@runsec/mcp 1.0.35 → 1.0.37

package/dist/data/skills/domain-platform-hardening/patterns.md

@@ -0,0 +1,96 @@
+| ID | Название метрики | Anti-Pattern (Vulnerable Code/YAML) | Safe-Pattern (Remediation) | Stack | Источник  fix_template | Exploit scenario |
+|---|---|---|---|---|---|---|
+| MOB-001 | Flutter TLS bypass | `badCertificateCallback => true` | Удалить bypass, включить pinning/strict TLS validation. | Flutter | Mobile SAR | Удалить bypass, включить pinning/strict TLS validation. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| MOB-010 | Token leakage in debug mode | `print('token - $token')` | Никогда не печатать токены, даже в debug. | Flutter | Mobile SAR | Никогда не печатать токены, даже в debug. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| MOB-021 | Missing UI privacy protection | Нет `FLAG_SECURE` в Android activity | Включить `FLAG_SECURE` на чувствительных экранах. | Flutter | Mobile SAR | Включить `FLAG_SECURE` на чувствительных экранах. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| DSK-100 | Electron remote code injection path | `executeJavaScript(...userInput...)` | Запрет string-exec, передача данных через безопасный IPC. | Electron/Desktop | Desktop SAR | Запрет string-exec, передача данных через безопасный IPC. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| DSK-105 | Insecure IPC for sensitive actions | `ipcMain.on(...)` на критическом канале | Использовать `ipcMain.handle` + schema validation + authz. | Electron/Desktop | Desktop SAR | Использовать `ipcMain.handle` + schema validation + authz. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| DSK-110 | Old xlsx prototype pollution risk | `xlsx` ниже безопасной версии | Обновление зависимости + hardening bootstrap. | Electron/Desktop | Desktop SAR | Обновление зависимости + hardening bootstrap. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| NJS-017 | Dependency integrity gaps | git dep без lock/integrity | Lockfile + pinned versions + private registry policy. | Node.js/JavaScript | Supply Chain | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| NJS-018 | Header fingerprint leakage | `X-Powered-By` открыт | `helmet()` + disable x-powered-by. | Node.js/JavaScript | HTTP Hardening | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| NJS-033 | Weak TLS config | `rejectUnauthorized: false` | Строгая проверка сертификатов и trust policy. | Node.js/JavaScript | TLS Hardening | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-200 | Hardcoded employee identities in notification routes | В коде зашиты ФИО/логины сотрудников | Вынести персоналии в защищенный справочник и role mapping. | Kubernetes/Infra | Infra Risk Report | Вынести персоналии в защищенный справочник и role mapping. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-201 | Missing CPU limits in workloads | Pod/container без `resources.limits.cpu` | Обязательные CPU requests/limits по профилю сервиса. | Kubernetes/Infra | Infra Risk Report | Обязательные CPU requests/limits по профилю сервиса. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-202 | Missing memory limits in workloads | Pod/container без `resources.limits.memory` | Обязательные memory requests/limits и OOM policy. | Kubernetes/Infra | Infra Risk Report | Обязательные memory requests/limits и OOM policy. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-203 | Unbounded worker autoscaling | HPA без upper bound | Вводить maxReplicas + circuit breaker на upstream. | Kubernetes/Infra | Infra Risk Report | Вводить maxReplicas + circuit breaker на upstream. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-204 | No pod disruption budget | Отсутствует PDB для критических сервисов | Добавить PDB для сохранения SLO при обновлениях/сбоях. | Kubernetes/Infra | Infra Risk Report | Добавить PDB для сохранения SLO при обновлениях/сбоях. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-205 | Missing readiness probe | Нет readiness probe | Настроить readiness/liveness/startup probes. | Kubernetes/Infra | Infra Risk Report | Настроить readiness/liveness/startup probes. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-206 | Missing startup probe for heavy services | Сервис стартует долго без startup probe | Добавить startup probe с корректным timeout window. | Kubernetes/Infra | Infra Risk Report | Добавить startup probe с корректным timeout window. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-207 | No network egress policy | workload может ходить куда угодно | Egress allowlist через NetworkPolicy/egress proxy. | Kubernetes/Infra | Infra Risk Report | Egress allowlist через NetworkPolicy/egress proxy. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-208 | Unpinned base image digest | `image: app:latest` | Использовать digest pinning + controlled updates. | Kubernetes/Infra | Infra Risk Report | Использовать digest pinning + controlled updates. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-209 | Missing SBOM attestation in release flow | Нет SBOM к артефактам | Генерировать и хранить SBOM + provenance attestation. | Kubernetes/Infra | Infra Risk Report | Генерировать и хранить SBOM + provenance attestation. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-210 | Unencrypted internal traffic | mTLS не включен между сервисами | Включить service mesh mTLS/PKI policy. | Kubernetes/Infra | Infra Risk Report | Включить service mesh mTLS/PKI policy. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-211 | No centralized secret rotation | Секреты живут бессрочно | Политика ротации и автоматический rollover. | Kubernetes/Infra | Infra Risk Report | Политика ротации и автоматический rollover. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-212 | Privileged debug containers in production | Debug pod с расширенными правами | Запрет privileged debug в prod namespace. | Kubernetes/Infra | Infra Risk Report | Запрет privileged debug в prod namespace. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-213 | Missing immutable config boundary | Runtime правит config map в обход CI | Immutable config + signed deployment pipeline. | Kubernetes/Infra | Infra Risk Report | Immutable config + signed deployment pipeline. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-214 | No resource quota per namespace | Namespace без quota | Ввести ResourceQuota и LimitRange. | Kubernetes/Infra | Infra Risk Report | Ввести ResourceQuota и LimitRange. