面向 AI Agent 的结构化网络安全技能知识库
这是一个专为 AI 编程与安全助手设计的结构化网络安全技能库,并不是传统的脚本合集或渗透测试工具包。项目包含 754 个可执行的安全技能,覆盖 26 个安全领域,每项技能都用 YAML 前置元数据和分步骤的 Markdown 工作流编码了资深分析师的决策逻辑。核心价值在于把从业者的隐性知识转化为 AI 能直接发现、加载和执行的标准化指令,让通用大模型在网络安全调查中具备专家级操作能力。所有技能都映射到了 MITRE ATT&CK、NIST CSF 2.0 等五大威胁与治理框架,适合希望将 AI 智能体引入安全运维、事件响应和威胁狩猎等一线工作的工程师和研究员。
Anthropic Cybersecurity Skills 是一个开源项目,提供了 754 个结构化的网络安全技能,专门设计给 AI agent 使用。这些技能覆盖 26 个安全领域,并映射到 MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、D3FEND 和 NIST AI RMF 五个行业框架。项目遵循 agentskills.io 开放标准,兼容 Claude Code、GitHub Copilot、Codex CLI、Cursor 等 26 个以上的 AI 平台。它不是另一个安全脚本合集或博客文章集合,而是一个 AI 可以直接理解、搜索和执行的知识库。
全球网络安全人才缺口在 2024 年达到 480 万(ISC2 数据)。AI agent 可以写代码、搜索网络,但缺乏资深分析师那种「在什么情况下用什么工具、先检查什么条件、按照什么步骤执行、如何验证结果」的结构化决策能力。现有的安全仓库提供的多是 payload 列表或漏洞利用代码,而不是一套可以被 agent 按需调用的作战手册。这个项目填补的正是这个空白:把从业者的实际工作流程编码成 agent 可读、可执行的技能。
每个技能都用一个标准目录组织,包含 SKILL.md(YAML 前置元数据 + Markdown 正文)、references/(框架映射与深层流程)、scripts/(辅助脚本)和 assets/(模板与清单)。前置元数据中只有约 30 token,agent 可以用一次扫描遍历全部 754 个技能的元数据来快速找到相关项;加载完整的工作流文本大约需要 500–2000 token。这种渐进式披露(progressive disclosure)设计让 agent 在上下文窗口内高效决策:先广撒网,再精读少数几个匹配的技能并逐步执行。
项目的特殊之处在于每个技能都同时映射到五个框架,而不是分别维护单独的分类。以 analyzing-network-traffic-of-malware 为例,它在 MITRE ATT&CK 下对应 T1071,在 NIST CSF 下对应 DE.CM,在 ATLAS 下对应 AML.T0047,在 D3FEND 下对应 D3-NTA,在 AI RMF 下对应 MEASURE-2.6。整个仓库对 MITRE ATT&CK v19.1 的 286 个技术实现 100% 覆盖,NIST CSF 2.0 的六个职能(Govern、Identify、Protect、Detect、Respond、Recover)也都有对应的技能。项目还附带 ATT&CK Navigator layer 文件,方便可视化覆盖情况。
使用方法极简:npx skills add mukul975/Anthropic-Cybersecurity-Skills 即可将全部技能安装到本地,或者直接 git clone 仓库。之后你的 AI agent(如 Claude Code、GitHub Copilot、Cursor 等)就能读到这些技能。仓库内附带攻击映射文件(mappings/)和 Casky.ai 的在线 Playground,可以零安装直接体验 agent 执行结构化安全任务的场景。
这个项目最适合需要快速为 AI agent 注入专业安全流程的场景:SOC 自动化、威胁狩猎、渗透测试、事件响应、DevSecOps 管道等。仓库目前覆盖了 26 个领域,但部分领域技能数仍然很少(例如欺骗技术只有 2 个,合规与治理只有 5 个),社区贡献的空间还很大。项目本身并不提供运行环境或测试靶场——它只是一个可以被 agent 消费的知识库。另外,项目与 Anthropic 公司无关,是一个社区项目,使用时需要自行验证技能中引用的工具和命令在当前环境中是否可用。