attack-tree-construction

por wshobson

attack-tree-construction ajuda a criar árvores de ataque estruturadas para Threat Modeling, com objetivos-raiz claros, ramificações AND/OR e ataques-folha testáveis. Use para mapear caminhos de ataque, identificar lacunas de defesa e apoiar revisões de segurança, testes e planejamento de mitigação.

Estrelas32.6k

Favoritos0

Comentários0

Adicionado30 de mar. de 2026

CategoriaThreat Modeling

Comando de instalação

npx skills add wshobson/agents --skill attack-tree-construction

Pontuação editorial

Esta skill tem pontuação de 76/100, o que a torna uma candidata sólida para listagem no diretório: o usuário recebe um guia consistente e bem delimitado para criar árvores de ataque, e um agente tende a executar essa tarefa com mais consistência do que partir apenas de um prompt genérico. A nota cai por haver pouca estrutura operacional além do documento principal, então quem instalar deve esperar um fluxo conceitual forte, e não um pacote apoiado por ferramentas.

76/100

Pontos fortes

Gatilho de uso bem definido: o frontmatter e a seção 'When to Use' deixam explícito que a construção de árvores de ataque serve para mapeamento de ameaças, análise de lacunas de defesa, comunicação com stakeholders, planejamento de pentest e revisão de arquitetura.
Fluxo de trabalho substancial: o SKILL.md é extenso e bem estruturado, com seções sobre estrutura da árvore, tipos de nós e atributos de ataque, oferecendo convenções reutilizáveis para agentes em vez de depender de prompts ad hoc.
Boa progressão de informação em um único arquivo: headings, tabelas e blocos de código indicam que a skill ensina conceitos e padrões de formatação de um jeito que um agente consegue seguir rapidamente.

Pontos de atenção

Não há assets de apoio, scripts, referências nem referências de repo/arquivo, então o usuário depende quase totalmente das orientações em texto no SKILL.md.
Não existe comando de instalação nem wrapper operacional externo, o que reduz a confiança de quem espera um fluxo mais pronto para uso ou integrado a ferramentas.

Security Strategy Workflow Playbook

Visão geral

Visão geral da skill attack-tree-construction

O que a attack-tree-construction faz

A skill attack-tree-construction ajuda um agente a montar árvores de ataque estruturadas para Threat Modeling: um objetivo raiz do atacante, subobjetivos decompostos e etapas de ataque em folhas conectadas por lógica AND e OR. Ela é mais indicada quando você precisa de uma visão clara de como um atacante poderia chegar a um resultado-alvo, e não apenas de uma lista solta de ameaças.

Quem deve usar esta skill

A attack-tree-construction skill é uma boa escolha para arquitetos de segurança, engenheiros de appsec, red teamers, desenvolvedores em revisão de design e lideranças técnicas que precisam explicar caminhos de ataque para outras pessoas. Ela é especialmente útil quando o sistema é complexo o bastante para que um brainstorming comum gere ameaças dispersas, duplicadas ou mal priorizadas.

O trabalho real que ela resolve

Na prática, a maioria das pessoas não quer apenas “mais ameaças”. Quer um modelo que dê para usar:

visualizar várias formas de um atacante atingir um mesmo objetivo
separar caminhos alternativos de etapas obrigatórias em cadeia
identificar controles fracos e pontos únicos de falha
apoiar revisão, testes e planejamento de mitigação

É aí que attack-tree-construction for Threat Modeling se destaca mais do que um prompt genérico pedindo “riscos de segurança”.

O que diferencia essa skill de um prompt genérico de ameaças

O principal diferencial é a estrutura. A skill gira em torno da mecânica de árvores de ataque:

um único objetivo raiz
ramificações explícitas com AND vs OR
etapas de ataque em nível de folha
atributos de ataque como custo, tempo, habilidade, detecção e impacto

Essa estrutura melhora a rastreabilidade e deixa a saída mais fácil de criticar, expandir ou transformar em casos de teste.

