cdp5-agents

Gegnerischer Review eines riskanten Diffs/einer riskanten Implementierung. Sucht aktiv den latenten Fehler/Datenverlust-Pfad, den grüne Tests + Self-Review + ein bestätigender Reviewer übersehen. Liefert ein Verdikt (safe JA/NEIN/mit-Einschränkung) + empirische Gegenprobe. Use bei 🔴-Slices (Pipeline-/Architektur-Eingriffe), „strittig", „second opinion", „belastbarer review".

Gap-Analyse + Reife-Score eines Konzept-/Spec-Dokuments gegen die CDP5-Pflicht-Struktur. Liefert Score 0–10, priorisierte Lückenliste und Schließungs-Vorschläge — ohne Code zu schreiben. Use vor strategischen Konzept-Entscheidungen, bei „review meine spec", „ist das Konzept implementierungsreif".

Bewertet eine MCP-Integration (genutzte/gebaute Server + Tools) auf Sicherheit + Design-Reife. Prüft die Lethal Trifecta, Tool-/Server-Härtung und die Server-Maturity (Level 0–3). Liefert Findings + Härtungs-Empfehlungen. Use bei „MCP-Integration reviewen", „ist dieser MCP-Server sicher", vor dem Einbinden/Ausliefern von MCP-Servern. Ergänzt den deterministischen `mcp-config-lint`-Skill um das Judgment.

Verifiziert BEHAUPTUNGEN (aus Reviews, Analysen, anderen LLM-Outputs) gegen den tatsächlichen Code/die Quelle, BEVOR daraus Aktionen folgen. Liefert pro Behauptung bestätigt/widerlegt/unklar mit Beleg. Use nach jedem Review/jeder Analyse, deren Findings nicht-triviale Änderungen auslösen, oder wenn ein Finding „zu sicher" klingt.

Threat-Modeling „light" im Design-Schritt — STRIDE über Entry-Points/Trust-Boundaries eines geplanten Features/einer API, BEVOR Code entsteht. Liefert eine Data-Flow-Skizze, eine priorisierte Bedrohungsliste und je Top-Bedrohung eine Gegenmaßnahme als Akzeptanzkriterium. Use bei neuen APIs, neuen Trust-Boundaries, externen Schnittstellen, Agent-/Tool-UCs; „threat model", „security by design".