insufficient-randomness-anti-pattern

Insufficient randomness occurs when security-sensitive values (session tokens, password reset codes, encryption keys) are generated using predictable non-cryptographic PRNGs. AI models frequently suggest Math.random() or Python's random module for simplicity. These generators enable attackers to predict outputs after observing a few values, allowing token forgery, session hijacking, and cryptographic compromise.

Never use predictable, non-cryptographic random number generators for security-sensitive values.

隨機性不足漏洞的安全反模式 (CWE-330)。在產生或檢查建立安全性令牌、會話 ID、加密金鑰、隨機數或任何安全關鍵隨機值的程式碼時使用。檢測 Math.random() 或可預測種子的使用。 來源：igbuend/grimbard。

開啟你的終端機或命令列工具（如 Terminal、iTerm、Windows Terminal 等） 複製並執行以下指令：npx skills add https://github.com/igbuend/grimbard --skill insufficient-randomness-anti-pattern 安裝完成後，技能將自動設定到你的 AI 程式設計環境中，可以在 Claude Code、Cursor 或 OpenClaw 中使用