hack-skills:AI 智能体专属安全技能知识库
标签: 开源项目 / 安全 / 渗透测试 / AI Agent / 技能库
原文: 微信公众号「进击的HACK」https://mp.weixin.qq.com/s/kQVvmUOINCTV8e5IJpIU1g
GitHub: https://github.com/yaklang/hack-skills
核心亮点
一套智能体专属技能知识库,囊括 14 个核心安全领域,专为漏洞赏金挖掘、合规渗透测试、CTF 夺旗竞赛及合法授权安全研究量身打造。
覆盖领域
| 领域 | 说明 |
|---|---|
| Web 安全 | 网页应用漏洞挖掘 |
| API 安全 | 应用程序接口安全 |
| 身份认证与授权 | 身份鉴权与访问授权 |
| 操作系统提权 | Linux/Windows/macOS权限提升 |
| Active Directory | AD 域攻防 |
| 移动安全 | 移动端安全 |
| Pwn | 二进制漏洞利用 |
| 逆向工程 | 逆向分析 |
| 密码学攻击 | 密码体系攻击 |
| 区块链安全 | 区块链及智能合约安全 |
| AI/ML/LLM 安全 | 人工智能/机器学习与大语言模型安全 |
| 网络协议渗透 | 内网横向跳转 |
| 数字取证 | 电子数据取证 |
快速安装
一键安装核心技能库:
npx skills add yaklang/hack-skills
直接拉取单个技能文件:
https://raw.githubusercontent.com/yaklang/hack-skills/main/skills/hack/SKILL.md
知识组织方式
采用 三级分层结构,兼顾「全局路由」和「深度细节」:
| 层级 | 作用 | 典型技能示例 | 使用场景 |
|---|---|---|---|
| 主入口 | 全局路由、测试阶段评估、跨类别切换 | hack(核心主入口) | 新目标、未知攻击面 |
| 分类入口 | 按攻击面路由到稳定的技术家族 | 侦察、API 安全、认证安全等 6 个分类 | 明确攻击面后 |
| 深度主题 | 完整的攻击手册、执行细节 | XSS、SQLi、AD 权限滥用等 101 个深度技能 | 需深入某一具体漏洞/攻击手法 |
所有技能均遵循统一目录规范:skills/{语义化标识}/SKILL.md
访问与使用方式
三种同步更新的访问形式:
| 方式 | 说明 |
|---|---|
| Web 界面 | https://skills.hackbenchmark.com — 纯前端静态站点,支持模糊搜索、分类筛选、复制安装命令、加密 ZIP 下载,无追踪、无后端 |
| GitHub 源码 | 直接查看每个技能的 SKILL.md 原始 Markdown,支持 PR 贡献、离线深度阅读 |
| 加密 ZIP 包 | AES-256 加密(公开密码:hack-skills),包含所有技能 Markdown 文件,适配无网络/防病毒软件拦截的离线场景 |
提炼原则
- 不直接复制大字典/完整 Payload 列表,聚焦「可路由、可组合、可审计」的技能
- 用小而稳定的样本、分类体系、交叉引用提升 Agent 在实战中的稳定性
- 无客户/厂商敏感信息,纯教育性方法论
核心价值
| 价值 | 说明 |
|---|---|
| 标准化 | 统一的技能目录结构,降低知识检索和集成成本 |
| 场景化 | 按实战攻击面分类,贴合真实渗透流程 |
| 轻量化 | 聚焦核心有用内容,避免信息过载,适配 Agent 快速加载 |
| 多形态 | Web/源码/ZIP 多端同步,适配在线查询、离线使用、协作贡献 |
写在最后
Hack.SKILLS 是将分散的安全知识「结构化、场景化、工具化」的一站式技能库。
对于安全从业者和 AI Agent 来说,这意味着:
- 不再需要在海量文档中翻找
- 技能可直接路由、组合、审计
- 实战渗透流程更加标准化
如果你在做漏洞挖掘、渗透测试、CTF,或者想让 AI Agent 学会安全技能 —— 这个项目值得关注。
本文整理自微信公众号「进击的HACK」,原文链接:https://mp.weixin.qq.com/s/kQVvmUOINCTV8e5IJpIU1g
GitHub 项目地址:https://github.com/yaklang/hack-skills
Web 界面:https://skills.hackbenchmark.com