mukul975/Anthropic-Cybersecurity-Skills 来源：https://github.com/mukul975/Anthropic-Cybersecurity-Skills

Anthropic 网络安全技能库

面向 AI 智能体的最大开源网络安全技能库

GARS-2026 调研 (https://mahipal.engineer/survey?utm_source=github_badge&utm_medium=readme&utm_campaign=gars2026)

许可证 · 技能 · 框架 · 领域 · 兼容平台

GitHub 星标 (https://github.com/mukul975/Anthropic-Cybersecurity-Skills/stargazers) · GitHub 复刻 (https://github.com/mukul975/Anthropic-Cybersecurity-Skills/network/members) · 最后提交 (https://github.com/mukul975/Anthropic-Cybersecurity-Skills/commits/main)

agentskills.io (https://agentskills.io) · 欢迎贡献

在线试用 (https://casky.ai/?utm_source=github&utm_medium=readme&utm_campaign=cohort_launch#waitlist) · Hermes Agent (https://github.com/NousResearch/hermes-agent)

754 个生产级网络安全技能 · 26 大安全领域 · 5 套框架映射 · 26+ 个 AI 平台

快速入门 · 更全面的技能 · 框架 · 兼容平台 · 参与贡献

⚠️ 社区项目 — 这是一个独立、由社区创建的项目。与 Anthropic PBC 无关。

让任意 AI 智能体拥有资深分析师级别的安全技能

初级分析师知道在可疑内存转储上运行哪个 Volatility3 插件，知道哪些 Sigma 规则能捕获 Kerberoasting 攻击，以及如何在三个云提供商之间界定云安全事件的范围。 但你的 AI 智能体做不到 — 除非你赋予它这些技能。

本仓库包含 754 个结构化的网络安全技能，覆盖 26 个安全领域，每个技能均遵循 agentskills.io (https://agentskills.io) 开放标准。每个技能都映射到 五套行业框架 — MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND 和 NIST AI RMF — 使其成为唯一具有统一跨框架覆盖的开源技能库。

克隆它，将你的 AI 智能体指向它，你的下一次安全调查将在几秒内获得专家级指导。

五大框架，统一技能库

没有其他开源技能库将每个技能都映射到所有五套框架。一个技能，五个合规复选框。

示例 — 一个技能同时映射所有五套框架：

快速入门

# 选项 1：npx（推荐）
npx skills add mukul975/Anthropic-Cybersecurity-Skills

# 选项 2：Git 克隆
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
cd Anthropic-Cybersecurity-Skills

立即与 Claude Code、GitHub Copilot、OpenAI Codex CLI、Cursor、Gemini CLI 以及任何兼容 agentskills.io (https://agentskills.io) 的平台协同工作。

🌍 GARS-2026 — 全球智能体 AI 就绪度调研

我正在主导一项全球学术研究，旨在衡量安全从业者、开发者和企业团队对智能体 AI（MCP 服务器、工具调用、治理、人在回路工作流）的实际准备程度。

如果你使用本仓库，你的回答将是非常有价值的数据点。

📋 参与调研（10 分钟）： 调研链接

• 60 道题 · 匿名 · 由 SRH Berlin 监督
• 你将获得 50 个 Casky 代币，用于抢先体验 casky.ai (https://casky.ai)
• 结果将以 CC-BY 4.0 协议开放获取

🚀 在线试玩

亲身体验 Casky.ai — 无需任何设置。

→ 在 Casky.ai 上启动 Playground (https://casky.ai/?utm_source=github&utm_medium=readme&utm_campaign=cohort_launch#waitlist)

Playground 让你能够：

• 针对真实目标进行实时网络安全技能练习
• 观察 AI 智能体实时执行结构化技能
• 交互式探索 MITRE ATT&CK 映射的工作流程
• 测试威胁狩猎、数字取证与事件响应（DFIR）和渗透测试场景

无需安装。无需配置。只需打开即可开始。

为什么需要这个技能库

2024 年全球网络安全人才缺口达到 480 万个未填补职位 (ISC2)。AI 智能体可以帮助缩小这一差距 — 但前提是它们拥有结构化的领域知识作为工作基础。

如今的智能体可以编写代码和搜索网页，但它们缺乏将通用大语言模型（LLM）转变为合格安全分析师所需的实战操作手册。

现有的安全工具仓库提供的是单词列表、攻击载荷或漏洞利用代码。没有哪一个能赋予 AI 智能体资深分析师所遵循的结构化决策工作流程：何时使用哪种技术、需要检查哪些前提条件、如何逐步执行以及如何验证结果。

这正是本项目要填补的空白。

Anthropic 网络安全技能库 并非脚本或清单的集合。它是一个 面向 AI 的知识库，从头开始为 agentskills.io 标准构建 — 用于亚秒级发现的 YAML 前置元数据、用于逐步执行的结构化 Markdown，以及提供深层技术上下文的参考文件。每个技能都编码了真实的从业者工作流程，而非生成的摘要。

更全面的技能 — 26 大安全领域

AI 智能体如何使用这些技能

每个技能扫描成本约为 30 个 token（仅前置元数据），完整加载（完整工作流程）需 500–2,000 个 token。这种渐进式信息架构使得智能体可以在一次遍历中搜索全部 754 个技能，而不会撑爆上下文窗口。

用户提示："分析这个内存转储，寻找凭据窃取的迹象"

智能体内部处理过程：
1. 扫描 754 个技能前置元数据（每个约 30 个 token）→ 通过匹配标签、描述和领域，识别出 12 个相关技能
2. 加载前 3 个最佳匹配：
   • performing-memory-forensics-with-volatility3
   • hunting-for-credential-dumping-lsass
   • analyzing-windows-event-logs-for-credential-access
3. 逐步执行结构化的“工作流程”部分 → 运行 Volatility3 插件，检查 LSASS 访问模式，与事件日志证据关联
4. 使用“验证”部分验证结果 → 确认 IOC，将发现映射到 ATT&CK T1003（凭据转储）

