网络安全圈炸了：有人把754个专业技能喂给了AI

前几天逛GitHub，刷到一个让人眼前一亮的项目。

一个叫mukul975的开发者，搞了个Anthropic-Cybersecurity-Skills仓库，一口气开源了754个网络安全技能，专门给AI代理用。

这不是普通的工具合集，而是把安全领域几十年积累的专业知识，拆解成AI能直接理解和执行的”技能包”。

4500多Star，近500个Fork，这热度在安全圈算相当能打了。

---

这玩意儿到底是个啥？

简单说，就是把网络安全专家的”手艺”标准化了。

以前你让AI帮你做个内存取证分析，它可能给你一堆理论废话。现在有了这个技能库，AI能直接调用analyzing-memory-dumps-with-volatility这个技能，按照专业流程一步步执行：

• 先识别内存镜像的操作系统版本
• 枚举所有运行进程，揪出可疑的
• 检测恶意代码注入
• 分析网络连接
• 提取凭证和敏感数据
• 用YARA规则扫描已知恶意软件
• 生成完整的时间线和报告

每一步都有具体的命令、参数、输出格式，甚至还有常见陷阱的提醒。

---

26个安全领域全覆盖

看了一眼目录，覆盖面相当广：

领域	技能数	典型技能
云安全	48	AWS S3存储桶审计、Azure AD配置检查
威胁情报	43	APT组织分析、暗网监控
Web应用安全	41	HTTP请求走私、XSS攻击、缓存投毒
威胁狩猎	35	凭证转储检测、DNS隧道检测
恶意软件分析	34	Cobalt Strike配置提取、Ghidra逆向
数字取证	34	磁盘镜像、内存取证、浏览器取证
SOC运营	33	Windows事件日志分析、Splunk检测规则
红队演练	24	Sliver C2框架、BloodHound AD分析
容器安全	26	Trivy镜像扫描、Falco运行时检测
零信任架构	17	HashiCorp Boundary、Zscaler ZTNA

还有API安全、移动安全、工控安全、勒索软件防御等，基本上你能想到的安全场景都有覆盖。

---

一个技能长啥样？

以内存取证技能为例，它的结构是这样的：

YAML元数据：告诉AI这个技能是干嘛的、属于哪个领域、关联哪些MITRE ATT&CK技术编号。

When to Use：明确告诉AI什么时候该用这个技能——比如检测无文件恶意软件、提取内存中的加密密钥、分析进程注入。

Prerequisites：需要什么工具和环境——Volatility 3、内存镜像文件、符号表、YARA规则。

Workflow：7个步骤的完整工作流，每一步都有真实可执行的命令：

# 列出所有进程
vol3 -f memory.dmp windows.pslist

# 检测隐藏进程（rootkit检测）
vol3 -f memory.dmp windows.psscan

# 检测代码注入
vol3 -f memory.dmp windows.malfind

# 提取凭证
vol3 -f memory.dmp windows.hashdump

Key Concepts：解释专业术语——什么是进程镂空、什么是VAD、什么是池标签扫描。

Common Scenarios：真实场景案例——比如EDR报警后如何做内存取证，有哪些坑要避开。

Output Format：标准化的报告模板，包含可疑进程列表、注入检测结果、网络连接、提取的凭证、YARA匹配、时间线。

---

为什么这事儿有意思？

第一，它解决了一个痛点。

安全工具那么多，每个工具都有一堆命令和参数。就算是老手，也不可能把所有工具的用法都记住。有了这个技能库，AI就变成了一个”随身安全专家”，能根据场景自动选择合适的工具和命令。

第二，它把经验变成了可复用的资产。

每个技能里都有”Common Scenarios”和”Pitfalls”部分，这是真正的实战经验。比如内存取证技能里提醒：

别用错符号表，会导致插件失败或结果错误 别只看pslist，要和psscan对比才能发现rootkit隐藏的进程 别只关注进程名，合法进程也可能被注入恶意代码

这些坑，新手踩一遍可能要花好几天。

第三，它遵循开放标准。

项目采用agentskills.io开放标准，这意味着不绑定任何特定平台。Claude Code、GitHub Copilot、OpenAI Codex CLI、Cursor、Gemini CLI……只要是能读Markdown的AI工具，都能用。

第四，它映射到五大安全框架。

每个技能都关联了MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、D3FEND、NIST AI RMF的编号。这对于做合规、写报告、做威胁建模的人来说，简直是福音。

---

怎么用？

如果你用Claude Code，一条命令就能装上：

/plugin marketplace add mukul975/Anthropic-Cybersecurity-Skills

或者直接克隆：

git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills .skills/cybersecurity

然后你就可以问AI：

“帮我分析这个内存镜像，看看有没有被注入恶意代码”

“用MITRE ATT&CK框架分析APT29的攻击手法”

“帮我审计这个AWS S3存储桶的权限配置”

AI会自动匹配相关技能，按照专业流程执行。

---

项目还在持续更新

看提交记录，项目最近还在活跃更新。4月份刚给所有754个技能添加了NIST CSF 2.0映射字段。

社区贡献者也在不断增加新技能。贡献流程也很规范：创建技能目录、写SKILL.md、添加参考文档和脚本、提交PR。

项目采用Apache 2.0协议，商用也没问题。

---

几点思考

这个项目让我想到了一个问题：AI时代，专业知识该怎么传承？

传统的方式是写书、写博客、做培训。但这些东西对AI来说不够友好——格式不统一、结构不清晰、缺乏可执行性。

这个项目提供了一种新思路：把专业知识拆解成结构化的”技能”，让AI能直接理解、选择、执行。

对于安全从业者来说，这意味着：

• 新人上手更快，有AI手把手教
• 老手效率更高，不用反复查文档
• 团队知识能沉淀，不再只存在脑子里

当然，AI执行安全操作也有风险。这东西用好了是助手，用不好可能变成”自动化翻车工具”。项目里也明确说了，每个技能都需要人工验证结果。

---

最后

如果你是安全从业者，这个项目值得收藏。就算不用AI，光看这些技能的结构和内容，也能学到不少东西。

项目地址：github.com/mukul975/Anthropic-Cybersecurity-Skills

有兴趣的可以去看看，说不定能找到你一直想学但没时间学的技能。

来源，知白守黑

---

本文仅作技术分享，请遵守相关法律法规，不得用于非法用途。