威胁建模

security-bounty-hunter 帮助你在代码仓库中发现更适合拿奖金的漏洞，重点关注可远程访问、由用户可控、且更可能通过初筛的安全问题。适用于 Security Audit 场景中，希望获得可提交、可报告的实际发现，而不是噪音很多的本地影响问题。

llm-trading-agent-security 是一份面向带有钱包权限的自主交易代理的实用安全指南。内容涵盖提示注入、防止超额支出、发送前模拟、熔断机制、考虑 MEV 的执行以及密钥隔离，帮助降低 Security Audit 中的资金损失风险。

defi-amm-security 是一份面向 Solidity AMM、流动性池、LP 金库和 swap 流程的聚焦安全清单。它帮助审计人员和工程师检查重入、CEI 顺序、捐赠或通胀攻击、预言机假设、滑点、管理员控制以及整数运算，减少使用通用提示词时的猜测成本。

cso 是一款面向代理的 Chief Security Officer 风格安全审计技能。它可帮助审查代码库和工作流中的密钥泄露、依赖与供应链风险、CI/CD 安全，以及基于 OWASP Top 10 和 STRIDE 的 LLM/AI 安全问题。适合用 cso 做结构化的 Security Audit 评审，支持置信门控、主动验证和趋势追踪。

attack-tree-construction 可帮助你为 Threat Modeling 构建结构化攻击树，明确根目标、AND/OR 分支以及可验证的叶子攻击节点。你可以用它梳理攻击路径、发现防御缺口，并支持安全评审、测试与缓解方案规划。

security-requirement-extraction 可将威胁模型和业务背景转化为可测试的安全需求、用户故事、验收标准以及适用于 Requirements Planning 的待办项输出。

stride-analysis-patterns 可帮助智能体针对架构、API 和数据流执行结构化的 STRIDE 威胁建模分析。你可以从 wshobson/agents 仓库安装，阅读 `SKILL.md` 文件，并用它将系统描述转化为按类别整理的威胁项和以控制措施为重点的评审输出。

threat-mitigation-mapping 技能用于将已识别的威胁映射到跨层的预防性、检测性和纠正性控制措施，支持纵深防御、修复规划以及控制覆盖审查。

anti-reversing-techniques 是一项面向授权场景的逆向工程技能，适用于恶意软件分析、CTF 题目处理、加壳二进制初步研判和安全审计。它可帮助你识别反调试、反 VM、加壳与混淆模式，并结合核心技能与进阶参考资料，选择更实用的分析工作流。

solidity-security 是一项聚焦 Solidity 审计与安全编码的技能，适合审查重入、访问控制、不安全的外部调用以及修复方案。可用于在正式 Security Audit 前完善合约、优化提示词，并获得比通用审计请求更有结构的审查输出。

security-and-hardening 技能用于在发布前加固应用代码。适用于用户输入、认证、会话、敏感数据、文件上传、webhook 和外部服务等场景，涵盖输入校验、参数化查询、输出编码、安全 Cookie、HTTPS 以及 secrets 处理等具体检查项。

exploiting-insecure-data-storage-in-mobile 技能可帮助评估 Android 和 iOS 应用中的不安全本地存储，并从中提取证据。它涵盖 SharedPreferences、SQLite 数据库、plist 文件、world-readable 文件、备份暴露，以及弱 keychain/keystore 处理，适用于移动渗透测试和 Security Audit 工作流。

detecting-modbus-command-injection-attacks 可帮助安全分析师识别 ICS 和 SCADA 环境中可疑的 Modbus TCP/RTU 写入行为、异常功能码、畸形报文以及相对基线的偏离。适用于事件分诊、OT 监控和安全审计，尤其是在你需要面向 Modbus 的检测指引，而不是通用异常提示时。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联，在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程，覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。

detecting-aws-iam-privilege-escalation 可使用 boto3 和 Cloudsplaining 风格分析，帮助审计 AWS IAM 中的权限提升路径。适合在事件发生前识别危险的权限组合、最小权限违规点和安全审计发现。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

analyzing-campaign-attribution-evidence 帮助分析师综合评估基础设施重叠、ATT&CK 一致性、恶意软件相似性、时间线和语言痕迹，以形成更有依据的 campaign 归因结论。适用于 CTI、事件分析和 Security Audit 复核的 analyzing-campaign-attribution-evidence 指南。

用于查询 Azure Monitor 活动日志和登录日志、发现可疑管理员操作、异地不可能登录、权限提升和资源篡改的 analyzing-azure-activity-logs-for-threats 技能。面向事件初筛，提供 KQL 模式、执行路径和实用的 Azure 日志表使用指南。

analyzing-apt-group-with-mitre-navigator 帮助分析师将 APT 组织的技术映射到 MITRE ATT&CK Navigator 图层，用于检测缺口分析、威胁建模和可重复的威胁情报工作流。它提供了实用指导，涵盖 ATT&CK 数据查询、图层生成，以及对比对手 TTP 覆盖情况。

constant-time-testing 是一项实用技能，用于审计密码学代码中的时间侧信道。使用 constant-time-testing 技能检查依赖秘密数据的分支、内存访问模式和微架构行为，然后结合 Security Audit 工作流中的聚焦式 constant-time-testing 指南进行分析。

ton-vulnerability-scanner 是一个面向 TON、专注于 FunC 编写的智能合约审计技能。它可帮助识别把整数当布尔值使用、伪造 Jetton 合约处理，以及在转发 TON 时遗漏 gas 检查等问题。适合在深入人工复核前，先做一轮快速的安全初筛。

substrate-vulnerability-scanner 可帮助审计 Substrate 和 FRAME pallets 中的关键问题，例如算术溢出、panic 型 DoS、错误的 origin 检查、不正确的 weights，以及不安全的 unsigned extrinsics。Security Audit 审查中可使用这个 substrate-vulnerability-scanner 技能，适用于 runtime、pallet extrinsics 和 weight 逻辑的检查。

solana-vulnerability-scanner 是一款聚焦的 Solana 安全审计技能，面向原生 Rust 和 Anchor 程序。它可帮助审查 CPI 逻辑、PDA 校验、签名者与所有权检查，以及 sysvar 欺骗问题，在部署前尽早发现 6 类 Solana 特有的严重漏洞。