attack-tree-construction

por wshobson

attack-tree-construction ayuda a crear árboles de ataque estructurados para Threat Modeling, con objetivos raíz claros, ramas AND/OR y ataques hoja comprobables. Úsala para trazar rutas de ataque, detectar brechas defensivas y respaldar revisiones de seguridad, pruebas y planes de mitigación.

Estrellas32.6k

Favoritos0

Comentarios0

Agregado30 mar 2026

CategoríaThreat Modeling

Comando de instalación

npx skills add wshobson/agents --skill attack-tree-construction

Puntuación editorial

Esta skill obtiene una puntuación de 76/100, lo que la convierte en una candidata sólida para el directorio: ofrece una guía sustancial y bien acotada para crear árboles de ataque, y es más probable que un agente ejecute esta tarea de forma consistente que partiendo solo de un prompt genérico. La nota baja por el soporte operativo limitado más allá del documento principal, así que quienes la instalen deben esperar un flujo conceptual sólido más que un paquete respaldado por herramientas.

76/100

Puntos fuertes

Activación clara: el frontmatter y la sección "When to Use" sitúan explícitamente la construcción de árboles de ataque en escenarios de mapeo de amenazas, análisis de brechas defensivas, comunicación con stakeholders, planificación de pentests y revisión de arquitectura.
Contenido de flujo de trabajo sustancial: el SKILL.md es extenso y está bien estructurado, con secciones sobre la estructura del árbol, los tipos de nodo y los atributos de ataque, lo que da a los agentes convenciones reutilizables en lugar de depender de prompts ad hoc.
Buena divulgación progresiva dentro de un solo archivo: los encabezados, las tablas y los bloques de código indican que la skill enseña conceptos y patrones de formato de una forma que un agente puede seguir con rapidez.

Puntos a tener en cuenta

No se incluyen recursos de apoyo, scripts, referencias ni referencias a repositorios o archivos, por lo que los usuarios deben apoyarse casi por completo en la guía en prosa de SKILL.md.
No hay un comando de instalación ni un envoltorio operativo externo, lo que reduce la confianza de quienes esperan un flujo más listo para usar o integrado con herramientas.

Security Strategy Workflow Playbook

Resumen

Visión general de la skill attack-tree-construction

Qué hace attack-tree-construction

La skill attack-tree-construction ayuda a un agente a construir árboles de ataque estructurados para Threat Modeling: un objetivo raíz del atacante, subobjetivos descompuestos y pasos de ataque hoja enlazados con lógica AND y OR. Es la mejor opción cuando necesitas una visión clara de cómo un atacante podría alcanzar un resultado objetivo, y no solo una lista plana de amenazas.

Quién debería usar esta skill

La attack-tree-construction skill encaja bien para arquitectos de seguridad, ingenieros de appsec, equipos red team, desarrolladores que hacen design review y responsables técnicos que necesitan explicar rutas de ataque a otras personas. Resulta especialmente útil cuando un sistema es lo bastante complejo como para que una lluvia de ideas normal produzca amenazas dispersas, duplicadas o mal priorizadas.

El trabajo real que resuelve

La mayoría de usuarios no solo quieren “más amenazas”. Quieren un modelo sobre el que puedan actuar:

ver múltiples formas en que un atacante puede lograr un objetivo
distinguir rutas alternativas de cadenas de pasos obligatorios
encontrar controles débiles y puntos únicos de fallo
apoyar revisiones, pruebas y planificación de mitigaciones

Ahí es donde attack-tree-construction for Threat Modeling ofrece más valor que un prompt genérico que solo pide “security risks”.

Qué lo diferencia de un prompt genérico de amenazas

El principal diferenciador es la estructura. La skill se centra en la mecánica de los árboles de ataque:

un único objetivo raíz
ramificación explícita con AND frente a OR
pasos de ataque a nivel de hoja
atributos de ataque como coste, tiempo, habilidad, detección e impacto

Esa estructura mejora la trazabilidad y hace que la salida sea más fácil de cuestionar, ampliar o convertir en casos de prueba.

Lo que conviene saber antes de instalar

La señal que da el repositorio es sencilla: esta skill está contenida principalmente en SKILL.md, sin scripts auxiliares ni archivos de soporte. Eso hace que la attack-tree-construction install sea ligera, pero también implica que la calidad del resultado depende mucho del contexto que aportes. Si la descripción de tu sistema es vaga, el árbol también lo será.

Cómo usar la skill attack-tree-construction

Contexto de instalación de attack-tree-construction

Instala la skill desde el repositorio wshobson/agents:

npx skills add https://github.com/wshobson/agents --skill attack-tree-construction

Como la skill funciona como un único flujo en markdown, no hay configuración adicional de runtime ni una cadena de dependencias que gestionar.