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-215 | Missing audit retention policy | Audit logs без retention SLA | Политика хранения/архивации security logs. | Kubernetes/Infra | Infra Risk Report | Политика хранения/архивации security logs. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-216 | No rollback safety gate | Deploy без canary/rollback trigger | Canary + auto rollback on SLO breach. | Kubernetes/Infra | Infra Risk Report | Canary + auto rollback on SLO breach. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-217 | Exposed admin endpoints internally without auth | `/admin` endpoint внутри сети без auth | mTLS + authn/authz даже во внутреннем контуре. | Kubernetes/Infra | Infra Risk Report | mTLS + authn/authz даже во внутреннем контуре. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-218 | Missing runtime seccomp/apparmor baseline | Workload без seccomp/AppArmor profile | Применить baseline профили на namespace/service. | Kubernetes/Infra | Infra Risk Report | Применить baseline профили на namespace/service. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-219 | No node taint/toleration isolation | Sensitive workload на общих нодах | Изоляция узлов через taints/tolerations/nodeSelector. | Kubernetes/Infra | Infra Risk Report | Изоляция узлов через taints/tolerations/nodeSelector. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| INF-220 | Incident notification without rate control | Alert storm без throttling | Ввести dedup/throttle и escalation policy. | Kubernetes/Infra | Infra Risk Report | Ввести dedup/throttle и escalation policy. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PY-024 | Insecure httpx TLS config | `httpx.Client(verify=False)` | Запрещать `verify=False`, использовать trust store/pinning. | Python | TLS hardening | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PY-027 | Unbounded pagination/query limits | `limit = int(request.args["limit"])` no cap | Вводить max limits и server-side caps для pagination. | Python | Resource abuse prevention | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| NJS-021 | Missing request payload size limits (DoS risk) | `app.use(express.json())` (без `limit`) | Ограничить размер body (`express.json({ limit: "1mb" })`), задавать per-route лимиты для upload endpoints. | Node.js/JavaScript | OWASP API4 Resource Consumption | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| NJS-030 | JSON Depth/Size Limits missing in body parsing | `app.use(bodyParser.json())` без `limit` и depth checks | Ограничить размер payload (`limit`) и глубину вложенности через schema validator/middleware, отклонять аномально глубокие JSON. | Node.js/JavaScript | API Resource Consumption Defense | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| FTS-009 | Dependency Integrity Missing for third-party scripts | `<script src="https://cdn.example.com/lib.js"></script>` | Использовать SRI (`integrity` + `crossorigin`) и pinning версий для внешних скриптов/виджетов. | Node.js/JavaScript | Subresource Integrity (SRI) | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-400-PY | ReDoS in Python regex on unbounded user input | `re.search(r"(a+)+$", user_input)`<br>`re.match(pattern, user_input)` | Ограничивать длину входных строк, избегать regex с catastrophic backtracking, использовать безопасные шаблоны/таймауты обработки. | Python | CWE Compliance | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-670-PY | Race Condition in temporary file creation (predictable path) | `temp_path = "/tmp/report.txt"`<br>`open(temp_path, "w")` | Использовать `tempfile.NamedTemporaryFile(delete=False)`/`mkstemp`, создавать файлы атомарно и проверять гонки/симлинки. | Python | CWE Compliance | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-400-JS | ReDoS in JavaScript regex against user input | `const re = /(a+)+$/;`<br>`re.test(userInput)` | Исключать шаблоны с catastrophic backtracking, ограничивать размер input и валидировать regex-паттерны до использования. | Node.js/JavaScript | CWE Compliance | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-670-JS | Race Condition in file writes with predictable names | `const p = "/tmp/" + Date.now() + ".txt";`<br>`fs.writeFileSync(p, data)` | Использовать `fs.promises.mkdtemp()` + безопасное создание файлов, проверку симлинков и атомарные операции записи. | Node.js/JavaScript | CWE Compliance | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-755-JS | Unhandled rejection / await without try-catch in IPC handlers | `ipcMain.handle("x", async () => { await doCritical(); return ok; })`<br>`doWork().then(saveResult)` | Для IPC и критичных Promise-цепочек добавлять `try/catch` и `.catch(...)`, гарантировать fail-closed и контролируемое завершение. | Node.js/JavaScript | CWE Compliance | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-PY | TLS certificate validation disabled in Python SSLContext | `ctx = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)`<br>`ctx.check_hostname = False`<br>`ctx.verify_mode = ssl.CERT_NONE` | Включать строгую проверку сертификатов (`check_hostname=True`, `verify_mode=ssl.CERT_REQUIRED`), использовать доверенный CA store/pinning. | Python | CWE Compliance - Transport Layer | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-297-PY | Deprecated/weak TLS protocol versions in Python | `ssl.SSLContext(ssl.PROTOCOL_TLSv1)`<br>`ssl.SSLContext(ssl.PROTOCOL_SSLv3)` | Использовать только современные версии TLS (1.2/1.3), отключить устаревшие протоколы через безопасные настройки контекста. | Python | CWE Compliance - Transport Layer | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-JS-ENV | Global TLS verification bypass via environment in Node.js | `process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0"` | Запретить отключение TLS-валидации через env, обеспечить проверку цепочки сертификатов и корректный trust store. | Node.js/JavaScript | CWE Compliance - Transport Layer | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-JS-REQ | TLS validation disabled in https.request options | `https.request({ host, rejectUnauthorized: false })` | Всегда оставлять `rejectUnauthorized: true`, использовать корректные CA/cert pinning и fail-closed transport policy. | Node.js/JavaScript | CWE Compliance - Transport Layer | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-451-PY | Clickjacking protection middleware missing in Django | Отсутствует `django.middleware.clickjacking.XFrameOptionsMiddleware` в `MIDDLEWARE` | Добавить `XFrameOptionsMiddleware` и политику `X-Frame-Options`/`frame-ancestors` для защиты UI от clickjacking. | Python | CWE Compliance Final | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-1321-JS-JSON | Prototype pollution risk after JSON.parse(untrusted) | `const obj = JSON.parse(untrusted)` без schema validation | После `JSON.parse` выполнять strict schema validation (Joi/Zod) и блокировать ключи `__proto__`, `constructor`, `prototype`. | Node.js/JavaScript | CWE Compliance Final | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-362-PY | Race Condition in async Python state updates | `balance = get_balance(); await external(); set_balance(balance-amount)` | Использовать транзакции/locking (DB row locks, atomic updates) для исключения race condition в async путях. | Python | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-362-JS | Race Condition in async Node.js critical sections | `const x = cache.get(k); await op(); cache.set(k, x-1)` | Применять mutex/atomic operations/transactional storage в конкурентных async участках. | Node.js/JavaScript | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-451-JS | Missing CSP/Clickjacking headers in JS web stack | Нет `Content-Security-Policy` и `X-Frame-Options` в ответах | Включить CSP (`frame-ancestors`, script policy) и `X-Frame-Options: DENY/SAMEORIGIN` на gateway/backend. | Node.js/JavaScript | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-400-PY-RESOURCE | Unreleased file/socket handles in Python loops/generators | `for item in items: f = open(path)`<br>`for row in stream(): sock = socket.socket()` | Использовать контекстные менеджеры `with open(...) as f:` и `with socket.create_connection(...) as s:` для гарантированного освобождения ресурсов. | Python | CWE Compliance Final | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-772-JS-BUFFER | Use of `Buffer.allocUnsafe()` without immediate full overwrite | `const buf = Buffer.allocUnsafe(1024)` | Использовать `Buffer.alloc()` или немедленно полностью заполнять буфер (`buf.fill(0)`/безопасная запись) до любого чтения/логирования. | Node.js/JavaScript | CWE Compliance Final | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-174-PY-CANONICAL | Missing final canonicalization/boundary check after Python input transformations | `p = p.replace("../","")`<br>`p = normalize(p)`<br>`open(base + "/" + p)` | После всех трансформаций всегда делать финальную проверку `abspath/realpath` и гарантировать, что путь/значение остается в разрешенной зоне. | Python | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-174-JS-CANONICAL | Missing final canonicalization check after JS/Node normalization pipeline | `value = value.replace("../","")`<br>`value = value.replace("//","/")`<br>`fs.readFile(base + "/" + value)` | После полной очистки обязательно делать `path.resolve`/URL canonicalization и проверять итог против allowlist/разрешенного base scope. | Node.js/JavaScript | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-116-PY-PARTIAL-ESCAPE | Improper output encoding in Python: escaping only `<`/`>` but not attribute vectors | `safe = html.replace("<","&lt;").replace(">","&gt;")` | Применять контекстно-зависимое экранирование (HTML body/attr/JS/URL), использовать проверенные энкодеры/templating autoescape вместо partial replace. | Python | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-116-JS-PARTIAL-ESCAPE | Improper output encoding in JS: partial replace allows `onerror`/`onload` attribute injection | `safe = input.replace(/</g,"&lt;").replace(/>/g,"&gt;")` | Использовать контекстно-корректное экранирование и sanitizer (например, DOMPurify), отдельно валидировать/блокировать event-handler атрибуты. | Node.js/JavaScript | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-94-UNIVERSAL-NO-SANDBOX-TEMPLATE | Dynamic template rendering without sandbox/isolation controls | `templateEngine.render(userTemplate, data)` без sandbox policy | Для динамического рендеринга избегать исполнения шаблонного кода: использовать статические шаблоны из доверенного каталога и передавать только данные через контекст. | Universal | CWE Final Certification | Для динамического рендеринга избегать исполнения шаблонного кода: использовать статические шаблоны из доверенного каталога и передавать только данные через контекст. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-20-UNIVERSAL-TYPE-CONFUSION | Missing input type validation/casting for query-critical fields (type confusion) | `find(req.body)`<br>`where: req.query` (объекты принимаются как есть) | Для query-параметров всегда выполнять явное приведение к ожидаемому примитиву (`string/number/boolean`) и отклонять объекты/операторы. | Universal | CWE Final Certification | Для query-параметров всегда выполнять явное приведение к ожидаемому примитиву (`string/number/boolean`) и отклонять объекты/операторы. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-98-UNIVERSAL-FILE-INFRA-CONTROL | External control of executable/loadable file selection without mapping | `module = req.query.name; load(module)`<br>`template = request.GET["tpl"]; render(template)` | Не давать внешнему параметру напрямую выбирать файл/модуль; применять фиксированный маппинг `ID -> Filename` и deny-by-default для неизвестных значений. | Universal | CWE Final Certification | Не давать внешнему параметру напрямую выбирать файл/модуль; применять фиксированный маппинг `ID -> Filename` и deny-by-default для неизвестных значений. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-942-PLAYWRIGHT-WEBSEC | Browser security bypass via Playwright insecure launch flags | `chromium.launch(args=["--disable-web-security"])` | Не использовать `--disable-web-security` в тестах/рантайме с реальными данными, включать изоляцию контекста и строгую политику origin/headers. | Python/Node.js Playwright | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-PLAYWRIGHT-HTTPS | TLS trust bypass in browser automation via `ignoreHTTPSErrors: true` | `browser.new_context(ignoreHTTPSErrors=True)`<br>`newContext({ ignoreHTTPSErrors: true })` | Сохранять валидацию TLS включенной, использовать доверенные сертификаты/test CA вместо отключения HTTPS checks. | Python/Node.js Playwright | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-S3-MINIO-VERIFY | Insecure TLS disable in MinIO/S3 clients (`verify=False`) | `boto3.client("s3", verify=False)` | Не отключать TLS-проверку для S3/MinIO; настраивать корректный CA bundle и endpoint policy с `verify=True`. | Python boto3/MinIO/S3 | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-942-S3-PUBLIC-ACL | Public object ACL exposure in S3/MinIO operations | `put_object(..., ACL="public-read")` | Запретить публичные ACL (`public-read/public-read-write`), использовать приватные bucket policies и signed URLs для controlled access. | Python/Node.js S3/MinIO | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-400-GIGAAM-UPLOAD-LIMITS | Missing content-length/file size limits for GigaAM audio upload endpoints | `audio = request.files["audio"]` без проверки размера | Вводить строгие лимиты `Content-Length`/размера аудио и early reject oversized uploads до обработки/транскрибации. | Python/GigaAM | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-400-GIGAAM-HTTPX-TIMEOUT | Missing `httpx` timeouts for transcription API calls (resource exhaustion risk) | `httpx.post(transcribe_url, files=...)