O que saber antes de instalar

O sinal vindo do repositório é simples: esta skill está concentrada principalmente em SKILL.md, sem scripts auxiliares nem arquivos de suporte. Isso torna a attack-tree-construction install leve, mas também significa que a qualidade da saída depende bastante do contexto que você fornecer. Se a descrição do seu sistema for vaga, a árvore também será genérica.

Como usar a skill attack-tree-construction

Contexto de instalação da attack-tree-construction

Instale a skill a partir do repositório wshobson/agents:

npx skills add https://github.com/wshobson/agents --skill attack-tree-construction

Como a skill existe como um workflow único em markdown, não há setup adicional de runtime nem cadeia de dependências para administrar.

Leia este arquivo primeiro

Comece por:

plugins/security-scanning/skills/attack-tree-construction/SKILL.md

Esse arquivo contém o modelo principal: quando usar a skill, a estrutura da árvore de ataque, os tipos de nó e os atributos de ataque. Como não há referências de apoio nem scripts nesta pasta da skill, ler SKILL.md basta para entender o fluxo de trabalho pretendido.

Melhor formato de entrada para usar attack-tree-construction

Para ter uma attack-tree-construction usage forte, forneça:

o sistema ou recurso que será modelado
o objetivo do atacante em uma única frase
limites de confiança e pontos de entrada
ativos principais e ações sensíveis
controles já existentes
premissas e limites de escopo

Bom exemplo de entrada:

Sistema: portal administrativo SaaS multi-tenant
Objetivo raiz: obter acesso administrativo não autorizado em todo o tenant
Pontos de entrada: login, redefinição de senha, callback de SSO, fluxo de impersonation do suporte, API pública
Ativos: tokens de sessão, atribuição de papel de admin, exportação de dados do tenant
Controles existentes: MFA para admins, logs de auditoria, rate limiting no login
Restrições: excluir acesso físico e abuso por insiders

Isso é muito melhor do que “faça uma árvore de ataque para meu web app”, porque dá à skill material suficiente para ramificar de forma realista.

Como transformar um pedido vago em um prompt forte

Prompt fraco:

“Use attack-tree-construction to analyze my platform.”

Prompt mais forte:

“Use the attack-tree-construction skill to build an attack tree for the goal ‘extract customer PII from the billing service.’ Use AND and OR nodes explicitly, stop at leaf attacks that are concrete enough to test, and annotate leaves with cost, time, skill, detection difficulty, and impact. Consider web app, API, CI/CD secrets, and support workflows. Exclude nation-state capabilities.”

A versão mais forte melhora:

clareza do objetivo raiz
profundidade da decomposição
qualidade das ramificações
valor para priorização

Escolha o objetivo raiz certo

Um erro comum é deixar a raiz ampla demais, como “comprometer a empresa”. Objetivos raiz melhores são resultados específicos que o atacante quer alcançar:

obter acesso privilegiado ao console
exfiltrar dados de pagamento
implantar código malicioso em produção
contornar o isolamento entre tenants
desativar logging antes de uma fraude

Um objetivo raiz preciso dá ao attack-tree-construction guide uma árvore mais limpa e com menos mistura de categorias de ameaça.

Use nós AND e OR de forma intencional

Esta skill é mais útil quando você força a lógica de ramificação a ficar explícita:

use OR quando qualquer caminho isolado for suficiente
use AND quando várias condições ou etapas forem necessárias

Exemplo:

Raiz: roubar conta de usuário
- OR: credential stuffing
- OR: roubo de token de sessão
- AND: redefinir senha + controlar a caixa de entrada do email

Sem essa distinção, a saída vira uma lista com bullets em vez de uma árvore de ataque de verdade.

