OpenTideHQ/AgentTide

GitHub: OpenTideHQ/AgentTide

面向检测工程的开源 Agent 技能框架,将检测工程师的平台经验和查询语言知识打包为可移植的 Agent Skills,让 AI 编程助手具备专业的检测规则编写能力。

Stars: 1 | Forks: 0

AgentTide logo # AgentTide _面向检测工程的开源 Agent 技能_
**AgentTide** 是 [OpenTide](https://github.com/OpenTideHQ) 系列的 Agent 框架层。它将检测工程师所掌握的操作性经验知识——平台特性、查询语言陷阱、Schema 约定、工作流规范——打包成可移植、版本可控的 **[Agent Skills](https://agentskills.io)**,任何兼容的 AI 编程 Agent 都可以按需加载。 如果说 **[CoreTide](https://github.com/OpenTideHQ/CoreTide)** 是引擎,**[ShareTide](https://github.com/OpenTideHQ/ShareTide)** 是共享内容语料库,那么 AgentTide 就是与你并肩工作的 Agent 的**共享大脑**。 ## 什么是 Agent Skills? [Agent Skills](https://agentskills.io) 是一个开放标准,旨在为 AI 编程 Agent 提供专业知识。一个技能(Skill)仅仅是一个包含 `SKILL.md` 文件的文件夹,该文件带有 YAML frontmatter(`name`、`description`)和 Markdown 指令,以及可选的 `references/`、`scripts/` 和 `assets/` 子目录。 ``` opentide-threat-vector/ ├── SKILL.md # Core instructions (loaded when activated) └── references/ └── Chaining-Patterns.md # Loaded on demand ``` **工作原理:** 1. **发现** — 在启动时,Agent 仅读取每个技能的 `name` 和 `description`(每个约 100 个 token)。这开销极低且始终开启。 2. **激活** — 当任务与技能的描述相匹配时,Agent 会将完整的 `SKILL.md` 正文加载到上下文中。 3. **执行** — Agent 遵循指令,仅在需要时加载参考文件或运行脚本。 这意味着您可以拥有数十个可用技能,而不会臃肿 Agent 的上下文窗口——它只会在需要的时候加载所需的内容。 ``` flowchart LR A[Scan skills] --> B{Match?} B -- Yes --> C[Load SKILL.md] B -- No --> D[Skip] C --> E[Execute] E --> F[Load refs if needed] F --> G[TVM · DOM · MDR] style G fill:#e94560,stroke:#e94560,color:#fff ``` ## AgentTide 包含哪些内容? ### 四大类别共 27 项技能 | 类别 | 技能数 | 涵盖范围 | |----------|--------|-----------------| | **OpenTide 内容创作** | 3 | TVM、DOM、MDR 对象生命周期——从情报接收到 Schema 有效的 YAML | | **检测工程实践** | 3 | 从 Hunting 到规则的转换、ABLE 假设框架、ATT&CK v19 映射 | | **语言与平台** | 14 | KQL、SPL、FQL/CQL、DVQL、Sigma/RHQL——以及针对 Sentinel、Defender for Endpoint、Splunk、CrowdStrike Falcon、Carbon Black Cloud、SentinelOne、HarfangLab、Entra ID、Okta、AWS、Azure、GCP 和 Windows Event Logs 的平台特定经验知识 | | **防御性内部机制** | 7 | Windows/Linux/macOS 内部机制、Active Directory、身份提供商、网络协议、电子邮件与协作 | 请参阅 [AGENTS.md 中的完整技能索引](AGENTS.md#skills-index-agenttideskills) 以获取带有描述的权威列表。 ### 统一的 `AGENTS.md` 仓库根目录下的单个 [`AGENTS.md`](https://agents.md/) 文件提供了所有 Agent 运行器使用的交叉指令——核心指令、OpenTide 框架要素、工作流指南、安全护栏以及技能索引。`AGENTS.md` 是一项用于指导编程 Agent 的[开放标准](https://agents.md/),被超过 6 万个开源项目使用,并受到 Codex、Cursor、Claude Code、Gemini CLI、VS Code/Copilot、Amp、Windsurf 等众多工具的支持。无需维护专有的文件名存根。 ## 安装 AgentTide 技能可与任何支持 [Agent Skills 规范](https://agentskills.io/specification) 的工具配合使用。跨框架的默认位置是您项目根目录下的 **`.agents/skills/`**——大多数兼容的 Agent 都会在该处自动发现技能。 请选择适合您工作流的方法: ### 选项 1 — 使用 `npx skills add` 的单行命令(最简单) 社区版 [`skills`](https://www.npmjs.com/package/skills) CLI 可以直接从 GitHub 将技能安装到 `.agents/skills/`: ``` npx skills add OpenTideHQ/AgentTide ``` 这会将技能目录复制到您的项目中。没有 git 历史记录,没有子模块——只有文件。需要 Node.js。 ### 选项 2 — 手动下载(无需工具) 从 GitHub 以 ZIP 格式下载仓库,并将 `skills/` 的内容复制到您的项目中: ``` # 下载并解压 curl -sL https://github.com/OpenTideHQ/AgentTide/archive/refs/heads/main.tar.gz | tar xz # 将 skills 复制到 cross-harness 默认位置 mkdir -p .agents/skills cp -r AgentTide-main/skills/* .agents/skills/ # (可选)复制 AGENTS.md entrypoint cp AgentTide-main/AGENTS.md . # 清理 rm -rf AgentTide-main ``` ### 选项 3 — Git submodule(保持同步) ``` git submodule add https://github.com/OpenTideHQ/AgentTide.git .agents/AgentTide ``` 这会将 AgentTide 固定到特定的 commit。