use-my-browser
ユーザーのライブブラウザセッションや実際のレンダリング状態に依存する作業が必要な場合に使用します。ログイン済みダッシュボードやCMSのフロー、localhostアプリ、フォーム・アップロード・ダウンロード、DOM・iframe・Shadow DOMの検査、DevToolsで選択した要素やリクエストのデバッグ、またはソフト404・認証ウォール・ボット対策・レート制限のように見えるブラウザ障害の調査など、静的なフェッチでは対応できない場面で活躍します。
description の原文を見る
Use when work depends on the user's live browser session or visible rendered state rather than static fetches, especially for browser debugging contexts or DevTools-selected elements or requests, logged-in dashboards or CMS flows, localhost apps, forms, uploads, downloads, media inspection, DOM or iframe inspection, Shadow DOM, or browser failures that look like soft 404s, auth walls, anti-bot checks, or rate limits.
SKILL.md 本文
このスキルを汎用的なブラウジングのデフォルトとして扱わないでください。ツールの好みではなく、必要な証拠から経路を選択してください。
すべてのタスクは経路を選択する前に分類する必要があります:
static-capable: ライブブラウザの状態、可視確認、ページインタラクションなしに証拠を生成できるbrowser-required: 証拠がレンダリング状態、インタラクション、ライブセッション動作、またはブラウザ専用の構造に依存している
static-capable タスクのみが静的取得、curl またはその他の非ブラウザのパスにフォールバックできます。タスクが browser-required となったら、ブラウザパスに留まり、欠落している機能を暗黙的にダウングレードするのではなく blocked としてマークしてください。
前提条件の確認
このスキルはユーザーのライブブラウザセッション内での作業を対象としており、別の独立した自動化ブラウザを起動するためのものではありません。
ブラウザオートメーションを実行する前に、ページインベントリ、タスク所有ページの作成、ページ選択、スナップショットまたは可視状態の読み取り、DOM検査、テキストまたはフォーム入力、アップロード、ダイアログ、コンソール検査、ネットワーク検査など、タスクが依存する機能を提供できるライブブラウザスタックにすでにアクセスできることを確認してください。ここで重要なのは正確なスタック構成ではなく、機能を確認することです。
ライブブラウザスタックが利用できない場合は、このスキルを通じてブラウザオートメーションを試みないでください。static-capable な作業のみが静的取得にフォールバックできます。
ライブブラウザオートメーションは、一部のサイトでアンチボットまたはアンチオートメーションの防御をトリガーする可能性があります。ブラウザインタラクションは、タスクが本当に必要とする場合にのみ使用し、必要な証拠が得られたら不要な繰り返しアクションを避けてください。
エクスペリエンスループ
サイトパターンをオプションの背景読み物ではなく、ブラウザプロトコルの一部として扱ってください。
browser-required な作業については、このループを実行してください:
- ターゲットドメインがわかったら、すぐに
references/site-patterns/ - メモが存在する場合は、そのドメインで最初の意味のあるブラウザ変更を行う前に、それを読んでください。
- 実行中は、将来の実行がどのように動作すべきかを変更する検証済みのサイト固有の事実を観察してください。
- タスク完了を検討する前に、実行が再利用可能な事実を生成したかどうか、既存の事実を反証したか、または再利用可能なサイト固有の学習を生成しなかったかを決定してください。
- 実行が何か再利用可能なものを検証したか、既存の主張を反証した場合は、完了する前に対応するメモを更新してください。
一度限りのノイズのためにドメインメモを作成しないでください。タスク自体が成功したからといって、実行終了のレビューをスキップしないでください。
次のいずれかが検証された場合、ライトバックが期待されます:
- 安定したルート形状または必要なクエリパラメータ
- ログイン、セッション継承、または
isolatedContextの癖 - ホバー、キーボード入力、アップロードシーケンス、またはセレクタブリッジパターンなどの信頼性の高いインタラクションプリミティブ
- DOM生成リンクは信頼性が高いがハンドメイドURLが信頼性の低いドメイン
- 予測可能なアンチオートメーションの摩擦または誤解を招くプラットフォームエラー状態
- 再利用可能なメディア抽出またはiframe / Shadow DOMアクセスパターン
判定ガイド
ツールではなく結果から始めてください。ユーザーの目標を明示的にし、完了とは何かを定義し、正しい証拠を生成できる最も安価な経路を選択してください。
この経路の順序を使用してください:
- タスクが
static-capableであるかbrowser-requiredであるかを決定してください。 - タスクが
static-capableの場合は、references/task-routing.md - タスクが
browser-requiredの場合は、references/browser-playbook.md - 新しいホストセッションでブラウザ必要機能に不確実性がある場合は、
references/browser-capability-matrix.md - ユーザーがすでに選択されたインスペクタ要素またはネットワークリクエストなどのアクティブなブラウザデバッグコンテキストを持っている場合は、
references/debug-handoff.md - ブラウザ必要タスクがログイン済みダッシュボード、管理画面、CMS、エディタ、またはセーブ/パブリッシュ/アップデートフロー に触れる場合は、
