insufficient-randomness-anti-pattern

Insufficient randomness occurs when security-sensitive values (session tokens, password reset codes, encryption keys) are generated using predictable non-cryptographic PRNGs. AI models frequently suggest Math.random() or Python's random module for simplicity. These generators enable attackers to predict outputs after observing a few values, allowing token forgery, session hijacking, and cryptographic compromise.

Never use predictable, non-cryptographic random number generators for security-sensitive values.

随机性不足漏洞的安全反模式 (CWE-330)。在生成或检查创建安全令牌、会话 ID、加密密钥、随机数或任何安全关键随机值的代码时使用。检测 Math.random() 或可预测种子的使用。 来源：igbuend/grimbard。

打开你的终端或命令行工具（如 Terminal、iTerm、Windows Terminal 等） 复制并运行以下命令：npx skills add https://github.com/igbuend/grimbard --skill insufficient-randomness-anti-pattern 安装完成后，技能将自动配置到你的 AI 编程环境中，可以在 Claude Code、Cursor 或 OpenClaw 中使用