Outils Open Source Claude pour la Chasse Automatisée aux Bounties de Bugs

Trois dépôts open source transforment Claude Code en un pipeline automatisé de chasse aux bug bounty. Les outils couvrent les tests de sécurité web2 et web3, fonctionnant entièrement au sein des conversations Claude Code.

Composants clés

La trilogie se compose de trois dépôts interconnectés :

• claude-bug-bounty : Vous le pointez vers une cible et Claude gère la reconnaissance, cartographie la surface d'attaque, exécute des scanners pour IDOR, SSRF, XSS, SQLi, OAuth, GraphQL, conditions de concurrence et injection LLM. Il vous guide à travers une liste de validation en 4 étapes, puis rédige un rapport prêt à soumettre pour HackerOne ou Bugcrowd.
• web3-bug-bounty-hunting-ai-skills : Se concentre sur la sécurité des smart contracts, couvrant 10 classes de bugs incluant la réentrance, les attaques par flash loan, la manipulation d'oracles et les problèmes de contrôle d'accès. Inclut des modèles de preuve de concept Foundry et des études de cas réelles d'Immunefi pour que Claude comprenne à quoi ressemblent les bugs rémunérés.
• public-skills-builder : Nourrissez-le avec 500 rapports divulgués de HackerOne ou des comptes rendus GitHub, et il génère des fichiers de compétences structurés, un par classe de vulnérabilité, prêts à charger dans Claude Code. Aucun rapport privé nécessaire.

Comment ils fonctionnent ensemble

Les trois dépôts fonctionnent comme un pipeline : public-skills-builder construit la base de connaissances, le dépôt web3 fournit le contexte des smart contracts, et claude-bug-bounty exécute les opérations de chasse réelles. Tous les outils sont gratuits et open source, disponibles sur GitHub.

Le créateur est ouvert aux contributions pour ajouter des scanners ou des modèles de prompts Claude. Les outils visent à automatiser les processus manuels de reconnaissance, de balayage et de rédaction de rapports que les chercheurs en sécurité effectuent généralement manuellement.