Lee primero este archivo

Empieza por:

plugins/security-scanning/skills/attack-tree-construction/SKILL.md

Ese archivo contiene el modelo principal: cuándo usar la skill, la estructura del árbol de ataque, los tipos de nodo y los atributos de ataque. Como en esta carpeta de la skill no hay referencias ni scripts de apoyo, leer SKILL.md basta para entender el flujo de trabajo previsto.

La mejor forma de entrada para usar attack-tree-construction

Para obtener un buen attack-tree-construction usage, aporta:

el sistema o la funcionalidad que se va a modelar
el objetivo del atacante en una sola frase
límites de confianza y puntos de entrada
activos principales y acciones sensibles
controles conocidos que ya existen
supuestos y límites de alcance

Buen ejemplo de entrada:

Sistema: portal de administración SaaS multi-tenant
Objetivo raíz: obtener acceso administrativo no autorizado a todo un tenant
Puntos de entrada: login, restablecimiento de contraseña, callback de SSO, flujo de suplantación de soporte, API pública
Activos: tokens de sesión, asignación de rol de administrador, exportación de datos del tenant
Controles existentes: MFA para administradores, audit logs, rate limiting en login
Restricciones: excluir acceso físico y abuso interno

Esto es mucho mejor que “haz un árbol de ataque para mi web app”, porque le da a la skill material suficiente para ramificar de forma realista.

Convierte una petición vaga en un prompt sólido

Prompt débil:

“Use attack-tree-construction to analyze my platform.”

Prompt más sólido:

“Use the attack-tree-construction skill to build an attack tree for the goal ‘extract customer PII from the billing service.’ Use AND and OR nodes explicitly, stop at leaf attacks that are concrete enough to test, and annotate leaves with cost, time, skill, detection difficulty, and impact. Consider web app, API, CI/CD secrets, and support workflows. Exclude nation-state capabilities.”

La versión más sólida mejora:

la claridad del objetivo raíz
la profundidad de la descomposición
la calidad de las ramas
el valor para priorizar

Elige bien el objetivo raíz

Un error habitual es hacer la raíz demasiado amplia, por ejemplo “comprometer la empresa”. Mejores objetivos raíz son resultados específicos del atacante:

obtener acceso privilegiado a la consola
exfiltrar datos de pago
desplegar código malicioso en producción
eludir el aislamiento entre tenants
desactivar el logging antes de cometer fraude

Un objetivo raíz preciso le da a la attack-tree-construction guide un árbol más limpio y menos categorías de amenazas mezcladas.

Usa los nodos AND y OR de forma deliberada

Esta skill resulta más útil cuando obligas a que la lógica de ramificación sea explícita:

usa OR cuando cualquiera de las rutas sea suficiente
usa AND cuando se requieran varias condiciones o pasos

Ejemplo:

Raíz: robar una cuenta de usuario
- OR: credential stuffing
- OR: robo de token de sesión
- AND: restablecer contraseña + controlar la bandeja de entrada del correo

Sin esta distinción, la salida se convierte en una lista con viñetas en lugar de un árbol de ataque real.

Pide nodos hoja que se puedan probar

Indícale al agente que detenga la descomposición cuando una hoja sea:

lo bastante concreta como para validarla
distinta de sus hojas hermanas
algo más que una reformulación del nodo padre

Buenas hojas:

reutilizar credenciales filtradas contra el login de administrador
explotar una comprobación de autorización ausente en el endpoint de actualización de roles
robar la sesión de un agente de soporte mediante phishing

Hojas débiles:

romper la seguridad
explotar una vulnerabilidad
conseguir acceso de alguna manera

Las hojas comprobables hacen que la skill sea más útil para red teaming, revisión de arquitectura y mapeo de mitigaciones.

Solicita atributos de ataque para priorizar

La skill incluye atributos de ataque, así que pídela con ellos. Algunas anotaciones útiles en las hojas son:

coste
tiempo
habilidad necesaria
probabilidad de detección o dificultad de detección
impacto

Estos atributos ayudan a convertir el árbol en una herramienta de decisión. Si dos ramas alcanzan el mismo objetivo, a los equipos normalmente les importa primero la ruta más barata, más rápida y menos detectable.

Flujo de trabajo recomendado en la práctica

Un flujo práctico de attack-tree-construction usage:

Define un objetivo del atacante.
Aporta contexto de arquitectura y alcance.
Genera el primer árbol.
Elimina ramas duplicadas o demasiado vagas.
Añade atributos a las hojas.
Revisa las ramas frente a los controles existentes.
Elige las rutas principales para mitigación o pruebas.

No empieces pidiendo “todos los árboles de ataque posibles” de todo el entorno. Un objetivo raíz por iteración produce resultados mucho mejores.

