mukul975/Anthropic-网络安全技能
mukul975/Anthropic-Cybersecurity-Skills
Mahipal Jangra 在 GitHub 上发布了 Anthropic Cybersecurity Skills,一个面向 AI agent 的开源网络安全技能库,包含 754 个结构化技能,覆盖 26 个安全领域(云安全、威胁狩猎、恶意软件分析等)。每个技能遵循 agentskills.io 标准,以 YAML frontmatter 和结构化 Markdown 编码实践者工作流,并映射到 MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND 和 NIST AI RMF 五个行业框架。该库兼容 Claude Code、GitHub Copilot、Cursor 等 26 个以上 AI 平台,旨在为 agent 提供高级分析师级别的决策指导。
Anthropic Cybersecurity Skills
面向 AI agent 的最大开源网络安全技能库
754 个生产级网络安全技能 · 26 个安全领域 · 5 个框架映射 · 26+ 个 AI 平台
开始使用 · 内容概览 · 框架 · 平台 · 贡献
⚠️ 社区项目 — 这是一个独立的、由社区创建的项目。与 Anthropic PBC 无关。
让任何 AI agent 拥有高级分析师的安全技能
初级分析师知道在可疑内存转储上运行哪个 Volatility3 插件,知道哪些 Sigma 规则能捕获 Kerberoasting,也知道如何跨三个云提供商界定一次云安全事件的范围。你的 AI agent 不知道——除非你把这些技能交给它。
本仓库包含 754 个结构化的网络安全技能,涵盖 26 个安全领域,每个技能都遵循 agentskills.io 开放标准。每个技能都映射到 五个行业框架——MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND 和 NIST AI RMF——使其成为唯一一个具有统一跨框架覆盖的开源技能库。克隆它,将你的 agent 指向它,你的下一次安全调查就能在几秒钟内获得专家级的指导。
五个框架,一个技能库
没有其他开源技能库能将每个技能映射到所有五个框架。一个技能,五个合规检查点。
| 框架 | 版本 | 本仓库范围 | 映射内容 |
|---|---|---|---|
| MITRE ATT&CK | v18 | 14 个战术 · 200+ 个技术 | 对手行为与 TTP |
| NIST CSF 2.0 | 2.0 | 6 个功能 · 22 个类别 | 组织安全态势 |
| MITRE ATLAS | v5.4 | 16 个战术 · 84 个技术 | AI/ML 对抗性威胁 |
| MITRE D3FEND | v1.3 | 7 个类别 · 267 个技术 | 防御性对抗措施 |
| NIST AI RMF | 1.0 | 4 个功能 · 72 个子类别 | AI 风险管理 |
示例——单个技能跨所有五个框架映射:
| 技能 | ATT&CK | NIST CSF | ATLAS | D3FEND | AI RMF |
|---|---|---|---|---|---|
analyzing-network-traffic-of-malware |
T1071 | DE.CM | AML.T0047 | D3-NTA | MEASURE-2.6 |
快速开始
# 选项 1:npx(推荐)
npx skills add mukul975/Anthropic-Cybersecurity-Skills
# 选项 2:Git 克隆
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
cd Anthropic-Cybersecurity-Skills
立即适用于 Claude Code、GitHub Copilot、OpenAI Codex CLI、Cursor、Gemini CLI 以及任何 agentskills.io 兼容平台。