` без `timeout` | Для всех вызовов к GigaAM/OpenRouter API задавать timeout/retry budget/circuit breaker и ограничивать parallelism. | Python/GigaAM/httpx | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-94-ELECTRON-WEBPREFS | Insecure Electron BrowserWindow webPreferences (`nodeIntegration: true` / `contextIsolation: false`) | `new BrowserWindow({ webPreferences: { nodeIntegration: true, contextIsolation: false }})` | Для Electron окон отключать `nodeIntegration`, включать `contextIsolation`, использовать preload bridge с минимальным API и CSP. | Node.js/Electron | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-250-ELECTRON-REMOTE | Unsafe usage of deprecated Electron `remote` module | `const { remote } = require("electron")` | Исключить `remote` модуль, заменить на безопасный IPC (`ipcMain.handle`/`ipcRenderer.invoke`) с валидацией payload и ACL. | Node.js/Electron | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-94-NODE-EXEC-CONCAT | Command injection risk in `child_process.exec/spawn` with user-influenced command concatenation | `exec("cmd " + userInput)`<br>`spawn("sh", ["-c", base + user])` | Не конкатенировать команды с внешним вводом; использовать `execFile/spawn` со строгим allowlist аргументов и без shell-интерпретации. | Node.js/System | CWE Final Certification | Validate data with Zod and sanitize DOM/HTML sinks with DOMPurify before rendering. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-BOTO3-VERIFY-FALSE | Insecure TLS verification disabled in boto3 sessions/clients | `boto3.client("s3", verify=False)`<br>`session.client("s3", verify=False)` | Всегда использовать TLS verification (`verify=True`) и корректный CA bundle для S3/STS/других AWS/MinIO клиентов. | Python/boto3 | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-284-BOTO3-PUBLIC-ACL | Overly permissive S3 bucket ACL (`public-read/public-read-write`) via boto3 | `create_bucket(..., ACL="public-read")`<br>`put_bucket_acl(ACL="public-read-write")` | Запретить публичные ACL, использовать private ACL по умолчанию и контролируемые bucket policy/IAM grants. | Python/boto3/S3 | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-295-BOTO3-PRESIGNED-TTL | Excessive presigned URL lifetime (`ExpiresIn > 3600`) | `generate_presigned_url(..., ExpiresIn=86400)` | Ограничивать TTL presigned URL (<=3600с), применять минимально необходимое время и контекстные ограничения доступа. | Python/boto3/S3 | CWE Final Certification | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-114-CSH-PROCESS-START-RELATIVE | Unsafe process execution via relative binary path (`Process.Start("app.exe")`) | `Process.Start("app.exe")` | Использовать абсолютные пути через `Path.Combine(AppDomain.CurrentDomain.BaseDirectory, "...")`, проверять existence/signature перед запуском. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-497-CSH-SENSITIVE-LOG | Sensitive environment/exception disclosure in logs (`Environment.GetEnvironmentVariables`, full `Exception`) | `logger.Info(Environment.GetEnvironmentVariables())`<br>`logger.Error(ex.ToString())` в публичные логи | Маскировать/фильтровать чувствительные данные, не логировать полный env/stack в public logs, применять structured redaction policy. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-606-CSH-UNTRUSTED-LOOP-BOUND | Untrusted input controls loop termination in unsafe/memory-copy contexts | `for (int i=0; i<userCount; i++)` в `unsafe` блоке<br>`while (n-- > 0) Marshal.Copy(...)` | Валидировать upper bounds для циклов от внешнего ввода, применять жесткие лимиты и fail-closed перед unsafe/Marshal operations. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-114-CSH-DLL-SEARCH-ORDER | Missing DLL search order hardening in VSTO startup (`SetDllDirectory("")`/`SetDefaultDllDirectories`) | `ThisAddIn_Startup` без вызова hardening API | В `ThisAddIn_Startup` явно вызывать `SetDefaultDllDirectories`/`SetDllDirectory("")`, фиксировать trusted DLL paths и исключать side-loading. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-362-CSH-STATIC-ASYNC-RACE | Race condition: writes to `static` fields inside async methods/event handlers without synchronization | `static int counter;`<br>`counter++` в `async` методе/обработчике | Для статического состояния использовать `lock`/`Interlocked`/thread-safe контейнеры и избегать shared mutable state в async pipelines. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-583-CSH-METADATA-ACL-TRUST | Access control decisions based on mutable document metadata (`BuiltInDocumentProperties`) | `if (doc.BuiltInDocumentProperties["Category"] == "Admin") ...` | Не доверять ACL-решения metadata полям документа; использовать серверные policy/claims и проверяемые источники авторизации. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-912-CSH-ANTI-DEBUG-AUTH | Anti-debug logic (`Debugger.IsAttached`/`Debug.Assert`) inside auth-critical flow | `if (Debugger.IsAttached) bypassAuth = true` | Запретить изменение auth-логики на основе debug-состояния; проверки целостности отделять от authorization decision path. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| CWE-749-CSH-SINGLETON-PUBLIC-HOOKS | Public `event`/`Action` in singleton security classes allowing external state mutation | `public event Action OnBypass;` в singleton | Для security-синглтонов не экспонировать public hooks, ограничивать mutability private/internal API и валидировать подписчиков/инвокации. | C#/.NET Desktop | CWE Final Certification | Use using/try-finally and safe .NET APIs; enforce strict allowlists for untrusted input. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-001 | Создание temp-файла в общем каталоге с предсказуемым именем (CWE-379) | `open("/tmp/report-" + user_id + ".txt", "w")` | `tempfile.NamedTemporaryFile(dir=secure_dir, delete=False)` + `os.chmod` restrictive. | Python | `CWE-379` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-002 | Утечка памяти: повторный `malloc` без `free` в C-extension glue (CWE-401) | `ptr = libc.malloc(n); ptr = libc.malloc(n);` | Один `malloc` на handle; `free` в `finally`/destructor. | Python/C | `CWE-401` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-003 | Двойное освобождение одного указателя (CWE-415) | `free(p); free(p);` | Null-after-free; unique ownership; Rust/`cffi` safe wrappers. | C/Interop | `CWE-415` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-004 | Use-after-free в callback после async (CWE-416) | `cb = lambda: use(ptr); schedule(cb); free(ptr)` | Удлинить lifetime или использовать refcounted handles. | Async/C | `CWE-416` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-005 | Плагин получает доступ к объекту вне его security-контекста (CWE-668) | `SecurityContext.Admin = plugin.GetSingleton()` | Изолировать capability objects; least privilege; no global singleton handoff. | Plugin runtime | `CWE-668` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-006 | Неправильная инициализация ресурса до проверки прав (CWE-403) | `fd = os.open(path, os.O_RDWR); assert os.access(path, os.W_OK)` | Проверять права до open или использовать atomic create с O_EXCL. | Python | `CWE-403` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-007 | Асимметричное потребление ресурсов при парсинге входа (CWE-405) | `while True: chunk += sock.recv(1024*1024)` без лимита размера | Жёсткий max body + streaming parser; fail closed на превышении. | Python | `CWE-405` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-008 | Неверное преобразование типа в security check (CWE-704) | `if int(user_role) == 1:` где `user_role="1abc"` | Строгая валидация enum/int; отклонять нечисловые строки. | Python | `CWE-704` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-009 | Чтение за пределами выделенного буфера в shim (CWE-125) | `struct.unpack_from(fmt, blob, user_offset)` без проверки границ | Проверять `user_offset + size <= len(blob)` до unpack. | Python/Cython | `CWE-125` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-010 | Отсутствие обработки ошибки при security decision (CWE-390) | `if verify_sig(blob) == False: pass` | Fail-closed; audit failed verification. | Universal | `CWE-390` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-011 | Раскрытие чувствительного различия ошибок (CWE-203) | `if user: ... else: raise "unknown user"` timing | Constant-time compare; generic errors. | API | `CWE-203` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-012 | Целочисленное переполнение при выделении структуры (CWE-189) | `items = [None] * (count * row_size)` без проверки произведения | `checked` multiply; cap `count`/`row_size`; reject overflow. | Python | `CWE-189` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-013 | Некавыченный путь поиска при `subprocess` (CWE-428) | `subprocess.call("tools\\migrate " + arg, shell=True)` | `shell=False`; argv list; абсолютный путь к бинарнику. | Python | `CWE-428` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-014 | Нулевой pointer dereference после guard (CWE-476) | `if p: use(p); use(p)` где `p` обнулён между вызовами | Single local copy; synchronized access. | C/Interop | `CWE-476` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-015 | Неправильное сравнение указателей вместо содержимого (CWE-581) | `if secret == token:` для byte buffers | `hmac.compare_digest(secret, token)`. | Python | `CWE-581` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |
+| PLT-016 | Некорректные права по умолчанию на конфиг с секретами (CWE-276) | `open("app.conf","w").write(secrets)` без `chmod` | `os.open` с `0o600`; umask; ACL. | Python | `CWE-276` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. | Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия. |

package/dist/data/skills/domain-platform-hardening/skill.json

@@ -0,0 +1,27 @@
+{
+  "skill_id": "domain-platform-hardening",
+  "name": "Domain Platform Hardening",
+  "activation_triggers": [
+    "platform-hardening-infra",
+    "flutter-ssl-bypass",
+    "electron-ipc-hardening",
+    "resource-limits-policy"
+  ],
+  "relevant_extensions": [
+    ".yaml",
+    ".yml",
+    ".json",
+    ".dart",
+    ".kt",
+    ".js",
+    ".ts"
+  ],
+  "tools": [
+    "semgrep",
+    "syft",
+    "trufflehog"
+  ],
+  "rules_path": "core/skills/domain-platform-hardening/patterns.md",
+  "few_shot_examples": "core/gold-standard-testbed/gap_fill_vulnerable.py",
+  "security_priority": 9
+}

package/dist/data/skills/ds-ml-security/patterns.md

@@ -0,0 +1,137 @@
+| ID | Название метрики | Anti-Pattern (Vulnerable Code/YAML) | Safe-Pattern (Remediation) | Stack | Источник  fix_template | Exploit scenario |
+|---|---|---|---|---|---|---|
+| ML-001 | Unsafe pickle load from untrusted source | `pickle.load(f)` on external file | use JSON/safetensors or signed trusted artifact pipeline | DS/ML Security | CWE-502 | Prevent code execution via malicious pickle payloads. |
+| ML-002 | `pickle.loads` on API input | decode bytes and `pickle.loads` directly | strict schema formats only; reject pickle in external APIs | DS/ML Security | CWE-502 | Block arbitrary object deserialization. |
+| ML-003 | `joblib.load` on untrusted model file | load model from URL path unchecked | verify signature/hash and trusted storage origin | DS/ML Security | CWE-502 | Avoid poisoned model deserialization. |
+| ML-004 | `torch.load` remote URL without integrity checks | `torch.load(download(url))` | fetch from trusted registry + checksum/signature validation | DS/ML Security | CWE-494 | Ensure model provenance before load. |
+| ML-005 | `tf.keras.models.load_model` from untrusted path | accepts user-controlled model URI | allowlisted artifact source + integrity verify | DS/ML Security | CWE-494 | Prevent model poisoning/supply-chain injection. |
+| ML-006 | Dynamic import from model metadata | `importlib.import_module(meta["module"])` | allowlisted module registry only | DS/ML Security | CWE-470 | Block arbitrary code import through model metadata. |
+| ML-007 | Notebook stores API keys in cells | key literals in `.ipynb` source/output | use env secret manager and redacted outputs | DS/ML Security | CWE-798 | Prevent credential leakage in notebooks. |
+| ML-008 | Notebook output includes PII sample rows | displayed full customer records | mask/anonymize output before commit/share | DS/ML Security | CWE-359 | Reduce accidental data exposure in notebooks. |
