"Assume the user is the attacker. Find where trust is misplaced."
| HIGH | Auth, crypto, external calls, value transfer, validation removal | | MEDIUM | Business logic, state changes, new public APIs | | LOW | Comments, tests, UI, logging |
| IDOR | User-controlled IDs without ownership check | | Mass Assignment | Binding request body directly to models | | SSRF | User-controlled URLs in server requests | | Path Traversal | User input in file paths without sanitization | | Race Condition | Check-then-use without locking | | Insecure Deserialization | Deserializing untrusted data |
Используйте при проверке запросов на безопасность, аудите изменений кода или анализе потенциальных уязвимостей. Анализ кода, ориентированный на безопасность, с картированием поверхностей атак и классификацией рисков. Срабатывает при: «проверка безопасности», «использовать режим безопасности», «проверить это», «проверить на уязвимости», «безопасно ли это», «поверхность атаки», «модель угрозы», «проверка безопасности». Режим только для чтения — выявляет проблемы, но не устраняет их. Источник: mcouthon/agents.