使用 `git submodule update --remote` 进行更新。大多数 Agent 会自动发现子模块目录中的技能。 ### 选项 4 — Git clone 为同级目录(用于开发) ``` git clone https://github.com/OpenTideHQ/AgentTide.git ``` 当您希望为 AgentTide 做出贡献,或将其作为独立的参考资料与您的 OpenTide 内容仓库并存时,此方法非常有用。 ### 框架特定说明 所有主流 Agent——**VS Code/Copilot**、**Cursor**、**Claude Code**、**Codex**、**Gemini CLI**、**Junie**、**Amp**、**Kiro** 等——都会从 `.agents/skills/` 发现技能,并自动从项目根目录读取 `AGENTS.md`。如果您使用了上述任何安装方法,**则无需进行额外配置**。
框架特定文档链接 | Agent | 技能文档 | 备注 | |-------|------------|-------| | **VS Code / GitHub Copilot** | [Agent Skills](https://code.visualstudio.com/docs/copilot/customization/agent-skills) · [自定义指令](https://code.visualstudio.com/docs/copilot/customization/custom-instructions) | 自动读取 `.agents/skills/` 和 `AGENTS.md`。在 Agent 模式下输入 `/skills` 进行验证。 | | **Cursor** | [Skills](https://cursor.com/docs/context/skills) | 自动读取 `.agents/skills/` 和 `AGENTS.md`。 | | **Claude Code** | [Skills](https://code.claude.com/docs/en/skills) | 自动读取 `.agents/skills/`、`.claude/skills/` 和 `AGENTS.md`。 | | **OpenAI Codex** | [Skills](https://developers.openai.com/codex/skills/) | 自动读取 `AGENTS.md`。 | | **Gemini CLI** | [Skills](https://geminicli.com/docs/cli/skills/) | 自动读取 `.agents/skills/`。 | | **Junie (JetBrains)** | [Skills](https://junie.jetbrains.com/docs/agent-skills.html) | 自动读取 `.agents/skills/`。 | | **Amp** | [Skills](https://ampcode.com/manual#agent-skills) | 自动读取 `AGENTS.md`。 | | **Roo Code** | [Skills](https://docs.roocode.com/features/skills) | 自动读取 `.agents/skills/`。 | | **Kiro** | [Skills](https://kiro.dev/docs/skills/) | 自动读取 `.agents/skills/`。 | 如需查看兼容 Agent 的完整生态系统,请参阅 [Agent Skills 客户端展示](https://agentskills.io/clients)。
## 仓库布局 ``` AgentTide/ ├── AGENTS.md # Unified agent entrypoint ├── skills/ # Agent Skills directory │ ├── opentide-threat-vector/ │ │ └── SKILL.md │ ├── kusto-query-language/ │ │ ├── SKILL.md │ │ └── references/ │ │ ├── Best-Practices.md │ │ └── Hypothesis-Anti-Patterns.md │ ├── microsoft-sentinel/ │ │ ├── SKILL.md │ │ └── references/ │ │ └── Anti-Patterns.md │ └── ... # 27 skills total ├── LICENSE # EUPL 1.2 └── README.md ``` ## OpenTide 生态系统 AgentTide 是三层架构的一部分: | 层级 | 仓库 | 职责 | |-------|-----------|------| | **引擎** | [CoreTide](https://github.com/OpenTideHQ/CoreTide) | Schema 验证、对象索引、用于 detection-as-code 的 CI/CD 流水线 | | **内容** | [ShareTide](https://github.com/OpenTideHQ/ShareTide) | 社区共享的 `TLP:CLEAR` OpenTide 对象——威胁向量、检测目标、检测规则 | | **Agent 框架** | **AgentTide**(本仓库) | Agent Skills 和指令,教导 AI 助手如何创作、审查和运营检测内容 | ## 贡献 对框架的实质性更改——新技能、重构、影响 Schema 的编辑——将通过针对 `main` 分支的审查后的 pull request 进行合并。技能内容应基于真实的生产经验,而不是由 LLM 生成的泛泛之谈。 **想要贡献一项技能?** 1. 阅读 [Agent Skills 规范](https://agentskills.io/specification)和[最佳实践](https://agentskills.io/skill-creation/best-practices)。 2. 研究本仓库中现有的技能,了解对经验知识深度的期望。 3. 在 `skills/` 下创建一个包含 `SKILL.md` 的新目录,其中需包含 YAML frontmatter 和 Markdown 指令。 4. 提交一个 pull request,并清晰描述该技能涵盖的范围及原因。 **想要请求一项技能?** 请提交一个包含具体操作说明的 issue——供应商文档链接、真实的查询示例、已知的陷阱——以便我们将它们塑造成一项技能。 ## 许可证 基于 [欧盟公共许可证 v. 1.2](LICENSE) 发布——与整个 OpenTide 项目使用的许可证相同。
标签:AgentTide, AI智能体, AI编程助手, AMSI绕过, DLL 劫持, LLM提示词工程, MITM代理, OpenTide, SE关键词:AI安全智能体, SE关键词:自动化检测规则, SOC自动化, 大语言模型, 威胁向量, 威胁检测, 安全可观测性, 安全工作流, 安全知识库, 智能体技能, 版本控制, 网络安全, 防御加固, 隐私保护