security-threat-model

Repository-grounded threat modeling that enumerates trust boundaries, assets, attacker capabilities, abuse paths, and mitigations, and writes a concise Markdown threat model. Trigger only when the user explicitly asks to threat model a codebase or path, enumerate threats/abuse paths, or perform AppSec threat modeling. Do not trigger for general architecture summaries, code review, or non-security design work.

1. Przygotuj repozytorium do analizy, określając ścieżkę główną i ewentualne podścieżki, które chcesz objąć modelowaniem. Zbierz informacje o zamierzonym użytkowaniu, modelu wdrażania (serwer, CLI, biblioteka), ekspozycji na internet i wymaganiach autentykacji.

2. Wygeneruj lub dostarcz podsumowanie architektury repozytorium — możesz użyć szablonu z references/prompt-template.md aby ustrukturyzować opis systemu.

3. Wyzwól skill, wyraźnie prosząc o modelowanie zagrożeń dla kodu, wyliczenie ścieżek ataku lub przeprowadzenie analizy AppSec. Skill automatycznie ignoruje żądania dotyczące ogólnych przeglądów architektury lub code review.

4. Skill wyodrębni komponenty, magazyny danych i integracje zewnętrzne z repozytorium, mapując je do konkretnych ścieżek w kodzie. Zidentyfikuje punkty wejścia i oddzieli zachowanie runtime od narzędzi CI/build i testów.

5. Otrzymasz raport zawierający granice zaufania (z protokołami, autentykacją, szyfrowaniem), listę zasobów narażonych na ryzyko oraz konkretne ścieżki ataku z mitygacją. Każde stwierdzenie będzie powiązane z dowodem z kodu, bez generycznych checklist.