red-team
作者 alirezarezvanired-team 是一个用于授权对手模拟规划的 skill,适合红队任务、攻击路径分析、MITRE ATT&CK 序列设计、choke point 评分、OPSEC 风险提示以及 crown jewel targeting。它包含 planner 脚本和方法论参考,帮助在明确授权范围内更安全地开展演练。
该 skill 评分为 82/100。对于需要结构化红队任务规划,而不是通用 offensive-security prompt 的目录用户来说,它是一个较稳妥的收录候选。仓库证据显示,它提供了足够的方法论、工作流指引,以及可用的 planner 脚本,能让 agent 以更少猜测触发并执行该 skill。不过,由于缺少安装说明,且技术覆盖范围可能受限,实际采用门槛会略高。
- 触发范围清晰:适用于授权红队演练、攻击路径分析、攻击性模拟,并明确区别于漏洞扫描或事件响应。
- SKILL.md 中包含较充分的实战方法内容,包括 kill-chain 方法论、技术评分、choke point 分析、OPSEC 风险评估、crown jewel targeting、工作流、反模式以及交叉引用。
- 包含可执行的辅助工具 `scripts/engagement_planner.py`,并提供使用示例、授权校验、JSON 输出、退出码,以及技术和访问级别校验。
- skill 路径下没有安装命令或 README,因此用户需要根据更大的仓库结构自行推断安装方式。
- 从提供的片段看,planner 似乎使用的是有限的内置技术目录;如果需要覆盖更完整的 MITRE ATT&CK,团队可能需要自行扩展。
red-team skill 概览
red-team skill 适合用来做什么
red-team skill 是一个用于授权对抗模拟规划的 skill,可帮助你构建结构化的红队演练计划、攻击路径、MITRE ATT&CK 技术序列、卡点分析、OPSEC 风险说明,以及 crown jewel 目标规划。它最适合安全团队、咨询顾问、purple-team 负责人,以及需要可复用规划框架的 AI agent,而不是临时拼凑一个进攻安全提示词。
它不是漏洞扫描器、漏洞利用生成器,也不是事件响应 playbook。它真正解决的问题是:帮助你推演在获得授权的模拟攻击中,攻击者如何从一个明确的初始访问级别推进到高价值资产,哪些技术会带来更高的操作风险,以及防守方可以在哪些位置验证控制效果。
最适合的用户和演练类型
当你已经具备书面授权、明确的范围、已知或候选的 MITRE ATT&CK 技术,并且需要产出规划类工件时,适合使用这个 red-team skill。它适用于:
- 已签署 Rules of Engagement 的内部红队演练
- 面向 AD、数据库、云存储或支付系统等 crown jewels 的攻击路径分析
- 防守方需要预期 telemetry 和 choke points 的 purple-team 规划
- 面向管理层的风险讨论,需要对攻击路径进行工作量和检测风险评分
如果你只是需要基础检查清单、未认证漏洞发现、恶意软件开发,或紧急处置分诊,它的价值会比较有限。
这个 skill 的差异点
它真正有用的差异点在于规划结构。仓库包含 SKILL.md、位于 references/attack-path-methodology.md 的配套方法论文档,以及位于 scripts/engagement_planner.py 的辅助脚本。三者共同聚焦于:
- 基于所选技术组装 kill-chain 阶段
- 使用检测风险和前置条件进行工作量评分
- 在攻击路径中识别 choke points
- 评估 OPSEC 风险
- 规划 crown jewel 路径
因此,相比泛泛地要求“帮我做一个红队计划”,red-team skill 能提供更具实战结构的规划框架。
如何使用 red-team skill
red-team 安装与仓库阅读路径
在 Claude skills 环境中安装该 skill:
npx skills add alirezarezvani/claude-skills --skill red-team
安装后,建议按以下顺序阅读文件:
SKILL.md— 主流程、边界、反模式和演练逻辑scripts/engagement_planner.py— 展示预期输入和输出模型references/attack-path-methodology.md— 解释攻击路径图、工作量评分和 choke point 分析
在编写提示词之前,脚本尤其有帮助,因为它暴露了实际输入 schema:--techniques、--access-level、--crown-jewels、--authorized 和 --json。
red-team skill 需要哪些输入
为了稳定地使用 red-team,输入不要只给一个模糊目标。更可靠的输入包括:
- 授权状态和 RoE 摘要
- 演练目标,例如检测验证或 crown jewel 访问模拟
- 初始访问级别:
external、internal或credentialed - 范围内系统、业务单元、云账号或网络分段
- 范围外系统和禁止操作
- 候选 MITRE ATT&CK 技术,例如
T1078、T1059、T1003 - Crown jewels,例如 “Domain Controller”、“S3 Data Lake” 或 “PCI database”
- 检测、日志和 EDR 假设
- 所需输出格式:计划、攻击路径表、OPSEC 风险登记表或 JSON
弱提示词只会要求“做一个红队计划”。更强的提示词会给出 skill 可以排序和评分的约束条件。
更好使用 red-team 的提示词模式
使用该 skill 时,应要求 agent 应用仓库方法论,而不是只总结方法论。示例:
Use the
red-teamskill to create an authorized engagement plan. We have signed RoE for a production-safe simulation against the corporate Windows domain. Starting access level iscredentialed. In scope: AD, endpoint fleet, internal file shares. Out of scope: destructive actions, persistence beyond test window, password spraying, and production data exfiltration. Candidate techniques:T1078,T1059.001,T1003.001,T1550.002. Crown jewels: Domain Controller and HR file share. Prioritize attack paths by effort score and detection risk, identify choke points, list OPSEC risks, and suggest defender validation points.
