Anthropic Cybersecurity Skills：面向AI代理的817项结构化网络安全技能库

这是什么

mukul975/Anthropic-Cybersecurity-Skills 是一个基于 agentskills.io 开放标准的开源网络安全技能库，主语言为 Python。该项目由社区独立创建，并非 Anthropic PBC 的官方项目，但旨在为 AI 代理（AI Agents）提供结构化的网络安全专业知识。

目前该项目包含 817 个生产级网络安全技能，覆盖 29 个安全领域，并映射到 6 个主流行业框架，支持包括 Claude Code、GitHub Copilot、OpenAI Codex CLI、Cursor、Gemini CLI 等在内的 26+ AI 平台。

其核心理念是将资深安全分析师的决策流程、执行步骤和验证方法转化为机器可读的结构化数据，使 AI 代理能够像初级分析师一样，快速定位并执行专业的安全操作（如内存取证、Kerberoasting 检测、云环境漏洞排查等）。

解决的问题

当前网络安全领域面临两大核心痛点，该项目旨在填补这些空白：

1. AI 代理缺乏领域专业知识（Domain Knowledge）： 现有的通用 LLM 和 AI 代理虽然具备代码生成和网页搜索能力，但缺乏安全从业人员专用的“剧本”（Playbooks）。在面对内存转储分析、云入侵范围界定或复杂漏洞利用时，代理往往只能猜测工具命令，容易遗漏关键步骤或产生误判。

2. 安全人才缺口巨大： 根据 ISC2 数据，2024 年全球网络安全岗位缺口达 480 万个。虽然 AI 代理有望缓解这一缺口，但如果它们没有结构化的领域知识作为工作基础，就无法从通用的 LLM 转化为具备实战能力的“安全分析师”。

3. 现有工具库的非结构化缺陷： 大多数现有的安全开源仓库仅提供词表（Wordlists）、Payload 或漏洞利用代码。这些资源缺乏决策逻辑（何时使用、前置条件检查、逐步执行指南、结果验证），无法直接驱动 AI 代理进行自动化推理和操作。

核心功能

该项目通过标准化的目录结构和数据格式，实现了技能的模块化与自动化集成：

• 结构化技能定义： 每个技能遵循统一的目录结构，包含：

  • SKILL.md：定义技能元数据（YAML frontmatter）和执行步骤（Markdown body）。
  • references/：包含技术标准映射（如 MITRE ATT&CK, NIST CSF）和深层技术参考。
  • scripts/：包含可执行的辅助脚本（如 Python 脚本）。
  • assets/：包含检查清单和报告模板。

• 渐进式披露架构（Progressive Disclosure）： 为了优化上下文窗口（Context Window）的使用，技能设计采用了分层加载机制：

  • 扫描阶段：仅扫描 YAML frontmatter，每个技能约消耗 30 tokens。
  • 加载阶段：加载完整工作流，每个技能约消耗 500–2,000 tokens。 这种设计允许代理在一次遍历中搜索全部 817 个技能，而不会耗尽上下文限制。

• 多框架统一映射： 每个技能都映射到以下 6 个行业框架，实现合规性检查和技术溯源：

  1. MITRE ATT&CK (v19.1)
  2. NIST CSF 2.0
  3. MITRE ATLAS
  4. MITRE D3FEND
  5. NIST AI RMF
  6. MITRE Fight Fraud Framework (F3)

• 标准化执行工作流： 每个技能内部包含明确的章节：

  • When to Use：触发条件。
  • Prerequisites：所需工具、权限和环境配置。
  • Workflow：逐步执行指南，包含具体命令和决策点。
  • Verification：如何确认执行成功及结果验证方法。

亮点 / 与同类相比

• 唯一的跨框架全覆盖： 这是目前唯一提供统一跨框架覆盖的开源技能库。一个技能对应六个合规性检查点（Compliance Checkboxes）。例如，MITRE Fight Fraud Framework (F3) 是 2026 年 4 月由 MITRE CTID 联合多家金融机构发布的，专门针对网络金融欺诈，填补了 ATT&CK 在初始入侵后的空白。该项目已验证并映射了所有 123 个 F3 v1.1 技术 ID。

• AI 原生设计（AI-Native）： 不同于传统的脚本集合，该项目从底层构建于 agentskills.io 标准之上。YAML frontmatter 支持亚秒级发现，结构化 Markdown 支持逐步执行，参考文件提供深层技术背景。它编码的是真实的从业者工作流，而非生成的摘要。

• 零废弃 ID 验证： 所有技能中的 MITRE ATT&CK 技术 ID 均使用 mitreattack-python 库针对 v19.1（最新版本）进行验证，确保 286 个 distinct techniques 均有效，无撤销或废弃 ID。

• 示例：内存取证技能： 当用户提示“分析此内存转储以查找凭证窃取迹象”时，代理内部流程如下：

  1. 扫描 817 个技能的 frontmatter（约 30 tokens/个）。
  2. 通过标签、描述和领域匹配，识别出 12 个相关技能。
  3. 加载前 3 个匹配技能（如 performing-memory-forensics-with-volatility3）。
  4. 按步骤执行工作流（运行 Volatility3 插件、检查 LSASS 访问模式、关联事件日志证据）。
  5. 使用验证部分确认 IOC 并将发现映射到 ATT&CK T1003（凭证转储）。 相比之下，没有这些技能的代理会盲目猜测命令，导致关键步骤遗漏。

适合谁用 / 上手

适合人群：

• 安全研究人员与 DFIR 分析师：希望利用 AI 加速内存取证、威胁狩猎和渗透测试流程的专业人士。
• 开发者与安全工程师：希望将安全能力集成到 CI/CD 或自动化工作流中的团队。
• AI 代理开发者：需要为 MCP 服务器、工具调用（Tool Calling）或人机协同工作流提供结构化领域知识的工程师。

上手方式：

1. 直接集成（推荐）： 使用 npx 命令将技能库添加到支持 agentskills.io 的平台：

   npx skills add mukul975/Anthropic-Cybersecurity-Skills
   

2. 手动克隆：

   git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
   cd Anthropic-Cybersecurity-Skills
   

3. 兼容性： 该项目立即兼容以下平台：

   • Claude Code
   • GitHub Copilot
   • OpenAI Codex CLI
   • Cursor
   • Gemini CLI
   • 任何兼容 agentskills.io 的平台

注意事项：

• 法律合规：该项目包含进攻性和双重用途技术（如红队 C2、钓鱼模拟、漏洞利用），仅限用于授权渗透测试、安全研究、防御和教育。必须对拥有所有权或获得明确书面许可的系统进行操作，并遵守所有适用法律。
• 社区项目：这是独立社区项目，不与 Anthropic PBC 关联。