夜雨聆风754个安全技能
为 AI Agent 注入专业网安能力
开源史上最大网络安全技能库,让 AI 从「懂代码」进化到「懂攻防」
GitHub 仓库 →
Claude Code、Copilot 可以帮你写 Python,但面对「分析内存转储中的凭证窃取痕迹」这种安全场景时,通用 LLM 就像让实习生独自处理 APT 事件——能跑命令,但不知道该跑哪些、顺序是什么、结果怎么解读。
资深分析师的攻防经验存在于个人大脑、Wiki 页面、博客文章中,格式各异、质量参差。AI 无法像人类专家那样「先回忆相关经验,再回忆具体步骤」地调用这些知识。
每次完成安全操作后,手动梳理 MITRE ATT&CK 映射、NIST CSF 控制项,可能要耗费数小时。AI 代理缺乏结构化的框架对齐能力,无法自动生成符合审计标准溯源报告。
全球网络安全岗位空缺超 350 万。SOC 分析师疲于处理海量告警,大量 L1 级安全运营任务(基础资产测绘、IOC 提取、合规核查)仍需人力逐条执行。
754 个生产级技能,覆盖 26 个安全领域
这是开源世界最大的网络安全技能库。从云安全(60 个)到威胁狩猎(55 个),从恶意软件分析(39 个)到 OT/ICS 工控安全(28 个),覆盖了企业安全运营的全栈场景。每个技能都遵循 agentskills.io 开放标准,不是脚本堆砌,而是结构化的「可执行知识」。
| 排名 | 安全领域 | 技能数 | 代表能力 |
|---|---|---|---|
五框架映射:操作即合规
每个技能同时映射 MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND、NIST AI RMF 五大行业框架。AI 代理每执行一步操作,都能自动输出符合审计标准的溯源报告,替代以往安全工程师手动梳理数小时的工作量。
| 框架 | 版本 | 覆盖范围 | 映射作用 |
|---|---|---|---|
| MITRE ATT&CK | |||
| NIST CSF 2.0 | |||
| MITRE ATLAS | |||
| MITRE D3FEND | |||
| NIST AI RMF |
渐进式披露:让 AI 高效「翻阅」754 本手册
这是项目最精巧的设计。每个技能拆分为两个层次——AI 先用约 30 个 Token 扫描 YAML 元数据快速定位匹配技能,仅命中后才加载完整工作流(500-2000 Token)。734 个技能全部加载需要 200K-600K Token,而通过渐进式披露,日常操作仅需约 40KB 即可完成发现与过滤。
| 阶段 | Token 消耗 | 加载内容 |
|---|---|---|
标准化技能结构:从触发到验证的完整闭环
每个技能不是简单的脚本或命令合集,而是封装了「触发场景 → 前置条件 → 执行步骤 → 结果验证」的完整逻辑闭环。以凭证转储狩猎技能为例,AI 代理会依次执行:
windows.psscan 确认进程 → windows.handles 过滤异常句柄 → windows.malfind 检测注入代码 → 关联安全日志26+ AI 平台兼容,零厂商锁定
不绑定任何特定 AI 厂商。任何能读取结构化 Markdown 的 AI 智能体都可以消费这些技能——从 Claude Code、GitHub Copilot、Cursor 到 Gemini CLI、OpenAI Codex CLI,再到 Devin、SWE-agent 等自主代理框架,以及 LangChain、CrewAI 等编排平台全部兼容。
双 CI/CD 自动化:754 个技能的质量保障
项目设计了双工作流自动化体系:validate-skills.yml 在每次 PR 提交时验证 YAML 语法、必填字段、重复检测;update-index.yml 在合并到 main 后自动扫描全部技能、生成 index.json 并提交回仓库。734 个技能的数据质量完全由自动化保障,消除手动维护风险。
SOC 告警自动化研判
SIEM 触发「LSASS 异常访问」告警后,AI 代理自动扫描安全运维和数字取证领域技能,加载凭证转储狩猎流程,依次运行 Volatility3 插件分析内存转储、关联 Windows 安全日志、映射 ATT&CK T1003 技术,输出结构化研判报告——过去需要资深分析师 2 小时的工作,现在几分钟完成。
云环境安全审计
输入「审计 AWS S3 存储桶安全态势」,AI 精确命中云安全审计技能,执行 aws s3 ls 列出全部桶 → 检查公开访问配置 → 审计桶策略与 ACL → 关联 NIST CSF PR.DS(数据安全)和 D3FEND 防御对策,输出含合规映射的审计报告。
内网渗透测试(红队)
已获取域凭证后,AI 加载 Kerberoasting 技能,运行 Impacket 的 GetUserSPNs.py 枚举 SPN → 请求服务票据 → 用 hashcat 模式 13100 离线破解,全流程按照红队技能工作流执行,并实时记录 ATT&CK T1558(Kerberoasting)映射。
前置要求:Node.js 18+(方式一)、或 Git(方式三)、或 Claude Code 运行环境(方式二)
方式一:NPX 一键安装(推荐)
# 通用自动化安装,适用于 26+ 平台
npxskills add mukul975/Anthropic-Cybersecurity-Skills
# 安装位置:~/.skills/ 目录
# 更新方式:重新运行上述命令即可方式二:Claude Code 插件市场安装
# 在 Claude Code 运行环境中输入:
/pluginmarketplace add mukul975/Anthropic-Cybersecurity-Skills
# 技能按需从 GitHub 加载
# 版本更新时自动同步方式三:Git 克隆(全平台通用)
gitclone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
cd Anthropic-Cybersecurity-Skills
# 包含完整仓库:skills/、scripts/、references/、assets/
# 更新方式:git pull使用流程:
「分析这个 pcap 文件中的 C2 通信」analyzing-network-traffic-for-c2-beacons等相关技能当前局限:
• 深度 vs 广度:754 个技能的深度参差不齐,部分技能仍是工具的「一层皮封装」,无法承载真实攻防中的非线性推理
• 缺乏动态容错:真实对抗环境充满脏数据、WAF 拦截、私有协议异常,当前技能的线性 SOP 执行模式处理分支异常能力有限
• 业务逻辑依赖:复杂越权、条件竞争等高阶漏洞高度依赖目标系统的业务逻辑,无法被通用技能覆盖
• 持续更新挑战:网络安全领域变化极快,754 个技能的时效性维护是长期工程
最大规模:754 个结构化网络安全技能,覆盖 26 个安全领域,开源世界之最
五框架映射:每个技能自动对齐 MITRE ATT&CK / NIST CSF 2.0 / ATLAS / D3FEND / AI RMF,操作即合规
渐进式披露:30 Token 扫描 + 按需加载的设计,让 AI 高效消费海量技能知识
标准化架构:遵循 agentskills.io 开放标准,26+ AI 平台零锁定兼容
自动化保障:双 CI/CD 工作流自动验证与索引,754 个技能的质量由机器守护
明确边界:擅长 L1 级安全运营自动化,当前无法替代高级分析师的战术推理,但为 AI Agent 安全能力奠定了标准化基础设施
觉得有用?点个 Star 支持一下 ⭐
github.com/mukul975/Anthropic-Cybersecurity-Skills
你希望 AI Agent 还能掌握哪些安全能力?欢迎留言讨论 👋
每天一个值得深读的开源项目