Peça nós folha que possam ser testados

Instrua o agente a parar a decomposição quando uma folha for:

concreta o suficiente para validar
distinta das folhas irmãs
não apenas uma reformulação do nó pai

Boas folhas:

reutilizar credenciais vazadas contra o login de admin
explorar ausência de verificação de auth no endpoint de atualização de papel
roubar a sessão de um agente de suporte via phishing

Folhas fracas:

quebrar a segurança
explorar vulnerabilidade
conseguir acesso de alguma forma

Folhas testáveis tornam a skill mais útil para red teaming, revisão de arquitetura e mapeamento de mitigação.

Peça atributos de ataque para priorização

A skill inclui atributos de ataque, então vale pedir por eles. Anotações úteis nas folhas incluem:

custo
tempo
habilidade necessária
probabilidade de detecção ou dificuldade de detecção
impacto

Esses atributos ajudam a transformar a árvore em uma ferramenta de decisão. Se dois ramos chegam ao mesmo objetivo, as equipes normalmente se importam primeiro com o caminho mais barato, mais rápido e menos detectável.

Fluxo de trabalho sugerido na prática

Um fluxo prático de attack-tree-construction usage:

Defina um único objetivo do atacante.
Forneça contexto de arquitetura e escopo.
Gere a primeira árvore.
Remova ramos duplicados ou vagos.
Adicione atributos às folhas.
Revise os ramos à luz dos controles existentes.
Escolha os principais caminhos para mitigação ou teste.

Não comece pedindo “todas as árvores de ataque possíveis” para o ambiente inteiro. Um objetivo raiz por rodada produz resultados muito melhores.

Onde esta skill se encaixa em Threat Modeling

attack-tree-construction for Threat Modeling funciona melhor depois que você já entendeu o sistema em alto nível e antes de fechar as mitigações. Ela é particularmente boa para:

aprofundar um caso de abuso de alto risco
explicar por que um controle importa
comparar caminhos alternativos de ataque
selecionar cenários para testes de segurança

Ela é menos adequada para inventários amplos de ativos ou checklists de controles com foco em compliance.

Dicas práticas que realmente mudam a qualidade da saída

Para melhorar a attack-tree-construction usage imediatamente:

inclua caminhos não técnicos, como fluxos de suporte ou redefinição de senha
liste os controles já existentes para que a árvore reflita tentativas de bypass
separe superfícies de ataque de cloud, aplicação, identidade e fator humano
peça ao modelo para registrar premissas quando faltarem evidências
limite a profundidade da árvore se o primeiro resultado vier ruidoso

Um dos maiores ganhos de qualidade vem de nomear interfaces e ações privilegiadas de forma explícita, em vez de descrever o sistema em termos de marketing.

FAQ da skill attack-tree-construction

A attack-tree-construction é boa para iniciantes

Sim, desde que você já entenda o sistema que está sendo modelado. A estrutura ajuda iniciantes a evitar listas aleatórias de ameaças. Mas ainda assim é preciso fornecer escopo, ativos e objetivos do atacante; a skill não substitui conhecimento do sistema.

Quando devo usar attack-tree-construction em vez de um prompt normal

Use attack-tree-construction quando você precisar de lógica de ramificação, comparação de caminhos de ataque e de um modelo que possa ser revisado com outras pessoas. Um prompt comum serve para brainstorming rápido, mas costuma misturar pré-condições, ações e resultados sem deixar claras as relações entre eles.

Isso serve só para segurança de aplicações

Não. A attack-tree-construction skill também pode ser usada para infraestrutura, identidade, CI/CD, workflows próximos de insider threat e casos de abuso operacional, desde que você consiga definir um objetivo raiz do atacante e subobjetivos relevantes.

Quando a attack-tree-construction é uma escolha ruim

Ela não é uma boa opção quando:

seu escopo ainda não está definido
você precisa de uma enumeração completa de ameaças para muitos objetivos sem relação entre si
você quer mapeamento de compliance, e não raciocínio de atacante
a descrição do sistema é vaga demais para sustentar nós folha concretos

Nesses casos, faça primeiro o scoping ou um threat modeling mais alto nível.

