appropriées.

Informations

Dépôt: bug-hunter
Étoiles: 120
Installations: 0

Score de confiance

Global84

Sécurité82

Qualité du code83

Architecture88

Utilité91

Compétences similaires

TradeOS

Natural-language driven CEX trading and portfolio management for agents: API key vaulting, multi-exchange orders, DCA, arbitrage scanning, alerts and security r

Spring Boot Migration

Guided, phased migration for existing Spring Boot apps to Boot 4 / Java 25 (including Modulith 2 and Testcontainers 2), with scanners and reference guides.

Java 25 & Spring Boot 4 Code Reviewer

Run focused, evidence-based code reviews for Java 25 and Spring Boot 4 projects — migration risks, architecture boundaries, null-safety (JSpecify), security, an

ArcKit — French Public Procurement (fr-marche-public)

Generates French public procurement (Dossier de Consultation des Entreprises) drafts aligned with the Code de la Commande Publique, UGAP frameworks, and DINUM d

ArcKit Architecture Conformance

Run a systematic architecture conformance assessment that compares ADRs and principles against HLD/DLD artifacts to surface drift, violations, and technical deb

Speak Security Basics

Security best practices for integrating Speak: API key management, audio data privacy, student data protection, and COPPA/FERPA compliance for production deploy

Replit — Advanced Troubleshooting

Step-by-step diagnostics and debugging techniques for deep Replit issues: Nix build failures, container crash loops, memory leaks, and platform vs app isolation

Vercel Common Errors

Diagnose and fix common Vercel build, serverless runtime, and edge/routing errors with step-by-step checks and fixes.

Retour aux compétences