🌍 GARS-2026——全球 Agentic AI 就绪度调查
我正在开展一项全球学术研究,衡量安全专业人员、开发人员和企业团队对 agentic AI(包括 MCP 服务器、工具调用、治理和人机协作工作流)的实际就绪程度。
如果你使用本仓库,你的回复将是一个非常有价值的数据点。
📋 参与调查(10 分钟): 调查链接
- 60 个问题 · 匿名 · 由 SRH Berlin 监督
- 你将获得 50 个 Casky Token,用于抢先体验 casky.ai
- 结果以 CC-BY 4.0 协议开放获取发布
🚀 在 Playground 中试用
亲身体验 Casky.ai——无需任何设置。
Playground 让你能够:
- 针对真实目标运行实时网络安全技能练习
- 实时观察 AI agent 执行结构化技能
- 交互式探索 MITRE ATT&CK 映射的工作流
- 测试威胁狩猎、DFIR 和渗透测试场景
无需安装。无需配置。只需打开即可开始。
为什么存在这个项目
2024 年全球网络安全人才缺口达到 480 万个未填补职位(ISC2)。AI agent 可以帮助缩小这一差距——但前提是它们拥有结构化的领域知识作为基础。如今的 agent 可以编写代码和搜索网络,但它们缺乏将通用 LLM 转变为称职安全分析师所需的实践者 playbook。
现有的安全工具仓库提供的是词表、payload 或漏洞利用代码。没有一个能赋予 AI agent 高级分析师所遵循的结构化决策工作流:何时使用每种技术、需要检查哪些先决条件、如何逐步执行以及如何验证结果。这就是本项目要填补的空白。
Anthropic Cybersecurity Skills 不是脚本或检查清单的集合。它是一个AI 原生知识库,从头开始为 agentskills.io 标准构建——YAML frontmatter 用于亚秒级发现,结构化 Markdown 用于逐步执行,参考文件用于深入的技术上下文。每个技能都编码了真实的实践者工作流,而非生成的摘要。
内容概览——26 个安全领域
| 领域 | 技能数 | 关键能力 |
|---|---|---|
| 云安全 | 60 | AWS、Azure、GCP 加固 · CSPM · 云取证 |
| 威胁狩猎 | 55 | 假设驱动狩猎 · LOTL 检测 · 行为分析 |
| 威胁情报 | 50 | STIX/TAXII · MISP · 情报源集成 · 行为者画像 |
| Web 应用安全 | 42 | OWASP Top 10 · SQLi · XSS · SSRF · 反序列化 |
| 网络安全 | 40 | IDS/IPS · 防火墙规则 · VLAN 分段 · 流量分析 |
| 恶意软件分析 | 39 | 静态/动态分析 · 逆向工程 · 沙箱 |
| 数字取证 | 37 | 磁盘镜像 · 内存取证 · 时间线重建 |
| 安全运营 | 36 | SIEM 关联 · 日志分析 · 告警分类 |
| 身份与访问管理 | 35 | IAM 策略 · PAM · 零信任身份 · Okta · SailPoint |
| SOC 运营 | 33 | Playbook · 升级工作流 · 指标 · 桌面演练 |
| 容器安全 | 30 | K8s RBAC · 镜像扫描 · Falco · 容器取证 |
| OT/ICS 安全 | 28 | Modbus · DNP3 · IEC 62443 · 历史数据库防御 · SCADA |
| API 安全 | 28 | GraphQL · REST · OWASP API Top 10 · WAF 绕过 |
| 漏洞管理 | 25 | Nessus · 扫描工作流 · 补丁优先级 · CVSS |
| 事件响应 | 25 | 事件遏制 · 勒索软件响应 · IR playbook |
| 红队 | 24 | 全范围演练 · AD 攻击 · 钓鱼模拟 |
| 渗透测试 | 23 | 网络 · Web · 云 · 移动 · 无线渗透测试 |
| 端点安全 | 17 | EDR · LOTL 检测 · 无文件恶意软件 · 持久化狩猎 |