references/control-plane-workflows.md - 現在の失敗形状がソフト404、コンテンツ利用不可状態、疑わしいノーオペレーションインタラクション、認証ウォール、レート制限、またはアンチオートメーション防御を示唆している場合は、
references/anti-automation-friction.md - ブラウザ必要タスクがiframe、Shadow DOM、折りたたまれたコンテンツ、またはレイジーロードされた証拠を含む場合は、
references/deep-dom.md - 重要な証拠が画像、オーディオクリップ、またはビデオにある場合は、
references/media-inspection.md - ブラウザ作業を独立したページ所有者またはサブエージェント間で分割できる場合は、
references/parallel-browser-ownership.md - すでに信頼性の高いセレクタがわかっているが MCP ネイティブな
uidターゲットが必要な場合は、references/selector-bridge.md - ページアクションが状態を曖昧にしたまま残す場合、ページが予期せずナビゲートする場合、古い
uidが古い可能性がある場合、またはコンソール/ネットワーク検査が次のブラウザ判定を説明するために必要な場合は、references/browser-recovery.md - ターゲットサイトに
references/site-patterns/
次のものを デフォルトで browser-required として扱ってください:
localhost,127.0.0.1, またはベンチマークスタイルのローカルフィクスチャ- アップロード、ダウンロード、ドラッグアンドドロップ、ホバー、キーボードネイティブ入力、または可視確認状態
- 同一オリジンiframe検査、Shadow DOM検査、
details/折りたたまれた証拠、またはレイジーロードされたコンテンツ - 「ページが見えている内容」そのものが証拠であるタスク
一般的なタスクの通常のハッピーパスは、このエントリーポイントと1~2の参考資料です。参考資料セット全体ではありません。
ハードルール
- ライブブラウザ状態が証拠の一部であるか必要なアクションである場合にのみ、ブラウザインタラクションを使用してください。
- タスクが
browser-requiredとなったら、暗黙的にダウングレードしないでください。 - このファイルをエントリーポイント、各参考資料ファイルを単一目的の権威として扱ってください。ファイル間でルールを重複させないでください。
- 参考資料の読み込みは1レベル深くしてください。ある参考資料を複数の参考資料にリンクするハブに変えるのではなく、このエントリーポイントから次のファイルを決定してください。
- ページが制限されているように見えるというだけの理由でユーザーにログインするよう求めないでください。最初にターゲットコンテンツまたはアクションが実際にブロックされているかどうかを確認してください。
- ハンドメイドURLより、ページが期待するパスを示してくれたら、ページ生成DOMリンクを優先してください。
- タスクが本当にインブラウザアクションである場合は、スクリプト駆動インタラクションより MCP ネイティブアクションを優先してください。
- あなたが作成したページだけを閉じてください。
- 集約者または繰り返された二次報告より、一次情報源を優先してください。
- 対応するサイトパターンメモが存在する場合は、そのドメインで最初の意味のあるブラウザ変更を行う前に、それを読んでください。
browser-requiredタスクを完了する際に、実行がサイトパターン主張を作成、更新、ダウングレード、または削除すべきかどうかを明示的に確認せずに終了しないでください。- 既存のサイトパターン主張が同等の条件下で失敗した場合は、それを信頼することを停止し、古い前提を再試行するのではなく、メモを更新しながら汎用ワークフローにフォールバックしてください。
browser-requiredタスクに対してcurl,Invoke-WebRequest, またはシェルHTTP取得を使用しないでください。- 汎用的なページオープニングツールを、localhost深層インタラクションが利用可能であることの証拠として扱わないでください。
- ブラウザ機能プローブが失敗したというだけの理由で経路を切り替えないでください。欠落している機能を記録して停止してください。
- ユーザーがアクティブなブラウザデバッグコンテキストを示している場合は、スクラッチからの新規再現より、その現在のコンテキストからのハンドオフを優先してください。
参考資料インデックス
references/task-routing.mdreferences/browser-playbook.mdreferences/browser-capability-matrix.mdreferences/debug-handoff.mdreferences/control-plane-workflows.mdreferences/anti-automation-friction.mdreferences/deep-dom.mdreferences/media-inspection.mdreferences/parallel-browser-ownership.mdreferences/selector-bridge.mduidブリッジングreferences/browser-recovery.mduid、ナビゲーション乖離、およびコンソール/ネットワークエスカレーションreferences/site-patterns/README.mdsite-patterns/{domain}.md: 既存のドメイン固有の操作知識
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- xixu-me
- リポジトリ
- xixu-me/skills
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/xixu-me/skills / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。