Anthropic Cybersecurity Skills: Cuốn sổ anh senior giấu sau quầy
TL;DR
- 754 quy trình bảo mật viết sẵn cho AI agent đọc và làm theo
- Mỗi quy trình là một file Markdown trong thư mục
skills/, có frontmatter để agent quét nhanh - Map sẵn năm framework: MITRE ATT&CK, NIST CSF 2.0, MITRE ATLAS, D3FEND, NIST AI RMF
- Tương thích Claude Code, Cursor, Copilot, Codex CLI, Gemini CLI, và mọi agent đọc chuẩn agentskills.io
- Hợp khi agent đã có shell và đồ nghề, chỉ thiếu cuốn sổ tay để biết bắt đầu từ đâu
Quán nhỏ ở Sài Gòn. Tối thứ Sáu, ông khách Tây ngồi quầy, kêu nguyên một ly Sazerac. Anh bartender mới vô làm hai tháng đứng đực ra. Ảnh không nhớ công thức.
Bà chủ không nói gì. Bà cúi xuống dưới quầy, rút ra cuốn sổ bìa da, lật tới trang “S”, đẩy qua. Hai phút sau ly nước bưng ra. Ông khách nhâm nhi, gật gù. Ổng không biết - và ổng không cần biết - là anh bartender vừa đọc công thức lần đầu trong đời.
Cuốn sổ đó là khoảng cách giữa “cũng biết pha rượu” và “pha được”. Nó không làm anh bartender giỏi hơn. Nó làm cái quán đứng vững.
AI agent của bạn đang thiếu cuốn sổ này. Nó có Claude trong terminal, có cài Volatility3, có thiện chí. Bạn quăng cho nó một memory dump nghi bị đánh cắp credential. Nó đoán. Anthropic Cybersecurity Skills là cuốn sổ đó, gõ lại cho agent đọc.
Nói rõ trước cho khỏi hiểu lầm: cái tên hơi đánh lừa. Đây là dự án cộng đồng của anh Mahipal Jangra. Không liên quan gì Anthropic PBC. README ghi câu đó ngay đoạn đầu. Tôi nhắc lại đây để lát có lỗi đừng đi email nhân viên Anthropic.
Cái Repo Này Vật Lý Là Gì
Một thư mục chứa 754 file Markdown. Mỗi cái nằm trong skills/{ten-kebab-case}/SKILL.md, kế bên có thêm references/, scripts/, assets/ nếu cần. File nào cũng có frontmatter YAML phía trên, và thân bài chia bốn phần đoán được trước: When to Use, Prerequisites, Workflow, Verification.
Code Python trong repo chỉ là đồ nghề xung quanh - mapping, indexer, validator. Bản thân các skill không phải code. Chúng là tài liệu để agent đọc rồi làm theo.
Hai mươi sáu domain bảo mật. Cloud Security có 60 skill. Threat Hunting có 55. OT/ICS có 28. Deception Technology có 2. Số không đều, cố ý - phản ánh dân làm nghề thật sự làm gì, và mảng nào đã có đủ người đóng góp.
Mô Hình Trong Đầu
Anh bartender khách sạn không nhớ hết hai trăm cocktail. Ảnh thuộc khoảng ba chục. Bốn trăm cái còn lại nằm trong cuốn sổ sau quầy. Khách kêu Sazerac, ảnh lật tới đúng trang, ly nước ra đúng vị y như sommelier Michelin pha. Cuốn sổ không làm ảnh thông minh hơn. Nó làm cái quán đồng đều.
Cái mánh là chỗ đó. Agent không thành senior analyst. Skill mới là senior analyst. Agent chỉ cần đọc cho kỹ.
Một Skill Trông Như Vầy
Đây là frontmatter của một skill, lấy nguyên từ README. Agent quét chừng 30 token là biết có phải mở ra không:
---
name: performing-memory-forensics-with-volatility3
description: >-
Analyze memory dumps to extract running processes, network connections,
injected code, and malware artifacts using the Volatility3 framework.
domain: cybersecurity
subdomain: digital-forensics
tags: [forensics, memory-analysis, volatility3, incident-response, dfir]
atlas_techniques: [AML.T0047]
d3fend_techniques: [D3-MA, D3-PSMD]
nist_ai_rmf: [MEASURE-2.6]
nist_csf: [DE.CM-01, RS.AN-03]
version: "1.2"
author: mukul975
license: Apache-2.0
---Phía dưới frontmatter là phần workflow - chỉ rõ chạy plugin Volatility3 nào trước, kết quả đợi gì, lúc nào escalate, và cách confirm credential theft thay vì chỉ “nghi nghi”. Phần đó dài 500–2.000 token. Agent chỉ load full sau khi frontmatter đã match được task.
Đây là chỗ thiết kế hay nhất: progressive disclosure. Agent quét hết 754 frontmatter trong một lượt mà không nổ context window, chọn ra ba cái nhất, rồi mới load full workflow của cái nó quyết chạy.
Vô Chạy Thử
README đưa hai cách. Chọn một thôi.
# Cách 1: cài qua chuẩn agentskills.io (khuyên dùng)
npx skills add mukul975/Anthropic-Cybersecurity-Skills
# Cách 2: clone về đọc trước cho yên tâm
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.gitXong, chỉ agent vô thư mục đó. README liệt kê 26+ platform - Claude Code, GitHub Copilot, Cursor, Codex CLI, Gemini CLI, Continue, Aider, Cline, Devin, Replit Agent, mấy SDK lớn - không cần thêm keo dán nếu agent đã hiểu chuẩn sẵn.
