Anthropic 开源最大网络安全技能库:754 项技能覆盖 26 领域,助 AI 智能体成安全专家
Anthropic 网络安全技能库:面向 AI 智能体的最大开源网络安全技能库
拥有 754 项生产级网络安全技能,涵盖 26 个安全领域、5 种框架映射以及 26 个以上 AI 平台。
赋予任何 AI 智能体资深分析师的安全技能
初级分析师知道在可疑的内存转储中运行哪个 Volatility3 插件,哪些 Sigma 规则可以检测 Kerberoasting 攻击,以及如何对三个云服务提供商的云安全漏洞进行范围界定。但你的 AI 智能体却不具备这些能力,除非你为它赋予这些技能。
这个代码库包含 754 项结构化的网络安全技能,覆盖 26 个安全领域,每项技能都遵循 agentskills.io 开放标准。所有技能都与五个行业框架进行了映射,包括 MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND 和 NIST AI RMF,使其成为唯一具有统一跨框架覆盖能力的开源技能库。克隆该代码库,让你的智能体指向它,你就能在几秒钟内获得专家级的安全调查指导。
五大框架,一个技能库
没有其他开源技能库能将每项技能都映射到这五个框架。一项技能,满足五项合规检查。
例如,一项技能可跨五个框架进行映射:
| 技能 | ATT&CK | NIST CSF | ATLAS | D3FEND | AI RMF |
|---|---|---|---|---|---|
| analyzing - network - traffic - of - malware | T1071 | DE.CM | AML.T0047 | D3 - NTA | MEASURE - 2.6 |
快速开始
选项 1:npx(推荐)
npx skills add mukul975/Anthropic - Cybersecurity - Skills选项 2:Git 克隆
git clone https://github.com/mukul975/Anthropic - Cybersecurity - Skills.git
cd Anthropic - Cybersecurity - Skills该技能库可立即与 Claude Code、GitHub Copilot、OpenAI Codex CLI、Cursor、Gemini CLI 以及任何支持 agentskills.io 标准的平台配合使用。
全球智能体 AI 就绪度调查(GARS - 2026)
正在开展一项全球学术研究,旨在衡量安全专业人员、开发人员和企业团队对智能体 AI 的实际准备情况,包括 MCP 服务器、工具调用、治理和人工参与的工作流程。如果你使用了这个代码库,你的反馈将是非常有价值的数据点。
参与调查(需 10 分钟):共 60 个问题,匿名参与,由柏林 SRH 大学监督。你将获得 50 个 Casky Tokens,可提前访问 casky.ai。调查结果将根据 CC - BY 4.0 许可进行开放获取发布。
在 playground 上体验
无需设置,即可亲身体验 casky.ai。点击启动 casky.ai 的 playground,在 playground 中,你可以:
- 针对真实目标进行实时网络安全技能练习。
- 实时查看 AI 智能体执行结构化技能的过程。
- 交互式探索与 MITRE ATT&CK 映射的工作流程。
- 测试威胁狩猎、数字取证与响应(DFIR)以及渗透测试场景。
无需安装,无需配置,打开即可开始。
项目存在的原因
2024 年,全球网络安全人才缺口达到 480 万个职位(ISC2 数据)。AI 智能体可以帮助缩小这一缺口,但前提是它们具备结构化的领域知识。如今的智能体可以编写代码和搜索网络,但缺乏将通用大语言模型(LLM)转变为合格安全分析师所需的实践手册。现有的安全工具代码库提供的是单词列表、有效负载或漏洞利用代码,没有一个能为 AI 智能体提供资深分析师遵循的结构化决策工作流程,包括何时使用每种技术、检查哪些先决条件、如何逐步执行以及如何验证结果。而本项目正是为了填补这一空白。
Anthropic 网络安全技能库并非脚本或清单的集合,而是一个基于 agentskills.io 标准从头构建的 AI 原生知识库。它采用 YAML 元数据实现亚秒级发现,使用结构化 Markdown 进行逐步执行,并提供参考文件以提供深入的技术背景。每项技能都编码了实际的实践工作流程,而非生成的摘要。
技能库涵盖的 26 个安全领域
| 领域 | 技能数量 | 关键能力 |
|---|---|---|
| 云安全 | 60 | AWS、Azure、GCP 加固 · 云安全态势管理(CSPM) · 云取证 |
| 威胁狩猎 | 55 | 基于假设的狩猎 · 异常行为检测 · 行为分析 |
| 威胁情报 | 50 | STIX/TAXII · MISP · 情报源集成 · 攻击者画像 |
| Web 应用程序安全 | 42 | OWASP 十大漏洞 · SQL 注入 · XSS · SSRF · 反序列化 |
| 网络安全 | 40 | 入侵检测系统(IDS)/入侵防御系统(IPS) · 防火墙规则 · VLAN 分段 · 流量分析 |
| 恶意软件分析 | 39 | 静态/动态分析 · 逆向工程 · 沙箱技术 |