| DevSecOps | 17 | CI/CD 安全 · 代码签名 · Terraform 审计 |
| 钓鱼防御 | 16 | 邮件认证 · BEC 检测 · 钓鱼事件响应 |
| 密码学 | 14 | TLS · Ed25519 · 证书透明度 · 密钥管理 |
| 零信任架构 | 13 | BeyondCorp · CISA 成熟度模型 · 微隔离 |
| 移动安全 | 12 | Android/iOS 分析 · 移动渗透测试 · MDM 取证 |
| 勒索软件防御 | 7 | 前兆检测 · 响应 · 恢复 · 加密分析 |
| 合规与治理 | 5 | CIS 基准 · SOC 2 · 监管框架 |
| 欺骗技术 | 2 | 蜜标 · 入侵检测金丝雀 |
AI agent 如何使用这些技能
每个技能扫描(仅 frontmatter)大约消耗 ~30 个 token,完全加载(完整工作流)消耗 500–2,000 个 token。这种渐进式披露架构让 agent 可以在一次传递中搜索所有 754 个技能,而不会撑爆上下文窗口。
用户提示:"分析这个内存转储,寻找凭据窃取的迹象"
Agent 的内部过程:
1. 扫描 754 个技能的 frontmatter(每个约 30 个 token)
→ 通过匹配标签、描述、领域识别出 12 个相关技能
2. 加载前 3 个匹配项:
• performing-memory-forensics-with-volatility3
• hunting-for-credential-dumping-lsass
• analyzing-windows-event-logs-for-credential-access
3. 逐步执行结构化的 Workflow 部分
→ 运行 Volatility3 插件,检查 LSASS 访问模式,
与事件日志证据关联
4. 使用 Verification 部分验证结果
→ 确认 IOC,将发现映射到 ATT&CK T1003(凭据转储)
没有这些技能,agent 会猜测工具命令并遗漏关键步骤。有了它们,它就会遵循高级 DFIR 分析师使用的相同 playbook。
技能结构
每个技能遵循一致的目录结构:
skills/performing-memory-forensics-with-volatility3/
├── SKILL.md ← 技能定义(YAML frontmatter + Markdown 正文)
├── references/
│ ├── standards.md ← MITRE ATT&CK、ATLAS、D3FEND、NIST 映射
│ └── workflows.md ← 深入的技术流程参考
├── scripts/
│ └── process.py ← 可用的辅助脚本
└── assets/
└── template.md ← 已填写的检查清单和报告模板
YAML frontmatter(真实示例)
---
name: performing-memory-forensics-with-volatility3
description: >-
使用 Volatility3 框架分析内存转储,提取正在运行的进程、网络连接、
注入的代码和恶意软件工件。
domain: cybersecurity
subdomain: digital-forensics
tags: [forensics, memory-analysis, volatility3, incident-response, dfir]
atlas_techniques: [AML.T0047]
d3fend_techniques: [D3-MA, D3-PSMD]
nist_ai_rmf: [MEASURE-2.6]
nist_csf: [DE.CM-01, RS.AN-03]
version: "1.2"
author: mukul975
license: Apache-2.0
---
Markdown 正文部分
## When to Use
触发条件——AI agent 何时应激活此技能?
