GitHub 用户 mukul975 把一个名为 Anthropic-Cybersecurity-Skills 的仓库挂上去,定位是”给 AI 安全防护用的技能库”。仓库的写法用的是 Anthropic 在 2024 年底推开的 Skills 机制——把一组相关的能力打包成一个目录,目录里放 prompt、工具调用配置、参考资料,让 Claude 这类模型可以按场景调用。这次仓库专门做了五个常见安全框架的对齐:MITRE ATT&CK、NIST CSF、CIS Controls、ISO 27001、OWASP Top 10。
Anthropic Skills 机制本身值得说一说
Skills 这套机制是 Anthropic 在 2024 年 12 月公开 Skills 机制时正式推出的,技术上是一个标准化的目录结构,每个 skill 包含一份描述、一份系统 prompt、可选的工具调用清单和上下文资料。它的特点是模型可以根据用户当前任务自动加载对应 skill,不需要每次手动塞进 system prompt。这与 OpenAI 的 GPT Actions、Google 的 Gemini Extensions 在产品形态上是同一类东西,区别在于 Anthropic 把这套机制开源化了——任何人都可以写 skill 上传到自己的 Claude 工作空间,也可以放到公开仓库分享。
Anthropic-Cybersecurity-Skills 是这股共享潮里早期被注意到的一个项目,定位明确:给安全运营团队当外挂。仓库里把”威胁狩猎”、”事件响应”、”漏洞评估”、”合规检查”这几类工作各做成一个 skill,每个 skill 内部按五个框架做了交叉映射。这意味着安全分析师在 Claude 里问一句”怎么处理这次勒索软件事件”,模型可以同时给出 NIST CSF 的响应阶段对照、MITRE ATT&CK 的相关 TTP、CIS Controls 的对应控制项。
关于 LLM 在安全领域的边界,密码学家 Bruce Schneier 在公开发言里讲过类似判断:他长期在自己的博客 Schneier on Security 里强调,AI 工具对已经懂行的防御者是力量倍增器,但对外行而言是危险的加速器——模型会无视底层逻辑是否正确,仍旧给出看上去自信的输出。这是他评估 AI 安全工具时反复重申的立场。
多框架对齐这件事在安全行业不算新
真正的安全合规审计本来就需要跨框架做映射工作。一家上市公司同时面对 SOC 2、ISO 27001、NIST CSF 的审计要求,每一份控制清单都要从公司现有的安全措施里映射过去。这件事过去靠 Excel 矩阵手工做,靠 GRC 工具半自动做。把它搬到 LLM 上做,理论上能省掉大量重复劳动,但要小心两个坑。
第一个坑是框架之间的对应关系不是 1 对 1。MITRE ATT&CK 描述的是攻击者行为,CIS Controls 描述的是防御措施,两者的映射关系本身有歧义,行业里有 CIS 官方发布的对应表,也有各家厂商自己维护的版本,差异不小。LLM 在这种含糊地带很容易给出”看起来很对但其实拼凑”的映射结果。SANS Institute 高级研究员 John Pescatore 在公开发言里也讲过类似立场:控制框架之间的映射本质上不是技术问题,而是组织语言的翻译问题;把它交给一个不理解所在公司业务上下文的工具,等于把翻译质量赌在词典上。
第二个坑是开源 skill 的可信度。仓库里嵌入的 prompt 和参考材料是谁写的、是否引用了过期的框架版本、对最新 CVE 的覆盖程度如何,这些都是用户在采用前必须自查的。安全工具最怕”看起来很专业但其实过期”,把一份 2022 年的 ATT&CK 矩阵拿来对照 2026 年的事件,会漏掉一整批新的 TTP。
开源安全技能库适合验证想法不适合直接进生产
Anthropic-Cybersecurity-Skills 这种项目最合适的用法是给小团队做 PoC——一个安全工程师想验证”我们能不能用 Claude 加速威胁建模”,把这个 skill 装上去跑两周看效果,比从零写 prompt 节省几天工作。但把它直接接入生产环境的 SOC 工作流,需要先做几件事:审一遍 skill 内的 prompt 是否泄露内部数据、确认引用的框架版本是否最新、对模型输出建立人工复核环节。
开源的好处是审计成本低——所有 prompt 和配置都在仓库里看得见,不像调用闭源 SaaS 那样要靠厂商承诺。坏处是没有 SLA、没有版本兼容性保证、维护节奏取决于个人开发者的兴趣。这种项目值得 fork 下来作为内部 skill 的起点,不值得当成长期依赖。Anthropic 自己最近也在文档里强调,Skills 共享目前仍处于”鼓励社区贡献”的阶段,企业用户应该把开源 skill 视为蓝本而非成品。
参考链接