| 数字取证 | 37 | 磁盘镜像 · 内存取证 · 时间线重建 |
| 安全运营 | 36 | 安全信息与事件管理(SIEM)关联 · 日志分析 · 警报分类 |
| 身份与访问管理 | 35 | IAM 策略 · 特权访问管理(PAM) · 零信任身份 · Okta · SailPoint |
| 安全运营中心(SOC)运营 | 33 | 操作手册 · 升级工作流程 · 指标 · 桌面演练 |
| 容器安全 | 30 | Kubernetes(K8s)基于角色的访问控制(RBAC) · 镜像扫描 · Falco · 容器取证 |
| 工业物联网/工业控制系统(OT/ICS)安全 | 28 | Modbus · DNP3 · IEC 62443 · 历史数据防御 · SCADA |
| API 安全 | 28 | GraphQL · REST · OWASP API 十大漏洞 · Web 应用防火墙(WAF)绕过 |
| 漏洞管理 | 25 | Nessus · 扫描工作流程 · 补丁优先级排序 · 通用漏洞评分系统(CVSS) |
| 事件响应 | 25 | 漏洞遏制 · 勒索软件响应 · 事件响应操作手册 |
| 红队攻击 | 24 | 全范围攻击 · 活动目录(AD)攻击 · 钓鱼模拟 |
| 渗透测试 | 23 | 网络 · Web · 云 · 移动 · 无线渗透测试 |
| 端点安全 | 17 | 端点检测与响应(EDR) · 异常行为检测 · 无文件恶意软件 · 持久化攻击狩猎 |
| 开发安全运维(DevSecOps) | 17 | 持续集成/持续部署(CI/CD)安全 · 代码签名 · Terraform 审计 |
| 钓鱼防御 | 16 | 电子邮件认证 · 商业电子邮件诈骗(BEC)检测 · 钓鱼事件响应 |
| 密码学 | 14 | TLS · Ed25519 · 证书透明度 · 密钥管理 |
| 零信任架构 | 13 | BeyondCorp · CISA 成熟度模型 · 微分段 |
| 移动安全 | 12 | 安卓/iOS 分析 · 移动渗透测试 · 移动设备管理(MDM)取证 |
| 勒索软件防御 | 7 | 先兆检测 · 响应 · 恢复 · 加密分析 |
| 合规与治理 | 5 | CIS 基准 · SOC 2 · 监管框架 |
| 欺骗技术 | 2 | 蜜罐令牌 · 漏洞检测金丝雀 |
AI 智能体如何使用这些技能
每项技能扫描元数据(仅元数据)大约需要 30 个令牌,完全加载(完整工作流程)需要 500 - 2000 个令牌。这种渐进式披露架构使智能体能够在一次扫描中搜索所有 754 项技能,而不会超出上下文窗口。
用户提示:“分析此内存转储,查找凭证盗窃的迹象”
智能体的内部处理过程:
- 扫描 754 项技能的元数据(每项约 30 个令牌),通过匹配标签、描述和领域,识别出 12 项相关技能。
- 加载前 3 个匹配项:
- performing - memory - forensics - with - volatility3
- hunting - for - credential - dumping - lsass
- analyzing - windows - event - logs - for - credential - access
- 逐步执行结构化的工作流程部分,运行 Volatility3 插件,检查 LSASS 访问模式,并与事件日志证据进行关联。
- 使用验证部分验证结果,确认指示符(IOCs),并将发现映射到 ATT&CK T1003(凭证转储)。
如果没有这些技能,智能体只能猜测工具命令,并且会错过关键步骤。有了这些技能,它就能遵循资深 DFIR 分析师使用的相同操作手册。
技能结构
每项技能都遵循一致的目录结构:
skills/performing - memory - forensics - with - volatility3/
├── SKILL.md ← 技能定义(YAML 元数据 + Markdown 正文)
├── references/
│ ├── standards.md ← MITRE ATT&CK、ATLAS、D3FEND、NIST 映射
│ └── workflows.md ← 深入的技术流程参考
├── scripts/
│ └── process.py ← 辅助脚本
└── assets/
└── template.md ← 填充后的清单和报告模板YAML 元数据示例
---
name: performing - memory - forensics - with - volatility3
description: > -
Analyze memory dumps to extract running processes, network connections, injected code, and malware artifacts using the Volatility3 framework.
domain: cybersecurity
subdomain: digital - forensics
tags: [forensics, memory - analysis, volatility3, incident - response, dfir]
atlas_techniques: [AML.T