## Prerequisites
所需工具、访问级别和环境设置。
## Workflow
逐步执行指南,包含具体命令和决策点。
## Verification
如何确认技能已成功执行。
Frontmatter 字段:name(kebab-case,1–64 字符)、description(关键词丰富,便于 agent 发现)、domain、subdomain、tags、atlas_techniques(MITRE ATLAS ID)、d3fend_techniques(MITRE D3FEND ID)、nist_ai_rmf(NIST AI RMF 引用)、nist_csf(NIST CSF 2.0 类别)。MITRE ATT&CK 技术映射记录在每个技能的 references/standards.md 文件中,以及随版本发布的 ATT&CK Navigator layer 中。
| 战术 | ID | 覆盖程度 | 关键技能 |
|---|---|---|---|
| 侦察 | TA0043 | 强 | OSINT、子域名枚举、DNS 侦察 |
| 资源开发 | TA0042 | 中等 | 钓鱼基础设施、C2 设置检测 |
| 初始访问 | TA0001 | 强 | 钓鱼模拟、漏洞利用检测、强制浏览 |
| 执行 | TA0002 | 强 | PowerShell 分析、无文件恶意软件、脚本块日志记录 |
| 持久化 | TA0003 | 强 | 计划任务、注册表、服务账户、LOTL |
| 权限提升 | TA0004 | 强 | Kerberoasting、AD 攻击、云权限提升 |
| 防御规避 | TA0005 | 强 | 混淆、rootkit 分析、规避检测 |
| 凭据访问 | TA0006 | 强 | Mimikatz 检测、pass-the-hash、凭据转储 |
| 发现 | TA0007 | 中等 | BloodHound、AD 枚举、网络扫描 |
| 横向移动 | TA0008 | 强 | SMB 漏洞利用、使用 Splunk 检测横向移动 |
| 收集 | TA0009 | 中等 | 邮件取证、数据暂存检测 |
| 命令与控制 | TA0011 | 强 | C2 信标、DNS 隧道、Cobalt Strike 分析 |
| 数据外泄 | TA0010 | 强 | DNS 外泄、DLP 控制、数据丢失检测 |
| 影响 | TA0040 | 强 | 勒索软件防御、加密分析、恢复 |
ATT&CK Navigator layer 文件包含在 v1.0.0 版本资产中,用于可视化覆盖映射。
注意: ATT&CK v19 将于 2026 年 4 月 28 日发布——将防御规避(TA0005)拆分为两个新战术:Stealth 和 Impair Defenses。技能映射将在后续版本中更新。
| 功能 | 技能数 | 示例 |
|---|---|---|
| 治理 (GV) | 30+ | 风险策略、政策框架、角色与职责 |
| 识别 (ID) | 120+ | 资产发现、威胁态势评估、风险分析 |
| 保护 (PR) | 150+ | IAM 加固、WAF 规则、零信任、加密 |
| 检测 (DE) | 200+ | 威胁狩猎、SIEM 关联、异常检测 |
| 响应 (RS) | 160+ | 事件响应、取证、事件遏制 |
| 恢复 (RC) | 40+ | 勒索软件恢复、BCP、灾难恢复 |
NIST CSF 2.0(2024 年 2 月)新增了治理功能,并将范围从关键基础设施扩展到所有组织。技能映射对齐所有 22 个类别,并引用 106 个子类别。
MITRE ATLAS v5.4——AI/ML 对抗性威胁
ATLAS 映射了针对 AI 和机器学习系统的对抗性战术、技术和案例研究。v5.4 版本涵盖 16 个战术和 84 个技术,包括 2025 年底新增的 agentic AI 攻击向量:AI agent 上下文投毒、工具调用滥用、MCP 服务器入侵和恶意 agent 部署。映射到 ATLAS 的技能帮助 agent 识别和防御针对 ML 管道、模型权重、推理 API 和自主工作流的威胁。
MITRE D3FEND v1.3——防御性对抗措施
D3FEND 是一个由 NSA 资助的知识图谱,包含 267 种防御技术,分布在 7 个战术类别中:Model、Harden、Detect、Isolate、Deceive、Evict 和 Restore。基于 OWL 2 本体构建,它使用共享的数字工件层将防御性对抗措施双向映射到 ATT&CK 攻击技术。带有 D3FEND 标识符的技能让 agent 能够针对检测到的威胁推荐具体的对抗措施。
NIST AI RMF 1.0 + GenAI Profile(AI 600-1)
AI 风险管理框架定义了 4 个核心功能——Govern、Map、Measure、Manage——包含 72 个子类别,用于可信 AI 开发。GenAI Profile(AI 600-1,2024 年 7 月)新增了 12 个风险类别,专门针对生成式 AI,从虚构内容、数据隐私到提示注入和供应链风险。科罗拉多州的 AI 法案(2026 年 2 月生效)为遵守 NIST AI RMF 的组织提供了法律安全港,使这些映射与监管合规直接相关。
兼容平台
