jaskaranhundal/usap-skills

# usap-skills [USAP (Unified Security Agent Platform)](https://github.com/jaskaranhundal/usap) 的 66 个独立 LLM 技能包 + 5 个编排 Agent。 每个 `SKILL.md` 都是一个完整的 LLM 系统提示词。将其粘贴到 AnythingLLM、Ollama、ChatGPT、Claude 或任何 LLM 界面中，无需安装 USAP 即可使用。USAP 平台通过 git submodule 将这些包用作其 Agent 技能库。 ## 哪个 Agent 解决哪个问题？ ### 正在进行的活跃事件 | 情境 | 从这里开始 | 然后级联到 | |---|---|---| | 任何新的安全事件 | `incident-classification` | 路由到相应的专家 | | 已确认的活跃事件，需要指挥 | `incident-commander` | `forensics`, `containment-advisor` | | 需要遏制活跃威胁 | `containment-advisor` | MCP 执行层 | | 勒索软件或破坏性攻击 | `incident-commander` → `containment-advisor` | `forensics`, `compliance-mapping` | | 取证时间线和证据保管链 | `forensics` | `threat-intelligence`, `compliance-mapping` | ### 凭证和身份 | 情境 | Agent | |---|---| | 在代码或日志中发现 Secret/API key | `secrets-exposure` | | IAM 异常、权限提升、Root 使用 | `identity-access-risk` | | 异常用户行为、内部威胁指标 | `behavioral-analytics` | | 加解密密钥管理风险 | `cryptography-key-management` | ### 威胁和搜寻 | 情境 | Agent | |---|---| | 假设驱动的威胁搜寻 | `threat-hunting` | | IOC 丰富化和攻击者归因 | `threat-intelligence` | | 异常或行为偏差 | `behavioral-analytics` | | 活跃的网络入侵或横向移动 | `threat-hunting` → `incident-classification` | ### 漏洞和补丁 | 情境 | Agent | |---|---| | CVE 分类和优先级排序 | `vulnerability-management` | | 零日漏洞，无可用补丁 | `zero-day-response` | | 代码扫描 (SAST/DAST) 结果 | `sast-dast-coordinator` | | IaC 配置错误 | `iac-security` | | 云态势和漂移 | `cloud-security-posture` | | 依赖项和 SBOM 分析 | `supply-chain-risk` | ### 云和基础设施 | 情境 | Agent | |---|---| | AWS/Azure/GCP 配置错误扫描 | `cloud-security-posture` | | 公共攻击面测绘 | `attack-surface-management` | | 网络暴露和开放端口 | `network-exposure` | | 端点和 OS 安全 | `endpoint-os-security` | | OT/ICS/IoT 设备安全 | `ot-iot-device-security` | | 构建管道完整性 | `build-integrity` | ### 检测和工程 | 情境 | Agent | |---|---| | 为新的 TTP 编写检测规则 | `detection-engineering` | | 评估遥测数据质量 | `telemetry-signal-quality` | | 持续自动化渗透测试结果 | `continuous-pentesting` | | AI/LLM Agent 完整性和提示词注入 | `agent-integrity-monitor` | ### 架构和设计 | 情境 | Agent | |---|---| | 对新系统或功能进行威胁建模 | `risk-threat-modeling` | | 安全架构审查 | `security-architecture` | | AI 系统伦理和治理 | `ai-ethics-governance` | | AI Agent 安全评估 | `ai-agent-security` | ### 合规和治理 | 情境 | Agent | |---|---| | 将发现映射到合规框架 | `compliance-mapping` | | 跟踪监管动态变化 | `regulatory-horizon` | | 内部审计和 SOC 2 证据 | `internal-audit-assurance` | | 新功能的隐私 DPIA | `privacy-dpia` | | 安全策略和控制评估 | `security-policy-control` | | 网络保险风险输入 | `cyber-insurance` | | 量子加密就绪情况 | `quantum-security-readiness` | ### 供应链和第三方 | 情境 | Agent | |---|---| | 依赖项和包风险 | `supply-chain-risk` | | 供应链攻击模拟 | `supply-chain-simulation` | | 供应商和第三方风险评估 | `third-party-vendor-risk` | ### 红队和对手模拟 | 情境 | Agent | |---|---| | 红队战役规划 | `red-team-planner` | | 红队执行和 Kill Chain | `red-team-operations` | | 安全、限定范围的漏洞利用 | `safe-exploitation` | | 攻击路径分析 | `attack-path-analysis` | | 安全研究和漏洞发现 | `security-research` | ### 运营和报告 | 情境 | Agent | |---|---| | 跟踪和分类安全发现 | `findings-tracker` | | 安全指标和 KPI 报告 | `metrics-reporting` | | 知识库和经验教训 | `knowledge-management` | | 安全意识和培训 | `security-awareness` | | 编排多 Agent 工作流 | `orchestrator` | ## 编排 Agent (Orchestrator Agents) 5 个 `cs-*` Agent，将多个技能协调为特定角色的工作流： | Agent | 领域 | 编排的技能 | 描述 | |---|---|---|---| | [`cs-security-analyst`](agents/security/cs-security-analyst.md) | Security | threat-hunting, behavioral-analytics, secrets-exposure, incident-classification, telemetry-signal-quality | L2 SOC 分析师 — 告警分类、威胁搜寻执行、入侵评估 | | [`cs-incident-responder`](agents/security/cs-incident-responder.md) | Security | incident-commander, incident-classification, containment-advisor, forensics, zero-day-response | 完整事件生命周期 — 分类、遏制、取证、事后审查 | | [`cs-red-teamer`](agents/security/cs-red-teamer.md) | Security | red-team-planner, red-team-operations, safe-exploitation, attack-path-analysis, continuous-pentesting | 进攻安全协调员 — 交战范围界定、攻击路径测绘、发现报告 | | [`cs-devsecops-engineer`](agents/devsecops/cs-devsecops-engineer.md) | DevSecOps | secure-sdlc, sast-dast-coordinator, devsecops-pipeline, build-integrity, supply-chain-risk, appsec-code-review, pipeline-security-scan | 安全融入管道工程师 — PR 把关、管道加固、SBOM 生成 | | [`cs-ciso-advisor`](agents/executive/cs-ciso-advisor.md) | Executive | enterprise-risk-assessment, compliance-mapping, metrics-reporting, security-posture-score, ciso-brief-generator, cyber-insurance | 高管顾问 — 董事会报告、风险态势审查、监管差距评估 | 有关 Agent 开发指南，请参阅 [`agents/CLAUDE.md`](agents/CLAUDE.md)。 ## 领域索引 | 领域 | 技能 | |---|---| | [Detection](domains/detection.md) | threat-hunting, secrets-exposure, behavioral-analytics, telemetry-signal-quality, network-exposure, attack-surface-management, threat-intelligence, deception-honeypot | | [Response](domains/response.md) | incident-commander, incident-classification, containment-advisor, forensics, zero-day-response, zero-day-response-governance | | [Risk & Compliance](domains/risk-compliance.md) | enterprise-risk-assessment, risk-threat-modeling, compliance-mapping, regulatory-horizon, privacy-dpia, cyber-insurance, internal-audit-assurance, security-posture-score | | [Cloud & Infra](domains/cloud-infra.md) | cloud-security-posture, iac-security, endpoint-os-security, ot-iot-device-security, cloud-workload-protection | | [AppSec & DevSecOps](domains/appsec-devsecops.md) | secure-sdlc, sast-dast-coordinator, devsecops-pipeline, build-integrity, supply-chain-risk, supply-chain-simulation, appsec-code-review, pipeline-security-scan | | [Identity & Access](domains/identity-access.md) | identity-access-risk, data-security-classification, cryptography-key-management, insider-physical-risk | | [Red Team](domains/red-team.md) | red-team-operations, red-team-planner, safe-exploitation, continuous-pentesting, attack-path-analysis, ai-red-teaming | | [Governance](domains/governance.md) | security-architecture, security-policy-control, security-awareness, findings-tracker, vulnerability-management, metrics-reporting, security-posture-score, ciso-brief-generator | | [Platform & AI](domains/platform-ai.md) | orchestrator, tool-execution-broker, guardrail, agent-integrity-monitor, ai-agent-security, ai-ethics-governance, ai-red-teaming | ## 全部 66 个技能 | Slug | 级别 | 类别 | 描述 | |---|---|---|---| | `ai-red-teaming` | L4 | Red Team | AI/ML 系统的对抗测试：提示词注入、模型求逆、越狱检测 | | `agent-integrity-monitor` | L3 | Detection | 监控 AI Agent 输出是否存在完整性违规、提示词注入和操纵 | | `ai-agent-security` | L3 | Detection | AI/LLM Agent 的安全评估：输入验证、输出净化、信任边界 | | `ai-ethics-governance` | L2 | Governance | AI 系统部署的 AI 伦理审查、偏见评估和负责任的 AI 治理 | | `attack-path-analysis` | L3 | Analysis | 通过网络拓扑测绘攻击者横向移动路径以到达目标资产 | | `attack-surface-management` | L3 | Analysis | 发现和盘点面向公众的攻击面：域名、IP、端口、Web 资产 | | `behavioral-analytics` | L3 | Detection | UEBA：实体风险评分、内部威胁模式检测、账户接管识别 | | `build-integrity` | L3 | Detection | 验证软件构建管道完整性：制品签名、来源、可复现性 | | `cloud-security-posture` | L4 | Cloud | CSPM：针对 CIS Benchmarks 评估 AWS/Azure/GCP 态势，漂移检测，合规映射 | | `compliance-mapping` | L2 | Compliance | 将安全发现映射到监管框架：GDPR, PCI DSS, HIPAA, SOC 2, ISO 27001 | | `containment-advisor` | L3 | Response | 推荐 10 种威胁类型的遏制策略；评估影响范围和生产影响 | | `continuous-pentesting` | L3 | Testing | 解释并确定自动化持续渗透测试结果的优先级 | | `cryptography-key-management` | L3 | Identity | 评估加密密钥生命周期风险：弱算法、密钥轮换缺口、HSM 缺口 | | `cyber-insurance` | L2 | Governance | 根据事件场景和风险状况评估网络保险覆盖范围的充分性 | | `data-security-classification` | L3 | Data | 按敏感性对数据资产进行分类，映射到监管要求，推荐控制措施 | | `detection-engineering` | L3 | Detection | 使用 MITRE 映射设计并验证 Sigma、KQL、SPL、YARA 格式的 SIEM/EDR 检测规则 | | `devsecops-pipeline` | L3 | DevSecOps | CI/CD 管道的安全关卡评估：密钥扫描、SAST、DAST、SCA 集成 | | `endpoint-os-security` | L4 | Endpoint | 端点和 OS 安全评估：补丁状态、EDR 覆盖率、加固基线 | | `enterprise-risk-assessment` | L2 | Risk | 董事会级别的企业风险评估：风险聚合、热力图、风险偏好对齐 | | `findings-tracker` | L3 | Operations | 在整个漏洞生命周期中跟踪、分类、去重和老化安全发现 | | `forensics` | L3 | Response | 具有法律效力的数字取证：DFRWS 六阶段框架、证据保管链、驻留时间 | | `guardrail` | L3 | Governance | 对 Agent 输出强制执行 USAP 输出约定和意图分类防护 | | `iac-security` | L3 | DevSecOps | Infrastructure-as-Code (IaC) 安全分析：Terraform、CloudFormation、Kubernetes manifests | | `identity-access-risk` | L4 | Identity | IAM 异常检测、权限提升分析、CloudTrail 模式匹配（5 种模式） | | `incident-classification` | L3 | Response | 通用首次分类：将事件分为 14 种类型，分配严重性，识别误报 | | `incident-commander` | L2 | Response | 活跃事件指挥（ICS 模型）：SEV1-4 声明、响应轨道、监管截止日期 | | `insider-physical-risk` | L3 | Detection | 结合行为和物理指标的内部威胁物理安全风险评估 | | `internal-audit-assurance` | L2 | Compliance | 内部审计证据收集：SOC 2、ISO 27001、SOX IT 通用控制 | | `knowledge-management` | L2 | Operations | 安全知识库管理：经验教训、Runbook 质量、知识缺口识别 | | `metrics-reporting` | L2 | Reporting | 安全 KPI 和指标报告：MTTR、MTTD、补丁覆盖率、SLA 合规性 | | `network-exposure` | L3 | Network | 网络暴露评估：开放端口、防火墙规则分析、面向互联网的服务清单 | | `orchestrator` | L2 | Orchestration | 多 Agent 工作流编排：路由事件、排序 Agent、管理级联逻辑 | | `ot-iot-device-security` | L4 | OT/IoT | OT/ICS/IoT 设备安全：协议分析、固件评估、网络分段缺口 | | `privacy-dpia` | L2 | Compliance | 针对适用 GDPR 的功能和处理活动的数据保护影响评估 (DPIA) | | `quantum-security-readiness` | L2 | Risk | 后量子加密就绪情况：识别易受攻击的算法、迁移规划 | | `red-team-operations` | L3 | Red Team | Kill Chain 执行规划：OPSEC、C2 设计、横向移动、数据暂存（需要授权） | | `red-team-planner` | L3 | Red Team | 红队战役规划：目标、范围、RoE、阶段图、授权验证 | | `regulatory-horizon` | L2 | Compliance | 跟踪新兴监管要求及其安全控制影响 | | `risk-threat-modeling` | L1 | Risk | STRIDE/PASTA/LINDDUN 威胁建模：DFD、风险评分（可能性 × 影响）、MITRE 映射 | | `safe-exploitation` | L3 | Testing | 限定范围、安全的漏洞利用执行，具有最小足迹和强制性中止条件 | | `sast-dast-coordinator` | L3 | DevSecOps | 协调和解释 SAST、DAST 和 SCA 扫描结果；对发现进行去重 | | `secrets-exposure` | L4 | Detection | 凭证暴露分析：15 种密钥类型、熵评分、影响范围、攻击者时间线 | | `secure-sdlc` | L3 | DevSecOps | 安全软件开发生命周期：安全需求、设计审查、代码审查指南 | | `security-architecture` | L2 | Architecture | 安全架构审查：零信任评估、控制覆盖缺口、架构风险 | | `security-awareness` | L2 | Training | 安全意识计划评估：网络钓鱼模拟结果、培训有效性 | | `security-policy-control` | L2 | Governance | 安全策略充分性审查：针对框架的差距分析、控制有效性 | | `security-research` | L3 | Research | 漏洞研究和负责任的披露指导 | | `supply-chain-risk` | L3 | Risk | SBOM 分析、恶意包检测（5 个类别）、SLSA 构建完整性评估 | | `supply-chain-simulation` | L3 | Risk | 模拟供应链攻击场景以测试检测和响应能力 | | `telemetry-signal-quality` | L3 | Detection | 评估遥测数据质量、去重置信度、规范化错误、数据源健康状况 | | `third-party-vendor-risk` | L2 | Risk | 第三方和供应商风险评估：安全问卷、合同风险、SLA 缺口 | | `threat-hunting` | L3 | Detection | 假设驱动、IOC 驱动和异常驱动的威胁搜寻，包含 4 个内置 Playbook | | `threat-intelligence` | L3 | Intelligence | 威胁情报丰富化：IOC 分析、攻击者归因、TTP 映射 | | `tool-execution-broker` | L4 | Operations | 代理来自 Agent 的工具执行请求：范围验证、审批把关、执行日志记录 | | `vulnerability-management` | L3 | Vulnerability | 完整的漏洞生命周期：CVSS v3.1 + EPSS 评分、基于 SLA 的优先级排序、修复跟踪 | | `zero-day-response` | L3 | Response | 零日漏洞补偿控制：暴露评分、5 种控制选项、供应商时间线跟踪 | | `zero-day-response-governance` | L2 | Governance | 零日事件的董事会/高管协调：沟通矩阵、监管截止日期 | | `ai-red-teaming` | L4 | Red Team | AI/ML 系统的对抗测试：提示词注入、模型求逆、越狱检测 | | `cloud-workload-protection` | L4 | Cloud | 容器和 Serverless 运行时安全：异常检测、逃逸检测、CWPP 缺口分析 | | `appsec-code-review` | L4 | AppSec | 专注于安全的静态代码分析：OWASP Top 10、逻辑缺陷、依赖审计 | | `security-posture-score` | L3 | Governance | 跨领域安全态势评分：将发现聚合为高管计分卡 | | `deception-honeypot` | L4 | Detection | 欺骗技术策略：蜜罐放置、Canary Token 部署、横向移动陷阱 | | `code-reviewer` | L4 | Engineering | PR 审查助手：架构、性能、安全和测试覆盖率分析 | | `architecture-advisor` | L3 | Engineering | 系统设计顾问：ADR 生成、权衡分析、可扩展性审查 | | `sre-runbook-advisor` | L3 | Platform | SRE Runbook 生成：SLO 燃尽率分析、Runbook 模板化、事后复盘促进 | | `pipeline-security-scan` | L4 | DevOps | CI/CD 管道安全扫描：环境变量中的密钥、SAST 集成、制品签名检查 | | `ciso-brief-generator` | L2 | Executive | 生成 CISO 级别的安全简报：风险态势摘要、面向董事会的叙述 | ## 独立使用（无需 USAP） 将任何 `SKILL.md` 作为系统提示词粘贴到您的 LLM 中，然后将安全事件作为用户消息发送。 ``` # 查看 SKILL.md cat secrets-exposure/SKILL.md # 最小用户消息结构 { "event_type": "secret_exposure", "severity": "critical", "raw_payload": { "file_path": "config/prod.env", "matched_pattern": "aws_access_key", "branch": "main" } } ``` LLM 将返回一个结构化的 JSON 建议，包含 `action`、`rationale`、`intent_type`、`confidence`、`key_findings`、`evidence_references` 和 `timestamp_utc`。 ## 配合 USAP 使用 此仓库是 USAP 平台中默认的 `skills/` submodule。 ``` # Clone USAP 及所有公开 skills git clone --recurse-submodules https://github.com/jaskaranhundal/usap.git # 添加私有 bug bounty skills： git submodule add https://github.com/jaskaranhundal/usap-bugbounty skills-bb echo "USAP_SKILLS_PATHS=./skills,./skills-bb" >> .env python3 -m usap.cli validate-agents # 63 agents valid ``` ## 技能包结构 ``` / SKILL.md # LLM system prompt + YAML frontmatter README.md # This file — what the agent does references/ workflow.md # Step-by-step analyst workflow *.md # Domain-specific reference documents assets/ templates/ output-template.json # Output schema template expected_outputs/ sample_output.json # Representative output example scripts/ _tool.py # CLI tool pre_analysis.py # Optional: deterministic pre-analysis ``` ## 共享工具 `shared/scripts/` 包含跨多个技能包使用的工具： | 脚本 | 描述 | |---|---| | `cvss_scorer.py` | CVSS v3.1 基础分计算器 — 无依赖 | | `bb_scope_enforcer.py` | Bug Bounty 范围强制执行 — 根据范围文件验证目标 | 有关用法，请参阅 [`shared/README.md`](shared/README.md)。 ## 贡献 要添加新 Agent，请向此仓库提交 PR。有关完整的编写指南，包括 Frontmatter 要求、SKILL.md 正文结构和质量标准，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 Apache 2.0 — 详见 [LICENSE](LICENSE)。

标签：AnythingLLM, ChatGPT, CISA项目, Claude, CVE, CVE检测, DAST, DevSecOps, DLL 劫持, DNS 反向解析, FTP漏洞扫描, GPT, Homebrew安装, HTTP/HTTPS抓包, IAM, Incident Response, LLM代理, LLM评估, Ollama, PE 加载器, Promptflow, SAST/DAST, USAP, 上游代理, 人工智能安全, 勒索软件, 合规性, 域环境安全, 大语言模型, 安全技能包, 安全编排, 态势感知, 恶意软件分析, 数字取证, 数字签名, 漏洞管理, 结构化查询, 网络安全, 自动化安全, 自动化脚本, 身份与访问管理, 逆向工具, 防御加固, 隐私保护, 零日漏洞