+| ML-009 | Notebook executes shell with user input | `!pip install {pkg}`/`os.system(user)` | enforce allowlisted commands and isolated env | DS/ML Security | CWE-78 | Prevent command injection in notebook workflows. |
+| ML-010 | Unsafe `eval/exec` in data preprocessing scripts | executes user expression on dataset | use safe expression parser and allowlisted ops | DS/ML Security | CWE-94 | Block arbitrary code execution in pipelines. |
+| ML-011 | Training data loaded over HTTP | `pd.read_csv("http://...")` | enforce HTTPS + signature/checksum verification | DS/ML Security | CWE-319 | Prevent tampering during dataset retrieval. |
+| ML-012 | No dataset schema validation before training | raw dataframe consumed directly | validate schema/types/ranges before fit | DS/ML Security | CWE-20 | Reduce poisoning through malformed features. |
+| ML-013 | Model artifacts written world-readable | permissive file permissions | use restricted permissions and encrypted storage | DS/ML Security | CWE-732 | Protect model and feature confidentiality. |
+| ML-014 | Secrets printed in training logs | logs include tokens/conn strings | redact secret patterns in logger middleware | DS/ML Security | CWE-532 | Avoid secret leak through logs. |
+| ML-015 | Unbounded notebook permissions in shared environment | full fs/network access by default | least-privilege kernels and network egress policy | DS/ML Security | CWE-250 | Constrain blast radius of notebook compromise. |
+| ML-016 | Loading arbitrary custom objects in Keras without allowlist | permissive `custom_objects` map | explicit allowlist and signed code packages | DS/ML Security | CWE-502 | Prevent malicious object injection in model load. |
+| ML-017 | Missing model card/provenance metadata validation | accepts artifacts without lineage | enforce provenance metadata checks in CI | DS/ML Security | CWE-345 | Trust only traceable model lineage. |
+| ML-018 | Insecure temporary files for datasets | `/tmp` plaintext sensitive batches | encrypted temp dirs + secure cleanup | DS/ML Security | CWE-312 | Avoid local leakage of sensitive datasets. |
+| ML-019 | Data loader follows arbitrary redirects | requests follows untrusted redirects | disable redirects or validate target host allowlist | DS/ML Security | CWE-918 | Prevent SSRF-like data poisoning fetches. |
+| ML-020 | Model serving endpoint exposes internals/debug | returns stack/model internals on errors | generic error envelope + server-side diagnostics | DS/ML Security | CWE-209 | Reduce intelligence for attackers. |
+| ML-021 | Insecure serialization format for feature store cache | pickle blobs in shared cache | use typed safe formats (parquet/json/protobuf) | DS/ML Security | CWE-502 | Prevent unsafe deserialization in feature store. |
+| ML-022 | No checksum on downloaded tokenizer/vocab files | uses remote vocab blindly | verify hash/signature for tokenizer assets | DS/ML Security | CWE-353 | Ensure tokenizer integrity. |
+| ML-023 | Notebook includes permissive cloud credentials | broad IAM keys embedded in cells | scoped short-lived credentials via workload identity | DS/ML Security | CWE-732 | Limit credential abuse in DS workflows. |
+| ML-024 | Pipeline trusts user-provided feature transformations | dynamic function names from request | allowlist approved transformations only | DS/ML Security | CWE-915 | Prevent logic poisoning via transform injection. |
+| ML-025 | Training script uses random seed from user input in security-sensitive setting | uncontrolled seed for critical model | controlled seed policy with audit trace | DS/ML Security | CWE-330 | Avoid predictable outputs where sensitive. |
+| ML-026 | Notebook cells execute with elevated filesystem mounts | host mounts writable | mount read-only datasets and isolate write dirs | DS/ML Security | CWE-250 | Restrict host filesystem impact. |
+| ML-027 | Model registry accepts unsigned uploads | no signing requirement for model publish | require artifact signing and verification | DS/ML Security | CWE-347 | Improve model supply-chain integrity. |
+| ML-028 | Data preprocessing uses regex vulnerable to ReDoS | user regex on large corpus | safe regex engine and limits | DS/ML Security | CWE-1333 | Prevent compute exhaustion in ingestion. |
+| ML-029 | Feature endpoint caches raw secrets/PII | cache stores full source payload | cache only derived non-sensitive features | DS/ML Security | CWE-1275 | Minimize sensitive data retention. |
+| ML-030 | Untrusted notebook extensions enabled | arbitrary extension code load | signed extension allowlist policy | DS/ML Security | CWE-494 | Prevent malicious extension execution. |
+| ML-031 | Model explainability endpoint reveals training data fragments | raw rows in explanations | aggregate/perturb outputs to avoid memorization leaks | DS/ML Security | CWE-359 | Limit data leakage in explainability. |
+| ML-032 | Artifact path traversal in model loader | `open(base + user_path)` | normalize and constrain artifact paths | DS/ML Security | CWE-22 | Prevent arbitrary file read/load. |
+| ML-033 | CI for notebooks runs with untrusted PR secrets | secrets available to forks | disable secrets on untrusted notebook jobs | DS/ML Security | CWE-200 | Prevent credential theft from CI runs. |
+| ML-034 | No rollback guard on poisoned model deployment | deploys newest model automatically | canary + quality/security gates + rollback hooks | DS/ML Security | CWE-693 | Reduce impact of poisoned model rollout. |
+| ML-035 | Sensitive arrays not cleared after cryptographic operations | key arrays persist in memory | zero mutable buffers after use | DS/ML Security | CWE-1037 | Minimize secret residence in RAM. |
