collecting-open-source-intelligence
bởi mukul975Kỹ năng thu thập open-source intelligence giúp nhà phân tích thu thập và tổng hợp OSINT thụ động phục vụ Threat Intelligence, bao gồm hạ tầng đối thủ, hệ thống hỗ trợ phishing, dịch vụ bị lộ và các chỉ dấu công khai. Kỹ năng này được thiết kế cho việc làm giàu dữ liệu có cấu trúc, đối chiếu đa nguồn và xuất kết quả sẵn sàng đưa vào báo cáo bằng Shodan, crt.sh, WHOIS/RDAP và kiểm tra lộ diện trên GitHub.
Kỹ năng này đạt 78/100, tức là một ứng viên khá vững cho thư mục dành cho người dùng muốn có một quy trình thu thập OSINT thực thụ thay vì một prompt chung chung. Repository cung cấp đủ cấu trúc, công cụ và hướng dẫn kích hoạt để giúp tác tử nhận biết khi nào nên dùng và thực thi ít phải đoán mò hơn, dù người dùng vẫn nên kỳ vọng sẽ cần thiết lập ban đầu và lưu ý về quyền hạn.
- Hướng dẫn kích hoạt rõ ràng cho các tình huống OSINT, hạ tầng tác nhân đe doạ, điều tra phishing và trinh sát được ủy quyền
- Độ sâu vận hành tốt: SKILL.md cùng phần tham chiếu API và khung script Python của tác tử nêu rõ các nguồn và hàm như Shodan, crt.sh, RDAP WHOIS, SecurityTrails và tìm kiếm mã trên GitHub
- Tín hiệu tin cậy tốt: frontmatter hợp lệ, không có marker placeholder, cảnh báo rõ chỉ dùng cho mục đích thụ động và có file script/tham chiếu đi kèm repo
- SKILL.md không có lệnh cài đặt, nên người dùng có thể phải tự suy ra các bước thiết lập và phụ thuộc từ các file tham chiếu
- Quy trình phụ thuộc vào API và công cụ bên ngoài như Shodan và Maltego, điều này có thể hạn chế việc sử dụng ngay lập tức với người dùng chưa có key hoặc giấy phép
Tổng quan về kỹ năng collecting-open-source-intelligence
Kỹ năng này làm gì
Kỹ năng collecting-open-source-intelligence giúp bạn thu thập và tổng hợp OSINT thụ động cho công việc threat intelligence: hạ tầng đối thủ, hệ thống hỗ trợ phishing, dịch vụ bị lộ, và các chỉ báo công khai liên quan. Kỹ năng này phù hợp nhất với analyst cần một quy trình có cấu trúc để làm giàu điều tra, chứ không phải người chỉ muốn một prompt tìm kiếm web chung chung.
Ai nên cài đặt
Hãy dùng kỹ năng collecting-open-source-intelligence này nếu bạn làm CTI, incident response, recon red team được ủy quyền, hoặc rà soát bề mặt tấn công bên ngoài. Nó phù hợp với những ai muốn các bước thu thập thực tiễn cho Shodan, crt.sh, WHOIS/RDAP, GitHub exposure, và các nguồn công khai tương tự.
Vì sao nó hữu ích
Giá trị chính của nó nằm ở hướng dẫn quy trình: nó đẩy bạn đi theo hướng thu thập thụ động, đối chiếu giữa nhiều nguồn, và tạo đầu ra sẵn sàng đưa vào báo cáo. Vì vậy, nó hữu ích hơn nhiều so với một prompt sử dụng collecting-open-source-intelligence dùng một lần khi bạn cần thu thập bằng chứng nhất quán cho phân tích threat actor hoặc hạ tầng.
Cách sử dụng kỹ năng collecting-open-source-intelligence
Cài đặt và nạp đúng ngữ cảnh
Cài bằng npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill collecting-open-source-intelligence. Sau đó đọc trước SKILL.md, rồi đến references/api-reference.md và scripts/agent.py để hiểu luồng dữ liệu dự kiến và đầu vào cần thiết trước khi yêu cầu model thực hiện.
Biến mục tiêu mơ hồ thành prompt dùng được
Để sử dụng collecting-open-source-intelligence hiệu quả, hãy nêu rõ mục tiêu, ranh giới ủy quyền, và đầu ra bạn muốn. Một đầu vào tốt sẽ giống như: “Thu thập OSINT thụ động về example.com cho một bản brief threat intelligence. Tập trung vào subdomain, dữ liệu chứng chỉ, mức độ phơi lộ trên Shodan, và các tham chiếu GitHub. Trả về một bảng bằng chứng ngắn gọn và các điểm đánh giá chính.” Đầu vào yếu như “Điều tra domain này” sẽ để quá nhiều chỗ cho đoán mò.