Dónde encaja esta skill en Threat Modeling

attack-tree-construction for Threat Modeling funciona mejor después de entender el sistema a alto nivel y antes de cerrar las mitigaciones. Es especialmente buena para:

profundizar en un caso de abuso de alto riesgo
explicar por qué un control importa
comparar rutas de ataque alternativas
seleccionar escenarios para pruebas de seguridad

Encaja peor para inventarios amplios de activos o listas de controles con enfoque de compliance.

Consejos prácticos que cambian la calidad de la salida

Para mejorar de inmediato el attack-tree-construction usage:

incluye rutas no técnicas, como flujos de soporte o restablecimiento de contraseña
enumera los controles que ya existen para que el árbol refleje intentos de evasión
separa superficies de ataque de cloud, aplicación, identidad y factor humano
pide al modelo que indique supuestos cuando falte evidencia
limita la profundidad del árbol si el primer resultado sale ruidoso

Una de las mejoras de calidad más importantes viene de nombrar explícitamente interfaces y acciones privilegiadas, en lugar de describir el sistema con lenguaje de marketing.

Preguntas frecuentes sobre la skill attack-tree-construction

¿attack-tree-construction es buena para principiantes?

Sí, siempre que ya entiendas el sistema que se va a modelar. La estructura ayuda a quienes empiezan a evitar listas de amenazas aleatorias. Pero aun así necesitan aportar alcance, activos y objetivos del atacante; la skill no sustituye el conocimiento del sistema.

¿Cuándo debería usar attack-tree-construction en lugar de un prompt normal?

Usa attack-tree-construction cuando necesites lógica de ramificación, comparación de rutas de ataque y un modelo que puedas revisar con otras personas. Un prompt normal sirve para una lluvia de ideas rápida, pero a menudo mezcla prerrequisitos, acciones y resultados sin relaciones claras.

¿Sirve solo para application security?

No. La attack-tree-construction skill puede usarse para infraestructura, identidad, CI/CD, flujos cercanos al riesgo interno y casos de abuso operativo, siempre que puedas definir un objetivo raíz del atacante y subobjetivos con sentido.

¿Cuándo encaja mal attack-tree-construction?

Encaja mal cuando:

el alcance todavía no está definido
necesitas una enumeración completa de amenazas para muchos objetivos no relacionados
buscas mapeo de compliance en lugar de razonamiento del atacante
la descripción del sistema es demasiado vaga para sostener nodos hoja concretos

En esos casos, primero conviene hacer scoping o threat modeling de alto nivel.

¿La skill incluye automatización o plantillas?

No demasiado. Por la estructura del repositorio, la skill está guiada por documentación y vive en SKILL.md sin scripts auxiliares ni activos de referencia. Eso simplifica la adopción, pero también hace que la disciplina al escribir prompts importe más que el soporte de herramientas.

¿Puedo usar attack-tree-construction para comunicarme con stakeholders?

Sí. De hecho, es uno de sus mejores usos. Los árboles de ataque comunican el riesgo con más claridad que un texto largo porque muestran cómo rutas alternativas y encadenadas llevan al mismo resultado con impacto en el negocio.

Cómo mejorar la skill attack-tree-construction

Da mejor contexto del sistema, no más palabras

La forma más rápida de mejorar los resultados de attack-tree-construction es aportar hechos estructurados:

componentes
usuarios y roles
límites de confianza
operaciones sensibles
puntos de entrada
defensas existentes

Un resumen breve y específico del sistema supera siempre a una descripción larga y genérica.

Acota el objetivo antes de expandir el árbol

Si la primera salida se siente superficial o caótica, normalmente el objetivo raíz es demasiado amplio. Divide “comprometer la plataforma” en objetivos más concretos y luego ejecuta la attack-tree-construction skill por separado para cada uno.

Empuja al modelo a incluir rutas que suelen pasarse por alto

Muchos árboles de primera pasada se centran demasiado en exploits técnicos directos. Pide explícitamente ramas que cubran:

flujos de identidad y acceso
recuperación de credenciales
integraciones de terceros
CI/CD y gestión de secretos
herramientas de administración o soporte
abuso de configuraciones erróneas

Esto suele sacar a la luz rutas más realistas que los árboles centrados solo en vulnerabilidades.

Elimina nodos vagos y fuerza una descomposición concreta

Fallos habituales:

el padre y el hijo dicen casi lo mismo
las hojas no son accionables
las ramas mezclan objetivos del atacante con mitigaciones
el árbol se detiene antes de llegar a una especificidad útil

Corrígelo pidiendo:

“Rewrite vague leaves into concrete attacker actions.”
“Separate preconditions from exploit steps.”
“Stop only when each leaf can be tested or mitigated directly.”