+| AGT-001 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-002 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-003 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-004 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-005 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-006 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-007 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-008 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-009 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-010 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-011 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-012 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-013 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-014 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-015 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-016 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-017 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-018 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-019 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-020 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-021 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-022 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-023 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-024 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-025 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-026 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-027 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-028 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-029 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-030 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-031 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-032 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-033 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-034 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-035 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-036 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-037 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-038 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-039 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-040 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-041 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-042 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-043 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-044 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-045 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-046 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-047 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-048 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-049 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-050 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-051 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-052 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-053 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-054 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-055 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-056 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-057 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-058 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-059 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-060 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-061 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-062 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-063 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-064 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-065 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-066 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-067 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-068 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-069 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-070 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-071 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-072 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-073 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-074 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-075 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-076 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-077 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-078 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-079 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-080 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-081 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-082 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-083 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-084 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-085 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-086 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-087 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-088 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-089 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-090 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-091 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-092 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-093 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-094 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-095 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-096 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |
+| AGT-097 | Indirect prompt injection via retrieved external content (Logic: strong) | `prompt = user_prompt + '\n' + fetched_page_text` | `prompt = secure_template(user_prompt, sanitize_external(fetched_page_text))` | AI-Agentic Safety | CWE-1336 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Injected instructions in external content hijack agent behavior. |
+| AGT-098 | Agent executes LLM-produced shell command without policy gate | `subprocess.run(llm_output, shell=True)` | `cmd = policy_allowlist(llm_output); subprocess.run(cmd, shell=False)` | AI-Agentic Safety | CWE-78 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Model output can include attacker-influenced command payloads. |
+| AGT-099 | Tool call from model output not constrained by capability policy | `tool.invoke(parsed.tool_name, parsed.args)` | `tool.invoke(assert_allowed_tool(parsed.tool_name), validated_args)` | AI-Agentic Safety | CWE-863 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Unconstrained tool access enables privilege escalation in agent loop. |
+| AGT-100 | Autonomous code execution from untrusted model artifact | `exec(generated_python)` | `run_in_sandbox(scan_and_sign(generated_python))` | AI-Agentic Safety | CWE-94 | Autofix: sanitize retrieved context, apply tool/command allowlists, and enforce sandbox execution. | Executing generated code without sandboxing risks full compromise. |

package/dist/data/skills/fastapi-async/index.md

@@ -0,0 +1,83 @@
+# FastAPI / Async SQLAlchemy
+
+## Stack overview
+
+Async **FastAPI** APIs with **Encode Databases** / SQLAlchemy patterns, **SlowAPI**, **Pydantic**, and Python security baselines. Metrics are prefixed **`FAS`**.