Nên cung cấp gì ngay từ đầu
Hãy đưa cho skill domain, IP, tên chiến dịch, bí danh actor, hoặc tập hạ tầng bạn muốn phân tích, cùng với mọi chỉ báo đã biết. Nếu bạn đã biết đối tượng sử dụng đầu ra, hãy nói rõ đó là để triage, làm giàu CTI, hay báo cáo cho cấp điều hành; điều này sẽ quyết định mức độ chi tiết và cách nhấn mạnh attribution mà skill nên dùng.
Làm việc theo trình tự ưu tiên thụ động
Quy trình của repo hỗ trợ thu thập thụ động trước, rồi mới đến đối chiếu. Hãy bắt đầu với certificate transparency, RDAP/WHOIS, Shodan, và các kiểm tra lộ diện trên GitHub, sau đó tổng hợp phát hiện thành một đánh giá ngắn. Tránh yêu cầu nó “scan” trừ khi phạm vi của bạn cho phép recon chủ động một cách rõ ràng, vì điều đó sẽ thay đổi hồ sơ pháp lý và vận hành của nhiệm vụ.
Câu hỏi thường gặp về kỹ năng collecting-open-source-intelligence
Kỹ năng này chỉ dành cho threat intelligence thôi à?
Không. Kỹ năng collecting-open-source-intelligence mạnh nhất cho Threat Intelligence, nhưng nó cũng hữu ích cho recon trước khi tiếp xúc được ủy quyền và rà soát phơi lộ bên ngoài. Nếu mục tiêu của bạn là marketing sản phẩm, nghiên cứu thương hiệu chung, hoặc báo chí, thì đây thường không phải công cụ phù hợp.
Tôi có cần cài các công cụ như Shodan hay Maltego không?
Kỹ năng này được thiết kế xoay quanh các hệ sinh thái đó, nhưng bạn không nhất thiết phải có đủ mọi công cụ mới dùng được hướng dẫn hiệu quả. Điều quan trọng hơn là bạn có truy cập được các nguồn dữ liệu mà quy trình phụ thuộc vào hay không, đặc biệt là Shodan, GitHub, và certificate transparency logs.
Nó khác gì so với một prompt thông thường?
Một prompt thông thường thường chỉ hỏi một câu trả lời. Hướng dẫn collecting-open-source-intelligence này phù hợp hơn khi bạn cần một quy trình thu thập lặp lại được, lựa chọn nguồn rõ ràng, và cấu trúc đầu ra nhất quán. Điều đó giúp giảm việc bỏ sót chỉ báo và làm cho kết quả dễ tái sử dụng trong báo cáo hơn.
Nó có thân thiện với người mới không?
Có, nếu bạn đã hiểu rằng OSINT collection phải giữ ở mức thụ động trừ khi phạm vi ủy quyền của bạn nói khác đi. Người mới sẽ hưởng lợi nhiều nhất khi bắt đầu từ một domain hoặc một chiến dịch, rồi để skill tự tổ chức nguồn và phần tóm tắt cho họ.
Cách cải thiện kỹ năng collecting-open-source-intelligence
Nêu rõ mục tiêu phân tích
Cải thiện chất lượng lớn nhất đến từ việc gọi tên quyết định mà bạn đang hỗ trợ. “Tìm hạ tầng liên quan đến một đợt phishing” sẽ tạo ra đầu ra khác với “làm giàu một hồ sơ CTI để báo cáo.” Mục tiêu càng cụ thể, kỹ năng collecting-open-source-intelligence càng có thể ưu tiên nguồn và xác định mức độ quan trọng tốt hơn.
Ghi rõ ràng các ràng buộc và giới hạn phạm vi
Hãy nói rõ điều không được làm: không active scanning, không theo đuổi dark web, không quy kết suy đoán, hoặc không thu thập ngoài một tập domain đã nêu tên. Điều này ngăn model trôi ra ngoài ranh giới an toàn hoặc hữu ích, đồng thời giữ đầu ra collecting-open-source-intelligence bám sát vụ việc của bạn.
Yêu cầu bằng chứng, không chỉ kết luận
Đầu ra hữu ích sẽ trích dẫn nguồn của từng quan sát và tách biệt các chỉ báo đã xác nhận với các liên kết suy diễn. Nếu bản nháp đầu tiên quá rộng, hãy yêu cầu một bảng bằng chứng chặt hơn, một ghi chú mức độ tin cậy theo từng nguồn, hoặc một bản tóm tắt ngắn hơn về “điều gì đã làm thay đổi đánh giá của tôi”.
Lặp lại với dữ liệu mồi tốt hơn
Cách nhanh nhất để cải thiện kết quả là bổ sung nhiều điểm khởi đầu cụ thể hơn: domain đã biết, IP, certificate subject, gợi ý ASN, username, hoặc repo name. Với collecting-open-source-intelligence cho Threat Intelligence, chỉ cần một bộ seed nhỏ cũng có thể cho ra bước đối chiếu mạnh hơn nhiều so với chỉ một tên mục tiêu chung chung.