Outils Open Source Claude pour la Chasse Automatisée aux Bounties de Bugs

Trois dépôts open source transforment Claude Code en un pipeline automatisé de chasse aux bug bounty. Les outils couvrent les tests de sécurité web2 et web3, fonctionnant entièrement au sein des conversations Claude Code.
Composants clés
La trilogie se compose de trois dépôts interconnectés :
- claude-bug-bounty : Vous le pointez vers une cible et Claude gère la reconnaissance, cartographie la surface d'attaque, exécute des scanners pour IDOR, SSRF, XSS, SQLi, OAuth, GraphQL, conditions de concurrence et injection LLM. Il vous guide à travers une liste de validation en 4 étapes, puis rédige un rapport prêt à soumettre pour HackerOne ou Bugcrowd.
- web3-bug-bounty-hunting-ai-skills : Se concentre sur la sécurité des smart contracts, couvrant 10 classes de bugs incluant la réentrance, les attaques par flash loan, la manipulation d'oracles et les problèmes de contrôle d'accès. Inclut des modèles de preuve de concept Foundry et des études de cas réelles d'Immunefi pour que Claude comprenne à quoi ressemblent les bugs rémunérés.
- public-skills-builder : Nourrissez-le avec 500 rapports divulgués de HackerOne ou des comptes rendus GitHub, et il génère des fichiers de compétences structurés, un par classe de vulnérabilité, prêts à charger dans Claude Code. Aucun rapport privé nécessaire.
Comment ils fonctionnent ensemble
Les trois dépôts fonctionnent comme un pipeline : public-skills-builder construit la base de connaissances, le dépôt web3 fournit le contexte des smart contracts, et claude-bug-bounty exécute les opérations de chasse réelles. Tous les outils sont gratuits et open source, disponibles sur GitHub.
Le créateur est ouvert aux contributions pour ajouter des scanners ou des modèles de prompts Claude. Les outils visent à automatiser les processus manuels de reconnaissance, de balayage et de rédaction de rapports que les chercheurs en sécurité effectuent généralement manuellement.
📖 Read the full source: r/ClaudeAI
👀 See Also

TEMM1E v3.1.0 : Agent IA qui s'auto-affine grâce aux interactions utilisateur
TEMM1E v3.1.0 introduit Eigen-Tune, un système qui capture les interactions des LLM comme données d'entraînement, évalue la qualité à partir du comportement des utilisateurs, et affine les modèles locaux via LoRA sans coût LLM supplémentaire. Testé sur Apple M2, il a corrigé les conversions de température de 72°F = '150°C' à '21,2°C' après 10 conversations.

Intégration OpenClaw pour les marchés boursiers indiens : Terminal d'analyse multi-agent et de trading
Un terminal de trading open source pour les marchés indiens a été connecté en tant que serveur de compétences OpenClaw, permettant à tout agent OpenClaw d'extraire les données du marché boursier indien et d'exécuter une analyse complète via HTTP sans installation locale. Le système utilise sept agents spécialisés travaillant en parallèle pour générer une analyse structurée avec des plans de trading.

Fewshell : Un copilote SSH auto-hébergé qui refuse d'exécuter des commandes sans approbation humaine
Fewshell est un copilote SSH mobile+desktop avec approbation humaine obligatoire pour chaque commande – aucun paramètre pour activer l'approbation automatique. Construit par un ancien SDE d'Amazon travaillant sur la recherche en sécurité de l'IA.

Apideck CLI : Une alternative à faible contexte au MCP pour les agents IA
Apideck CLI est une interface d'agent IA qui utilise environ 80 tokens pour son prompt d'agent au lieu de dizaines de milliers pour les schémas d'outils, résolvant ainsi le problème de consommation de fenêtre contextuelle de MCP. Les benchmarks montrent que MCP peut coûter 4 à 32 fois plus de tokens que CLI pour des opérations identiques.