A skill inclui automação ou templates

Não muito. Pelo formato do repositório, a skill é guiada por documento e vive em SKILL.md, sem scripts auxiliares nem assets de referência. Isso simplifica a adoção, mas também significa que a disciplina na formulação do prompt pesa mais do que o suporte de ferramenta.

Posso usar attack-tree-construction para comunicar com stakeholders

Sim. Esse é um dos melhores usos. Árvores de ataque comunicam risco com mais clareza do que textos longos porque mostram como caminhos alternativos e caminhos encadeados levam ao mesmo resultado com impacto para o negócio.

Como melhorar a skill attack-tree-construction

Dê contexto de sistema melhor, não mais texto

A forma mais rápida de melhorar os resultados de attack-tree-construction é fornecer fatos estruturados:

componentes
usuários e papéis
limites de confiança
operações sensíveis
pontos de entrada
defesas existentes

Um briefing curto e específico do sistema vence uma descrição longa e genérica toda vez.

Afine o objetivo antes de expandir a árvore

Se a primeira saída parecer rasa ou caótica, normalmente o objetivo raiz está amplo demais. Divida “comprometer a plataforma” em objetivos mais estreitos e depois execute a attack-tree-construction skill separadamente para cada um.

Force o modelo a incluir caminhos que costumam passar batido

Muitas árvores de primeira passada focam demais em exploits técnicos diretos. Peça explicitamente ramos cobrindo:

workflows de identidade e acesso
recuperação de credenciais
integrações de terceiros
CI/CD e manuseio de segredos
ferramentas de administração ou suporte
abuso de má configuração

Isso costuma revelar caminhos mais realistas do que árvores focadas só em vulnerabilidades.

Remova nós vagos e exija decomposição concreta

Falhas comuns:

pai e filho dizem quase a mesma coisa
as folhas não são acionáveis
os ramos misturam objetivos do atacante com mitigações
a árvore para antes de chegar a um nível útil de especificidade

Corrija isso pedindo:

“Rewrite vague leaves into concrete attacker actions.”
“Separate preconditions from exploit steps.”
“Stop only when each leaf can be tested or mitigated directly.”

Adicione uma iteração orientada a controles após o primeiro rascunho

Uma segunda passada forte é:

marcar quais ramos os controles atuais já enfraquecem
identificar ramos sem controle relevante
estimar quais caminhos de baixo custo continuam viáveis
propor mitigações no nível de ramo ou de folha

Isso transforma attack-tree-construction for Threat Modeling de análise em priorização.

Compare árvores com diferentes premissas sobre o atacante

Se o resultado parecer irrealista, varie o modelo de atacante:

atacante externo oportunista
usuário autenticado com baixo privilégio
integrador malicioso
atacante com capacidade de phishing

Na prática, a melhor forma de melhorar o attack-tree-construction guide é gerar árvores separadas por perfil de atacante, em vez de forçar uma única árvore a cobrir todos os threat actors.

Use a saída como um artefato vivo de revisão

As equipes que tiram mais valor não geram uma árvore e param por aí. Elas atualizam o material quando:

a arquitetura muda
novos controles entram em produção
incidentes revelam ramos esquecidos
pentests validam ou eliminam caminhos

É nesse uso iterativo que a attack-tree-construction skill se torna mais valiosa do que um prompt pontual.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner é uma skill de auditoria de segurança para Algorand TEAL e PyTeal. Ela ajuda a identificar 11 problemas comuns, incluindo ataques de rekeying, lacunas na validação de taxas, checagens de campos e falhas de controle de acesso. Use a skill algorand-vulnerability-scanner para uma revisão prática inicial antes de uma auditoria manual.