+
+## Top threats
+
+- Injection and unsafe query construction (`FAS-004`, `FAS-005`, `FAS-021`, `FAS-024`–`FAS-027`).
+- Broken async/resource hygiene (`FAS-006`–`FAS-009`, `FAS-020`).
+- Information disclosure and misconfiguration (`FAS-010`–`FAS-013`, `FAS-019`).
+- AuthZ and object-level flaws (`FAS-016`, `FAS-017`, `FAS-018`).
+
+## Pattern catalog
+
+Complete Anti-Pattern / Safe-Pattern definitions live in [`patterns.md`](patterns.md). The table below is a **table of contents** by metric ID.
+
+| ID | Metric | Stack |
+|---|---|---|
+| `FAS-001` | SlowAPI: неверный порядок декораторов `limit` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-002` | SlowAPI: endpoint без `request: Request` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-003` | SlowAPI: нет `response` при необходимости модификации заголовков | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-004` | SQLi: интерполяция значений в SQL (без `:param`) | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-005` | SQLi: конкатенация строк в SQL (без `:param`) | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-006` | Transaction Leak: несколько `execute()` без `async with database.transaction()` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-007` | Missing `await` на async DB call | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-008` | Global Client Reuse: создание `AsyncClient`/DB-коннекта внутри хендлера | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-009` | Missing Timeouts: асинхронные сетевые вызовы без `timeout` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-010` | PII Leakage in Logs: логирование `Request`/секретных полей без маскирования | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-011` | Exposed Docs in Prod: Swagger/ReDoc включены в production | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-012` | Insecure CORS Policy: `allow_origins=["*"]` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-013` | Pydantic Arbitrary Types: `arbitrary_types_allowed=True` в модели | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-014` | Background Task Exception Handling: задача без `try/except` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-015` | Large Payload DoS: upload endpoint без лимита размера тела | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-016` | Host/Header Injection: отсутствие валидации `Host` и `X-` заголовков | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-017` | Mass Assignment Protection: прямой маппинг DTO в DB-модель | `OWASP API Security Top 10 (API3: Broken Object Property Level Authorization); FastAPI Production Readiness (strict input models)` |
+| `FAS-018` | Insecure File Uploads: нет защиты от path traversal и magic-bytes проверки | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-019` | Verbose Error Messages: возврат raw Exception в HTTP-ответ | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-020` | Async Context Leakage: dependency без `yield/finally` не закрывает ресурсы | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-021` | OS Command Injection: shell-команда строится из пользовательского ввода | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-022` | Unsafe Deserialization: `pickle.loads`/`yaml.load` на недоверенных данных | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-023` | CSRF on Cookie Session: state-changing endpoint без CSRF-токена | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-024` | SSTI: пользовательский шаблон рендерится на сервере | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-025` | Code Injection: выполнение пользовательского кода через `eval/exec` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-026` | Command Injection: небезопасный shell-вызов через `os.system`/`subprocess(..., shell=Tr... | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-027` | Unsafe Imports: динамический `__import__` из пользовательского ввода | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-028` | Excessive Data Exposure: `response_model` equals DB model without excluding sensitive f... | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-029` | Verbose error disclosure in custom `exception_handler` via `str(exc)` / `repr(exc)` | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-030` | Unsafe `FileResponse` path from user input discloses internal filesystem paths | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-031` | CSV Injection in export endpoints: user cells written without formula neutralization (C... | Атакующий присылает файл/строку с ячейкой вроде =SUM(1+1) cmd\ |
+| `FAS-032` | Production logs expose full debug exception payloads (CWE-1295) | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-033` | CSV export builds rows from raw query params without sanitization (CWE-1236) | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-034` | FastAPI middleware prints request/response debug internals in production (CWE-1295) | Use strict Pydantic BaseModel schemas for input/output, including response_model and field allowlists. |
+| `FAS-035` | Paladin: утечка `UserAuthData` (password_hash, internal_id) в JSON ответе (CWE-201) | Use Pydantic response models with explicit field exclusions; map domain entities to public DTOs only. |
+
+## Verification
+
+**Verification:** Check the gold testbed file(s) below for `Vulnerable: <ID>` markers (static Semgrep + `detection-matrix.md` ground truth).
+
+- [`gold-standard-testbed/api_vulnerable.py`](../gold-standard-testbed/api_vulnerable.py)
+
+**Optional HTTP integration tests** (pytest + httpx; require a running API, `HEXVIBE_TARGET_URL`): [`gold-standard-testbed/integration/verify_fastapi_async_poc.py`](../gold-standard-testbed/integration/verify_fastapi_async_poc.py). See [`gold-standard-testbed/integration/README.md`](../gold-standard-testbed/integration/README.md).
+
+After changing [`patterns.md`](patterns.md), run from the repo root:
+
+```bash
+python scripts/sync_semgrep.py
+```
+
+## Workflow: Recon → Scan → Verify
+
+### 1) Recon
+- Map entrypoints, data flows, and trust boundaries for this stack.
+- Identify which metrics in [`patterns.md`](patterns.md) apply to the code under review.
+
+### 2) Scan
+- Run Semgrep with `semgrep-rules/<skill>.yaml` (generated) and correlate with Anti-Patterns.
+- Eliminate findings that cannot bind to a metric row.
+
+### 3) Verify
+- Confirm markers or scanner hits for touched IDs in the gold testbed when adding metrics.
+- Emit findings as `Vulnerable: <PREFIX>-<NNN>` in written reviews.
+