Añade una iteración consciente de los controles después del primer borrador

Una buena segunda pasada consiste en:

marcar qué ramas ya debilitan los controles actuales
identificar ramas sin un control relevante
estimar qué rutas de bajo coste siguen siendo viables
proponer mitigaciones a nivel de rama o de hoja

Esto convierte attack-tree-construction for Threat Modeling en una herramienta de priorización, no solo de análisis.

Compara árboles según distintos supuestos sobre el atacante

Si el resultado parece poco realista, varía el modelo de atacante:

atacante externo oportunista
usuario autenticado con pocos privilegios
integrador malicioso
atacante con capacidad de phishing

La mejor forma de mejorar en la práctica la attack-tree-construction guide es generar árboles separados por perfil de atacante, en lugar de forzar un único árbol que cubra a todos los actores de amenaza.

Usa la salida como un artefacto vivo de revisión

Los equipos que más valor obtienen no generan un único árbol y se detienen ahí. Lo actualizan cuando:

cambia la arquitectura
se despliegan nuevos controles
los incidentes revelan ramas no contempladas
los pentests validan o descartan rutas

Ese uso iterativo es donde la attack-tree-construction skill se vuelve más valiosa que un prompt puntual.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

evaluating-threat-intelligence-platforms

por mukul975

evaluating-threat-intelligence-platforms te ayuda a comparar productos TIP por ingesta de feeds, compatibilidad con STIX/TAXII, automatización, flujo de trabajo de analistas, integraciones y coste total de propiedad. Usa esta guía de evaluating-threat-intelligence-platforms para compras, migraciones o planificación de madurez, incluida la evaluación de evaluating-threat-intelligence-platforms para Threat Modeling cuando la elección de plataforma afecta a la trazabilidad y al intercambio de evidencias.

Threat Modeling

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

Threat Modeling

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

collecting-threat-intelligence-with-misp

por mukul975

La skill collecting-threat-intelligence-with-misp te ayuda a recopilar, normalizar, buscar y exportar inteligencia de amenazas en MISP. Usa esta guía de collecting-threat-intelligence-with-misp para feeds, flujos de trabajo con PyMISP, filtrado de eventos, reducción de warninglists y uso práctico de collecting-threat-intelligence-with-misp para Threat Modeling y operaciones de CTI.

Threat Modeling

Favoritos 0GitHub 0

analyzing-threat-intelligence-feeds

por mukul975

analyzing-threat-intelligence-feeds te ayuda a ingerir feeds de CTI, normalizar indicadores, evaluar la calidad de los feeds y enriquecer IOCs para flujos de trabajo STIX 2.1. Esta skill de analyzing-threat-intelligence-feeds está pensada para operaciones de inteligencia de amenazas y análisis de datos, con orientación práctica para TAXII, MISP y feeds comerciales.

Data Analysis

Favoritos 0GitHub 0

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0

analyzing-ios-app-security-with-objection

por mukul975

La skill analyzing-ios-app-security-with-objection ayuda a testers autorizados a ejecutar comprobaciones de seguridad en tiempo de ejecución de apps iOS con Objection y Frida. Úsala para revisar la exposición del llavero, el almacenamiento en el sistema de archivos, las cookies, el SSL pinning, la detección de jailbreak y otras defensas del lado del cliente durante una auditoría de seguridad. Incluye guía de flujo de trabajo, pasos de instalación y notas prácticas de uso.

Security Audit

Favoritos 0GitHub 0

analyzing-heap-spray-exploitation

por mukul975

analyzing-heap-spray-exploitation ayuda a analizar la explotación por heap spray en volcados de memoria con Volatility3. Identifica patrones de NOP sled, asignaciones grandes sospechosas, zonas de aterrizaje de shellcode y evidencias de VAD de procesos para auditorías de seguridad, triaje de malware y validación de exploits.

Security Audit

Favoritos 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

por mukul975

Skill de detección de ataques a la cadena de suministro en CI/CD para auditar GitHub Actions y configuraciones de CI/CD. Ayuda a detectar acciones sin fijar versión, inyección de scripts, confusión de dependencias, exposición de secretos y permisos riesgosos en flujos de trabajo de auditoría de seguridad. Úsalo para revisar un repositorio, un archivo de workflow o un cambio sospechoso en un pipeline con hallazgos y correcciones claras.

Security Audit

Favoritos 0GitHub 0

detecting-api-enumeration-attacks

por mukul975

detecting-api-enumeration-attacks ayuda a equipos de auditoría de seguridad a detectar sondeos de API, BOLA e IDOR mediante el análisis de IDs secuenciales, ráfagas de 404, fallos de autorización y rutas de descubrimiento de documentación. Está pensada para orientar la detección basada en logs, redactar reglas y revisar de forma práctica patrones de abuso de API.

Security Audit

Favoritos 0GitHub 0