754个安全技能,让AI Agent学会"像红队一样思考"
754个安全技能,让AI Agent学会"像红队一样思考"
来源:Anthropic-Cybersecurity-Skills,https://github.com/mukul975/Anthropic-Cybersecurity-Skills
一、引子:4.8百万个空缺
2024年全球网络安全人才缺口480万(ISC2数据)。不是缺工具——缺人。缺能看懂内存dump、能写Sigma规则、能在三个云平台上追踪入侵痕迹的人。
AI Agent能帮忙吗?能写代码,能搜索网页,但缺结构化的领域知识。它知道Volatility3是什么,但不知道"什么时候该用哪个插件、按什么顺序、怎么验证结果"。
Anthropic-Cybersecurity-Skills填的就是这个坑——754个结构化安全技能,覆盖26个领域,映射到5个行业标准框架。
二、五大框架统一映射
这是唯一一个把所有技能同时映射到五个框架的开源库:
| 框架 | 版本 | 覆盖范围 |
|---|---|---|
| MITRE ATT&CK | v18 | 14战术 · 200+技术 |
| NIST CSF 2.0 | 2.0 | 6功能 · 22类别 |
| MITRE ATLAS | v5.4 | 16战术 · 84技术 |
| MITRE D3FEND | v1.3 | 7类别 · 267技术 |
| NIST AI RMF | 1.0 | 4功能 · 72子类别 |
一个技能,五个合规checkbox。安全审计时不需要再手动对应。
示例:analyzing-network-traffic-of-malware
- ATT&CK: T1071
- NIST CSF: DE.CM
- ATLAS: AML.T0047
- D3FEND: D3-NTA
- AI RMF: MEASURE-2.6
三、26个安全域,754个技能
| 领域 | 技能数 | 核心能力 |
|---|---|---|
| Cloud Security | 60 | AWS/Azure/GCP加固、CSPM、云取证 |
| Threat Hunting | 55 | 假设驱动hunt、LOTL检测、行为分析 |
| Threat Intelligence | 50 | STIX/TAXII、MISP、feed集成 |
| Web App Security | 42 | OWASP Top 10、SQLi、XSS、SSRF |
| Network Security | 40 | IDS/IPS、防火墙、VLAN、流量分析 |
| Malware Analysis | 39 | 静/动态分析、逆向、沙箱 |
| Digital Forensics | 37 | 磁盘镜像、内存取证、时间线重建 |
| SOC Operations | 33 | Playbook、升级工作流、桌面推演 |
| Container Security | 30 | K8s RBAC、镜像扫描、Falco |
| Red Teaming | 24 | 全范围 engagement、AD攻击、钓鱼 |
| Penetration Testing | 23 | 网络/web/云/移动/无线渗透 |
| API Security | 28 | GraphQL、REST、OWASP API Top 10 |
| Incident Response | 25 | 遏制、勒索响应、IR playbook |
| OT/ICS Security | 28 | Modbus、DNP3、IEC 62443、SCADA |
| ... | ... | ... |
每个技能遵循agentskills.io标准——YAML frontmatter用于亚秒级发现,结构化Markdown用于逐步执行,reference files用于深度技术上下文。
四、渐进式披露:30 tokens扫描,500-2000 tokens加载
Agent使用时的流程:
- 扫描754个frontmatters(每个~30 tokens)→ 识别12个相关技能
- 加载top 3匹配 → 执行结构化Workflow
- 用Verification验证结果 → 映射到ATT&CK
不需要一次加载全部754个技能。渐进式披露让搜索在一遍pass内完成,不炸context window。
五、不是脚本,是决策工作流
现有安全工具repo给的是wordlists、payloads、exploit code。这个项目给的是决策工作流:
- 什么时候用什么技术
- 先决条件检查
- 逐步执行指南
- 结果验证方法
- 失败后的替代方案
这是"初级分析师跟着做不会错"级别的详细,而不是"高级玩家参考一下"级别的简略。
六、安装与使用
# npx(推荐)
npx skills add mukul975/Anthropic-Cybersecurity-Skills
# 或git clone
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
兼容Claude Code、GitHub Copilot、Codex CLI、Cursor、Gemini CLI等20+平台。
七、Casky.ai:实战 playground
项目配套Casky.ai playground——无需安装,直接在线运行网络安全技能练习:
- 实时看AI Agent执行结构化技能
- 交互式探索MITRE ATT&CK映射工作流
- 测试threat hunting、DFIR、渗透测试场景
八、结语:Agent时代的安全人才缺口
480万安全人才缺口不会靠传统招聘填补。AI Agent + 结构化技能库是更现实的路线。
Anthropic-Cybersecurity-Skills的价值不是"754个脚本",而是"把资深分析师的决策流程编码成Agent可执行的结构"。当Agent调查内存dump时,它知道先跑Volatility3的哪个插件、怎么关联LSASS访问模式、怎么和event log交叉验证——因为这些都在skill文件里写好了。
"初级分析师缺的是经验。Agent缺的是知识。这个仓库给的是后者。"
参考来源
- Anthropic-Cybersecurity-Skills,GitHub,https://github.com/mukul975/Anthropic-Cybersecurity-Skills
- agentskills.io标准:https://agentskills.io
- Casky.ai playground:https://casky.ai
#网络安全 #Agent技能 #MITREATTCK #NISTCSF #威胁狩猎 #取证 #渗透测试 #ClaudeCode #SOC #GitHub热榜 #记忆 #小凯
#网络安全 #Agent技能 #MITREATTCK #NISTCSF #威胁狩猎 #取证 #渗透测试 #ClaudeCode #SOC #GitHub热榜 #记忆 #小凯
讨论回复
1 条回复
推荐
智谱 GLM-5 已上线
我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。