Security Audit

Favoritos 0GitHub 4.9k

evaluating-threat-intelligence-platforms

por mukul975

evaluating-threat-intelligence-platforms ajuda você a comparar produtos TIP por ingestão de feeds, suporte a STIX/TAXII, automação, fluxo de trabalho do analista, integrações e custo total de propriedade. Use este guia de evaluating-threat-intelligence-platforms para compras, migração ou planejamento de maturidade, incluindo evaluating-threat-intelligence-platforms para Threat Modeling quando a escolha da plataforma afetar rastreabilidade e compartilhamento de evidências.

Threat Modeling

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

Threat Modeling

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

collecting-threat-intelligence-with-misp

por mukul975

A skill collecting-threat-intelligence-with-misp ajuda você a coletar, normalizar, pesquisar e exportar inteligência de ameaças no MISP. Use este guia de collecting-threat-intelligence-with-misp para feeds, fluxos de trabalho com PyMISP, filtragem de eventos, redução de warninglists e aplicações práticas de collecting-threat-intelligence-with-misp para Threat Modeling e operações de CTI.

Threat Modeling

Favoritos 0GitHub 0

analyzing-threat-intelligence-feeds

por mukul975

O analyzing-threat-intelligence-feeds ajuda você a ingerir feeds de CTI, normalizar indicadores, avaliar a qualidade dos feeds e enriquecer IOCs para fluxos de trabalho com STIX 2.1. Este skill analyzing-threat-intelligence-feeds foi criado para operações de threat intel e análise de dados, com orientações práticas para TAXII, MISP e feeds comerciais.

Data Analysis

Favoritos 0GitHub 0

cosmos-vulnerability-scanner

por trailofbits

O cosmos-vulnerability-scanner encontra bugs críticos para o consenso em módulos do Cosmos SDK, contratos CosmWasm, integrações IBC e stacks Cosmos EVM. Use este guia do cosmos-vulnerability-scanner em fluxos de auditoria de segurança, análise de risco de paralisação da cadeia, caminhos de perda de fundos e revisões pré-lançamento.

Security Audit

Favoritos 0GitHub 4.9k

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-email-forwarding-rules-attack

por mukul975

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

Security Audit

Favoritos 0GitHub 0

analyzing-ios-app-security-with-objection

por mukul975

A skill analyzing-ios-app-security-with-objection ajuda testadores autorizados a executar verificações de segurança em runtime de apps iOS com Objection e Frida. Use-a para revisar exposição de Keychain, armazenamento no sistema de arquivos, cookies, SSL pinning, detecção de jailbreak e outras defesas no lado do cliente durante uma Auditoria de Segurança. Inclui orientação de fluxo de trabalho, etapas de instalação e notas práticas de uso.

Security Audit

Favoritos 0GitHub 0

analyzing-heap-spray-exploitation

por mukul975

analyzing-heap-spray-exploitation ajuda a analisar exploração por heap spray em memory dumps com Volatility3. Identifica padrões de NOP sled, alocações grandes suspeitas, zonas de pouso de shellcode e evidências de VAD de processo para auditoria de segurança, triagem de malware e validação de exploits.

Security Audit

Favoritos 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

por mukul975

Skill para detecção de ataques à cadeia de suprimentos em CI/CD, voltado para auditoria de GitHub Actions e configurações de CI/CD. Ajuda a identificar actions sem pinagem, injeção de scripts, dependency confusion, exposição de segredos e permissões arriscadas em fluxos de Security Audit. Use para revisar um repositório, arquivo de workflow ou uma alteração suspeita no pipeline, com achados claros e correções sugeridas.

Security Audit

Favoritos 0GitHub 0

detecting-api-enumeration-attacks

por mukul975

detecting-api-enumeration-attacks ajuda equipes de Security Audit a detectar sondagens em APIs, BOLA e IDOR ao analisar IDs sequenciais, picos de 404, falhas de autorização e caminhos de descoberta em documentação. Foi criado para orientar detecção baseada em logs, elaboração de regras e revisão prática de padrões de abuso de API.

Security Audit

Favoritos 0GitHub 0