Lúc Agent Làm Việc Trông Như Vầy
Đây là flow ví dụ trong README, rút gọn:
Bạn: Phân tích cái memory dump này coi có dấu hiệu trộm credential không.
Agent: [quét 754 frontmatter, mỗi cái ~30 token]
[chọn: performing-memory-forensics-with-volatility3,
hunting-for-credential-dumping-lsass,
analyzing-windows-event-logs-for-credential-access]
[load full Workflow của cái match nhất]
[chạy plugin Volatility3 theo thứ tự đã ghi]
[map kết quả vô ATT&CK T1003]
[trả về: IOC đã xác minh, đính kèm tag framework]Không có cuốn sổ, cùng câu hỏi đó, agent sẽ phán một đoạn văn rất tự tin về việc Volatility “có thể được dùng” để phân tích memory. Xong rồi nó quay lại hỏi bạn nên chạy plugin nào trước. Mệt.
Năm Framework Trên Cùng Một Skill
Phần này nghe như diễn trò compliance, cho đến khi bạn ngồi qua một cuộc audit. Sau đó thì hết nghe như vậy.
| Framework | Cho bạn cái gì | Vì sao agent cần đến |
|---|---|---|
| MITRE ATT&CK | Tên kỹ thuật của kẻ tấn công | Để report dùng đúng từ vựng của SOC |
| NIST CSF 2.0 | Govern/Identify/Protect/… | Để finding ráp được vô báo cáo GRC |
| MITRE ATLAS | Chiêu thức tấn công AI/ML | Để mối đe doạ agentic không còn bị xếp “linh tinh” |
| MITRE D3FEND | Biện pháp phòng thủ | Để agent đề xuất một control, không phải cảm tính |
| NIST AI RMF | Quản trị rủi ro AI | Để audit GenAI Profile có bằng chứng |
Một skill, năm cái tag. Cùng workflow memory-forensics thả luôn một DE.CM-01 của NIST CSF và một D3-MA của D3FEND vô cùng một báo cáo. Chưa có thư viện skill open-source nào khác làm được map năm hướng cùng lúc. Đó là cái hào của repo này.
Hợp Chỗ Nào, Không Hợp Chỗ Nào
Dùng khi:
- Agent của bạn đã có shell và đồ nghề, chỉ improvise tùm lum khi đụng quy trình.
- Bạn cần report ra thẳng ngôn ngữ ATT&CK + NIST, khỏi phải gán nhãn tay.
- Bạn muốn workflow cấp senior để mấy bạn mới (và agent) chạy lại y chang được.
Bỏ qua khi:
- Bạn đi tìm exploit code hay wordlist. Đây không phải. Không có
payloads.txt. - Bạn chưa chạy AI agent nào hết. Skill đọc bằng mắt vẫn hiểu, nhưng format tối ưu cho máy quét.
- Stack của bạn custom dữ quá, workflow chung phải viết lại - dùng cũng được, nhưng không lời nhiều.
Mấy Chỗ Còn Sần
Repo đang chạy nhanh - hôm nay 754 skill, hồi tag v1.0.0 hồi tháng Ba mới có 734. Coverage giữa các domain không đều, cố ý. Deception Technology có 2 skill. Compliance & Governance có 5. README ghi thẳng đó là chỗ contributor mới nên nhảy vô đầu tiên.
Mapping framework cũng trôi. ATT&CK v19 ra ngày 28/4/2026, tách Defense Evasion thành Stealth và Impair Defenses. README ghi mapping sẽ cập nhật trong release tới. Trong lúc đợi, sẽ có độ trễ nhỏ.
Phần Python chỉ là đồ phụ. 99,6% commit là Python theo dòng, nhưng giá trị nằm trong Markdown. Ai vô tìm framework đồ sộ sẽ thất vọng - kiểu thất vọng thật ra là lời khen.
Một cảnh báo thực tế: 30 token mỗi frontmatter nhân 754 skill là tầm 23k token chỉ để quét một lượt. Model nào context nhỏ thì nên để loader của agentskills.io tự match, đừng bắt model match tay.
Khúc Cuối
Anh bartender không khôn ra. Cái quán đồng đều ra. Sau một năm, ly Sazerac nào cũng ra y vị, hết ai phải vái bartender trưởng.
Agent không thành senior DFIR. Cuộc điều tra đồng đều ra. Sau một quý, memory dump nào cũng phân tích cùng kiểu, LSASS hunt nào cũng chạy cùng thứ tự, report nào cũng dùng cùng bộ tag framework. Rồi tới một ngày có người hỏi: ủa, mướn senior chi cho mắc?
Cuốn sổ là chỗ đó.
À mà nhớ - đừng kêu Sazerac trong tiệm cà phê vỉa hè. Cuốn sổ nào cũng có giới hạn.
mukul975/Anthropic-Cybersecurity-Skills · Apache-2.0 · 9.6k · docs
Hoang Yell
Một nhà phát triển phần mềm và là người kể chuyện kỹ thuật. Tôi dành thời gian để khám phá những repository mã nguồn mở thú vị nhất trên GitHub và trình bày chúng dưới dạng những câu chuyện dễ hiểu cho mọi người.
