collecting-open-source-intelligence
作者 mukul975collecting-open-source-intelligence 技能帮助分析人员收集并整合被动 OSINT,用于威胁情报分析,涵盖敌对基础设施、钓鱼支撑系统、暴露服务和公开指标等内容。它面向结构化补充、跨源关联和可直接写入报告的输出,支持使用 Shodan、crt.sh、WHOIS/RDAP 和 GitHub 暴露检查来完成工作。
该技能评分为 78/100,适合希望获得真实 OSINT 收集工作流、而不是泛化提示词的目录用户。仓库提供了足够的结构、工具和触发指引,能帮助代理识别何时使用它,并减少执行时的猜测;不过,用户仍需预留一定的配置成本,并注意授权相关的限制。
- 针对 OSINT、威胁行为者基础设施、钓鱼调查和授权侦察场景,提供了清晰的启用指引
- 具备较强的实操深度:SKILL.md、API 参考和 Python agent 脚本明确列出了 Shodan、crt.sh、RDAP WHOIS、SecurityTrails 和 GitHub code search 等数据源与函数
- 可信度信号良好:frontmatter 完整、无占位标记、明确的被动使用警告,并且包含仓库支持的脚本/参考文件
- SKILL.md 中没有安装命令,用户可能需要从参考文件中自行推断安装和依赖步骤
- 工作流依赖 Shodan 和 Maltego 等外部 API 与工具,没有密钥或许可证的用户可能无法立即使用
collecting-open-source-intelligence 技能概览
这个技能能做什么
collecting-open-source-intelligence 技能帮助你为威胁情报工作收集并整合被动 OSINT:恶意基础设施、钓鱼支撑系统、暴露服务以及相关公开指标。它更适合需要用结构化方式补强调查的分析师,而不是只是想要一个通用网页搜索提示词的人。
适合谁安装
如果你从事 CTI、事件响应、授权红队侦察,或者外部攻击面评估,就适合安装这个 collecting-open-source-intelligence 技能。它适合希望针对 Shodan、crt.sh、WHOIS/RDAP、GitHub 暴露面以及类似公开来源执行实操采集步骤的读者。
它为什么有用
它的核心价值在于流程指导:它会引导你优先做被动采集、跨来源关联,以及生成可直接写入报告的输出。这让它在需要为威胁行为体或基础设施分析持续收集证据时,比一次性的 collecting-open-source-intelligence 使用提示更有用。
如何使用 collecting-open-source-intelligence 技能
安装并加载正确上下文
使用 npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill collecting-open-source-intelligence 安装。然后先读 SKILL.md,再读 references/api-reference.md 和 scripts/agent.py,这样在让模型开始执行前,你就能理解它预期的数据流和必需输入。
把模糊目标变成可用提示
要获得更好的 collecting-open-source-intelligence 使用效果,请明确目标、授权边界和你希望得到的输出。好的输入示例可以是:“为一份威胁情报简报收集 example.com 的被动 OSINT。重点关注子域名、证书数据、Shodan 暴露面和 GitHub 关联。返回一张简洁的证据表和关键判断点。” 像“调查这个域名”这样的弱输入,会给模型留下太多猜测空间。
先提供哪些信息
先把要分析的域名、IP、活动名称、行为体别名或基础设施集合给到技能,同时附上你已经掌握的指标。如果你已经知道受众,也要说明输出是用于初步分流、CTI 补充,还是高层汇报;这会影响技能该强调多少细节和归因信息。
按被动优先的顺序推进
仓库里的工作流支持先做被动采集,再做关联分析。先从证书透明日志、RDAP/WHOIS、Shodan 和 GitHub 暴露检查入手,再把结果整合成简短评估。除非你的范围明确允许主动侦察,否则不要让它去“扫描”,因为这会改变任务的法律和运营属性。
collecting-open-source-intelligence 技能常见问题
这只适用于威胁情报吗?
不是。collecting-open-source-intelligence 技能在 Threat Intelligence 场景下最强,但它也适用于授权的事前侦察和外部暴露面评估。如果你的目标是产品营销、泛品牌研究或新闻调查,它通常就不是合适工具。
我需要安装 Shodan 或 Maltego 之类的工具吗?
这个技能的设计确实围绕这些生态,但你不必把所有工具都装齐才能把指导用好。更关键的问题是:你能否访问工作流所依赖的数据源,尤其是 Shodan、GitHub 和证书透明日志。
它和普通提示词有什么不同?
普通提示词通常只问一个答案。这个 collecting-open-source-intelligence 指南更适合你需要可重复的采集流程、来源选择和输出结构时使用。这样可以减少漏掉指标的情况,也更方便把结果复用到报告里。
对新手友好吗?
友好,但前提是你已经理解 OSINT 采集必须保持被动,除非你的授权另有说明。新手最适合从一个域名或一个活动开始,让技能替你组织来源和摘要。
如何改进 collecting-open-source-intelligence 技能
把分析目标说清楚
质量提升最大的地方,是明确你要支持的决策。“找出与钓鱼活动有关的基础设施” 和 “为报告补强一个 CTI 档案” 会产出完全不同的结果。目标越明确,collecting-open-source-intelligence 技能就越能正确排序来源和判断重点。
加上约束和范围边界
明确说明不要做什么:不要主动扫描、不要做暗网后续追踪、不要进行推测性归因,或者不要收集命名域集合之外的信息。这可以防止模型越界到不安全或无效的方向,也能让 collecting-open-source-intelligence 的输出保持与你的案件一致。
要求给出证据,而不只是结论
有用的输出应该标明每条观察来自哪里,并区分已确认指标和推断关联。如果第一版过于宽泛,可以要求更紧凑的证据表、逐来源置信度说明,或者一份更短的“是什么改变了我的判断”总结。
用更好的种子数据反复迭代
提升效果最快的方法,是补充更具体的起点:已知域名、IP、证书主题、ASN 线索、用户名或 repo 名称。对于面向 Threat Intelligence 的 collecting-open-source-intelligence 来说,哪怕只是一个很小的种子集合,也往往比单纯给出一个泛化目标名称更能产出高质量的关联分析。