如果没有这些技能，智能体只能猜测工具命令并遗漏关键步骤。 有了它们，智能体将遵循资深 DFIR 分析师使用的同一套操作手册。

技能结构

每个技能遵循一致的目录结构：

skills/performing-memory-forensics-with-volatility3/
├── SKILL.md       ← 技能定义（YAML 前置元数据 + Markdown 正文）
├── references/
│   ├── standards.md   ← MITRE ATT&CK、ATLAS、D3FEND、NIST 映射
│   └── workflows.md   ← 深层技术流程参考
├── scripts/
│   └── process.py     ← 可用的辅助脚本
└── assets/
    └── template.md    ← 已填写的清单和报告模板

YAML 前置元数据（真实示例）

---
name: performing-memory-forensics-with-volatility3
description: >-
  使用 Volatility3 框架分析内存转储，提取运行中的进程、网络连接、注入代码和恶意软件工件。
domain: cybersecurity
subdomain: digital-forensics
tags: [forensics, memory-analysis, volatility3, incident-response, dfir]
atlas_techniques: [AML.T0047]
d3fend_techniques: [D3-MA, D3-PSMD]
nist_ai_rmf: [MEASURE-2.6]
nist_csf: [DE.CM-01, RS.AN-03]
version: "1.2"
author: mukul975
license: Apache-2.0
---

Markdown 正文部分

## 使用时机
触发条件 — AI 智能体应在何时激活此技能？

## 前提条件
所需工具、访问级别和环境设置。

## 工作流程
包含具体命令和决策点的逐步执行指南。

## 验证
如何确认技能已成功执行。

前置元数字段：name（kebab 命名，1–64 字符）、description（富含关键词以便智能体发现）、domain、subdomain、tags、atlas_techniques（MITRE ATLAS ID）、d3fend_techniques（MITRE D3FEND ID）、nist_ai_rmf（NIST AI RMF 引用）、nist_csf（NIST CSF 2.0 类别）。MITRE ATT&CK 技术映射记录在每个技能的 references/standards.md 文件中，以及随版本发布的 ATT&CK Navigator layer 文件中。

📊 MITRE ATT&CK 企业覆盖 — 全部 14 个战术

ATT&CK Navigator layer 文件 包含在 v1.0.0 版本发布资产中 (https://github.com/mukul975/Anthropic-Cybersecurity-Skills/releases/tag/v1.0.0)，用于可视化覆盖映射。

注意： ATT&CK v19 将于 2026 年 4 月 28 日发布 — 将防御规避 (TA0005) 拆分为两个新战术：隐秘 和 削弱防御。技能映射将在后续版本中更新。

📊 NIST CSF 2.0 对齐 — 全部 6 个功能

NIST CSF 2.0（2024 年 2 月）新增了 治理 功能，并将范围从关键基础设施扩展至所有组织。技能映射对齐全部 22 个类别，并引用 106 个子类别。

📊 框架深入剖析 — ATLAS、D3FEND、AI RMF

MITRE ATLAS v5.4 — AI/ML 对抗性威胁

ATLAS 专门针对 AI 和机器学习系统的对抗性战术、技术及案例研究进行映射。v5.4 版本涵盖 16 个战术和 84 个技术，包括 2025 年末新增的智能体 AI 攻击向量：AI 智能体上下文投毒、工具调用滥用、MCP 服务器入侵和恶意智能体部署。映射到 ATLAS 的技能帮助智能体识别和防御针对 ML 管道、模型权重、推理 API 和自主工作流的威胁。

MITRE D3FEND v1.3 — 防御性反制措施

D3FEND 是美国国家安全局资助的知识图谱，包含 267 种防御技术，按 7 个战术类别组织：建模、加固、检测、隔离、欺骗、驱逐和恢复。基于 OWL 2 本体构建，它使用共享的数字工件层将防御性反制措施与 ATT&CK 攻击技术进行双向映射。带有 D3FEND 标识符的技能让智能体能够针对检测到的威胁推荐特定的反制措施。

NIST AI RMF 1.0 + 生成式 AI Profile (AI 600-1)

AI 风险管理框架定义了 4 个核心功能 — 治理、映射、衡量、管理 — 以及 72 个子类别，用于可信 AI 开发。生成式 AI Profile (AI 600-1，2024 年 7 月) 新增了 12 个风险类别，专门针对生成式 AI，涵盖从幻觉、数据隐私到提示注入和供应链风险。科罗拉多州 AI 法案（2026 年 2 月生效）为符合 NIST AI RMF 的组织提供了 法律责任避风港，这使得这些映射与监管合规直接相关。

兼容平台

AI 代码助手 Claude Code (Anthropic) · GitHub Copilot (Microsoft) · Cursor · Windsurf · Cline · Aider · Continue · Roo Code · Amazon Q Developer · Tabnine · Sourcegraph Cody · JetBrains AI

CLI 智能体 OpenAI Codex CLI · Gemini CLI (Google)

自主智能体 Devin · Replit Agent · SWE-agent · OpenHands

智能体框架与 SDK LangChain · CrewAI · AutoGen · Semantic Kernel · Haystack · Vercel AI SDK · 任何兼容 MCP 的智能体

所有支持 agentskills.io (https://agentskills.io) 标准的平台均可零配置加载这些技能。

用户评价

“一个真实、组织化的安全技能数据库，任何 AI 智能体都可接入并使用。不是教程，不是博客文章。” —