review-a11y
アクセシビリティ監査。アクセシビリティ監査ツールを実行して、WCAG適合性のギャップを特定し、ユーザーへの影響度に基づいて優先順位を付け、改善方法を提案します。アドバイザリーのみで、実際の変更は行いません。
description の原文を見る
Accessibility audit. Dispatches an accessibility auditor to identify WCAG conformance gaps, prioritize by user impact, and recommend fixes. Advisory only — no changes made.
SKILL.md 本文
アクセシビリティレビュー - WCAG適合監査
アドバイザリーのみのアクセシビリティ監査です。QA - Web A11y Reviewerエージェントを派遣して、Webコンテンツを WCAG 2.2 レベル AA に照らして評価し、問題を実際のユーザーへの影響で優先順位付けし、修正を推奨します。変更は行いません。
理念
適合性よりも影響を優先。 スクリーンリーダーユーザーを阻むフォームラベルの欠落は、誰にも害を与えない冗長な ARIA ロールよりも重要です。この監査は、障害のある人々のアクセスを妨げたり低下させるバリアを優先します。
診断的であり、治療的ではない。 このスキルはアクセシビリティバリアを識別し、修正を推奨します。実装は行いません。調査結果を確認した後、直接変更をリクエストするか、監査をコンテキストとして /implement を使用してください。
ワークフロー概要
┌──────────────────────────────────────────────────────┐
│ アクセシビリティレビュー │
├──────────────────────────────────────────────────────┤
│ 1. Webコンテンツを検出 │
│ 2. スコープを決定 │
│ 3. アクセシビリティ監査者を派遣 │
│ 4. 監査レポートを提示 │
└──────────────────────────────────────────────────────┘
ワークフロー詳細
1. Webコンテンツを検出
プロジェクトをスキャンしてWebコンテンツファイルを探します:
| 拡張子 | コンテンツタイプ |
|---|---|
.html, .htm | HTML ドキュメント |
.jsx, .tsx | React/JSX コンポーネント |
.vue | Vue コンポーネント |
.svelte | Svelte コンポーネント |
.css, .scss, .less | スタイルシート |
.ejs, .hbs, .pug, .njk | HTML テンプレート |
除外対象: node_modules/、vendor/、dist/、build/、.git/、その他の生成/ベンダーディレクトリ。
Webコンテンツが見つからない場合: 「このプロジェクトではWebコンテンツが検出されませんでした。アクセシビリティ監査は、HTML、CSS、またはUIコンポーネントファイルを含むプロジェクトに適用されます。」と報告して中止します。
2. スコープを決定
検出された Webコンテンツをファイルカウント付きでユーザーに提示します:
検出されたWebコンテンツ:
- HTML: 12 ファイル
- React (TSX): 28 ファイル
- CSS: 8 ファイル
何を監査すべきでしょうか?
- プロジェクト全体 (デフォルト)
- 特定のディレクトリ (例: src/components/)
- 特定のファイル
ユーザーの選択を受け入れます。デフォルト:プロジェクト全体。
3. A11y 監査者を派遣
Glob でスコープサイズを評価します。
小規模なスコープ (概ね ≤20 個の Webコンテンツファイル): 完全なスコープを持つ単一の QA - Web A11y Reviewer エージェントを起動します。
大規模なスコープ (概ね >20 個の Webコンテンツファイル): ディレクトリまたはコンポーネント境界でパーティション分割します。複数の QA - Web A11y Reviewer エージェントを並行に起動し、それぞれに焦点を絞ったパーティションを割り当てます。
各エージェントへのプロンプト:
以下のWebコンテンツをアクセシビリティの問題について監査してください。
スコープ: [パーティションまたは完全なスコープ]
スコープ内のすべてのファイルを読み、完全な監査を実行してください:
1. 自動化されたアクセシビリティツール (axe-core、pa11y など) を検出して実行
2. 自動化ツールが見落とす問題の手動検査
(キーボードナビゲーション、セマンティック正確性、動的コンテンツ、
ARIA の使用法、コンテンツの品質、メディア)
3. すべての問題を重大度別に分類 (CRITICAL / HIGH / LOW)
標準的な出力形式で、概要、重大度別の問題、ツール推奨を提示してください。
4. 監査レポートを提示
すべてのエージェント応答を収集します。複数のエージェントが派遣された場合、調査結果を単一のレポートにマージして、パーティション間に広がる問題を重複排除します。
統合レポートを提示します:
## アクセシビリティ監査レポート
適合対象: WCAG 2.2 レベル AA
方法: [自動化 + 手動 | 手動のみ]
スコープ: [監査対象の内容]
見つかった問題: N件 (X件が重大、Y件が高、Z件が低)
### CRITICAL(重大)
[すべてのエージェントからの統合された重大な調査結果]
### HIGH(高)
[統合された高リスク調査結果]
### LOW(低)
[統合された低リスク調査結果]
### ツール推奨
[該当する場合 — 自動化されたアクセシビリティテストを追加するための推奨]
### 推奨される次のステップ
[調査結果に基づいて:
- 重大/高リスク問題が見つかった場合: それらの修正を推奨し、
HTML 変更で対応するもの、CSS 変更で対応するもの、
JS 変更で対応するものを記載
- 重大な問題が見つからない場合:
「重大なアクセシビリティバリアは見つかりませんでした」
- 自動化ツールが存在しない場合: axe-core または pa11y の追加を推奨]
このレポートはあなたの合成です。 複数のエージェントが派遣された場合、パーティション間のパターンを探してください (例: ラベルの欠落は孤立した事例ではなく、プロジェクト全体の習慣)。エージェント出力を単に連結しないでください。
エージェント調整
- すべての監査エージェントは並行実行されます (読み取り専用で独立)
- 統合レポートを提示する前に、すべてのエージェントの完了を待ちます
- エージェントが失敗またはタイムアウトした場合、レポートに失敗を記載して他の結果で続行します
中止条件
中止する:
- スコープ内で Webコンテンツファイルが検出されない
- Git リポジトリではない
中止しない:
- 自動化されたアクセシビリティツールが利用できない (手動監査で進める)
- マルチエージェント派遣で単一のエージェントが失敗 (失敗を報告、続行)
- 見つかった問題が少ない (「重大な問題なし」と報告 — これは有効な結果です)
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- chrisallenlane
- ライセンス
- MIT
- 最終更新
- 2026/5/12
Source: https://github.com/chrisallenlane/claude-swe-workflows / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。