这个提示词有效,是因为它提供了授权、范围、访问级别、技术、crown jewels 和输出预期。
使用 engagement planner 脚本
如果你希望在撰写叙事型计划前先获得结构化输出,可以在 skill 目录下本地运行辅助脚本:
python3 scripts/engagement_planner.py --techniques T1059,T1078,T1003 --access-level external --authorized --json
使用 --list-techniques 可以查看支持的技术 ID。应把这个脚本视为规划辅助工具,而不是完整的演练授权依据。它内置的技术列表有限,因此在需要时,要把真实的 ATT&CK 目录和环境约束重新映射回 skill 提示词中。
red-team skill 常见问题
red-team 适合 Penetration Testing 吗?
red-team 可以支持 red-team for Penetration Testing 工作,但它比标准渗透测试清单更窄,也更偏战略规划。Penetration testing 通常强调发现并验证漏洞。这个 skill 更强调对抗模拟:串联技术、建模攻击路径、识别 choke points,并测试检测与响应控制。
初学者可以使用这个 red-team skill 吗?
初学者可以用它学习结构化演练规划,但不应把它当作授权或操作许可。该 skill 假设你理解 RoE、范围边界、MITRE ATT&CK 术语、访问级别,以及为什么 OPSEC 在合法安全演练中很重要。如果这些概念还不熟悉,应在资深安全审核人员的指导下使用。
主要采用阻碍是什么?
最大的阻碍是缺少授权、范围模糊,以及环境上下文不完整。对于“某个公司网络”这样的描述,如果没有访问级别、允许使用的技术、禁止操作、crown jewels 和检测假设,该 skill 无法负责任地进行规划。另一个阻碍是期待内置脚本覆盖所有 ATT&CK 技术;它是实用型规划器,不是完整的 ATT&CK 数据库。
什么时候不应该使用它?
不要将这个 skill 用于未授权目标、漏洞利用开发、恶意软件指令、凭证窃取、超出批准测试窗口的持久化,或没有签署 RoE 的实战活动。如果任务是事件响应、合规证据收集或简单漏洞扫描,也应避免使用它;这些场景需要不同的工作流。
如何改进 red-team skill
用更强约束改进 red-team 输出
提升 red-team 结果最快的方法,是把约束写清楚。包括时间窗口、业务影响限制、允许使用的工具、被禁止的技术、日志覆盖范围,以及“成功”具体意味着什么。例如,“simulate access to the HR file share without data exfiltration” 会比 “get to HR data” 产出更安全、更可执行的规划。
需要留意的常见失败模式
注意那些过于泛化、跳过 RoE 假设、过度偏向炫技技术,或忽视检测风险的计划。另一个常见问题是只有一条线性的 kill chain,没有替代路径。应要求提供多条路径、工作量评分、可能的检测点,以及防守方可以衡量控制有效性的 choke points。
在第一版计划之后继续迭代
拿到第一版输出后,可以提出更有针对性的追问:
- “Re-rank paths assuming EDR detects PowerShell heavily.”
- “Remove techniques outside credentialed-access scope.”
- “Convert this into a purple-team exercise table.”
- “Add expected telemetry for each phase.”
- “Identify the minimum safe simulation steps for executives.”
这些迭代可以把 red-team 指南从静态模板,转化为贴合你环境的具体计划。
按你的环境扩展这个 skill
对于成熟团队,可以用自己的 ATT&CK 映射、资产关键性模型、EDR 可见性假设、云身份路径和已批准技术库来定制 skill 输入。你也可以调整 engagement_planner.py,加入内部技术约束、检测评分和 crown jewel 定义。这个 skill 越能反映你的真实控制措施和 RoE,它的攻击路径分析就越有价值。