AI 代码助手 Claude Code (Anthropic) · GitHub Copilot (Microsoft) · Cursor · Windsurf · Cline · Aider · Continue · Roo Code · Amazon Q Developer · Tabnine · Sourcegraph Cody · JetBrains AI
CLI agent OpenAI Codex CLI · Gemini CLI (Google)
自主 agent Devin · Replit Agent · SWE-agent · OpenHands
Agent 框架与 SDK LangChain · CrewAI · AutoGen · Semantic Kernel · Haystack · Vercel AI SDK · 任何兼容 MCP 的 agent
所有支持 agentskills.io 标准的平台都可以零配置加载这些技能。
用户评价
"一个真实、组织化的安全技能数据库,任何 AI agent 都可以接入并使用。不是教程。不是博客文章。" — Hasan Toor (@hasantoxr),AI/科技创作者
"这不是安全脚本的随机集合。它是一个为 AI 驱动的安全工作流设计的结构化运营知识库。" — fazal-sec,Medium
特色收录
| 位置 | 类型 | 链接 |
|---|---|---|
| awesome-agent-skills | Awesome 列表(1000+ 技能索引) | VoltAgent/awesome-agent-skills |
| awesome-ai-security | Awesome 列表(AI 安全工具) | ottosulin/awesome-ai-security |
| awesome-codex-cli | Awesome 列表(Codex CLI 资源) | RoggeOhta/awesome-codex-cli |
| SkillsLLM | 技能目录与市场 | skillsllm.com/skill/anthropic-cybersecurity-skills |
| Openflows | 信号分析与追踪 | openflows.org |
| NeverSight skills_feed | 自动化技能索引 | NeverSight/skills_feed |
Star 历史
版本发布
| 版本 | 日期 | 亮点 |
|---|---|---|
| v1.0.0 | 2026 年 3 月 11 日 | 734 个技能 · 26 个领域 · MITRE ATT&CK + NIST CSF 2.0 映射 · ATT&CK Navigator layer |
自 v1.0.0 以来,main 分支上的技能持续增长——该库现在包含 754 个技能,并具有 5 框架映射(MITRE ATLAS、D3FEND 和 NIST AI RMF 在发布后添加)。请查看 Releases 获取最新的标记版本。
贡献
本项目通过社区贡献发展壮大。以下是参与方式:
添加新技能——像欺骗技术(2 个技能)和合规与治理(5 个技能)这样的领域最需要帮助。请遵循 CONTRIBUTING.md 中的模板,并提交标题为 Add skill: your-skill-name 的 PR。
改进现有技能——添加框架映射、修复工作流、更新工具引用,或贡献脚本和模板。
报告问题——发现不准确的流程或损坏的脚本?提交 issue。
每个 PR 都会在 48 小时内接受技术准确性和 agentskills.io 标准合规性审查。查看 good first issues 作为起点。
本项目遵循 Contributor Covenant。参与即表示你同意遵守此行为准则。
社区
💬 Discussions — 问题、想法和路线图讨论 🐛 Issues — Bug 报告和功能请求 🔒 Security Policy — 负责任的披露流程(48 小时内确认)
引用
如果你在研究或出版物中使用本项目:
@software{anthropic_cybersecurity_skills,
author = {Jangra, Mahipal},
title = {Anthropic Cybersecurity Skills},
year = {2026},
url = {https://github.com/mukul975/Anthropic-Cybersecurity-Skills},
license = {Apache-2.0},
note = {754 structured cybersecurity skills for AI agents,
mapped to MITRE ATT\&CK, NIST CSF 2.0, MITRE ATLAS,
MITRE D3FEND, and NIST AI RMF}
}
许可证
本项目采用 Apache License 2.0 许可。你可以在个人和商业项目中自由使用、修改和分发这些技能。
如果本项目对你的安全工作有帮助,请考虑给它一个 ⭐
⭐ Star · 🍴 Fork · 💬 Discuss · 📝 Contribute
由 @mukul975 创建的社区项目。与 Anthropic PBC 无关。