2026 最新安全 Skill 合集（CTF / 审计 / 渗透 / 红队）威胁建模一网打尽

0x01 工具介绍2026 年安全领域正在全面进入「Skill 化」时代。从 CTF 解题、代码审计到渗透测试、红队攻防与威胁建模大量经验被结构化为可复用的 AI Skill。这些开源项目不仅沉淀了漏洞利用与攻防方法更让安全能力从“知识”升级为“可执行流程”。本文汇总 GitHub 最新安全 Skill 体系带你一站式掌握从入门到实战的完整能力版图。注意现在只对常读和星标的公众号才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨Skill功能说明 1. Agent Skills Hub定位最完整的“渗透测试技能链平台”特点内置40生产级 skills覆盖渗透测试全流程拆成模块Recon / 扫描 / 利用 / 提权 / 报告强调标准化 Skill Contract可复用可验证支持自动化执行CLI JSON输出本质把“渗透测试流程”拆成可组合技能流水线 2. ctf skills定位CTF 全领域解题技能库特点覆盖 Web / Pwn / Crypto / Reverse / Forensics / OSINT每个方向都有独立 skill 技术手册支持自动调用/solve-challenge集成真实 writeup 和技巧库解决CTF挑战的特工技能——包括Web漏洞利用、二进制破解、密码学、逆向工程、取证、开源情报等。本质把 CTF 经验 → 结构化“解题策略库” 3. code audit定位最成熟的通用代码审计 Skill特点支持9种语言 14框架 55漏洞类型核心双轨审计模型Sink Control多 Agent 并行审计大型项目也能跑自动构建攻击链不是只报漏洞本质把“资深审计工程师经验”工程化 4. PHP Code Audit Skill定位最细粒度的 PHP 审计技能体系特点拆成几十个子 skillSQLi / XSS / SSRF / XXE 等核心机制证据契约EVID_*驱动强制必须有完整数据流证据链才能判漏洞支持完整 pipeline路由→数据流→漏洞→利用链本质把“漏洞确认标准”做成强约束系统☕ 5. java audit skills定位Java Web 审计自动化流水线特点支持 Spring / Servlet / JWT / Shiro 等自动做路由提取 参数映射 鉴权分析支持反编译.jar/.class做审计可生成接口文档 安全分析报告本质把 Java 审计流程“流水线化 自动化” 6. threat modeling定位安全体系级 Skill最上层特点8阶段威胁建模流程STRIDECode-first直接从代码建模输出风险评估 / 攻击路径 / 渗透计划集成 MITRE ATTCK / OWASP 等知识库本质从“漏洞挖掘”升级到“全局安全设计”⚔️ 7. Anthropic-Cybersecurity-Skills定位最大规模的安全 Skill 集合全领域覆盖特点收录700 安全 skills覆盖 30 细分领域涵盖 Web 安全 / 渗透测试 / 红队 / DFIR / 云安全等按能力模块划分结构清晰易于调用与扩展适合作为 AI 安全 Agent 的能力库本质构建一个“安全 Skill 操作系统”将攻防经验全面模块化0x03 更新介绍已更新至最新版本末尾可下载0x04 使用介绍基础使用流程1️⃣ 选择目标CTF题目附件 / URL审计源码 / jar / 项目渗透目标系统 / IP建模系统架构 / 代码仓库2️⃣ 调用对应 Skill常见方式命令调用/scan-target/audit-code/sqli-test/solve-challenge3️⃣ 观察执行过程Skill 通常会自动完成信息收集Recon漏洞识别Findings利用路径Exploit Chain风险分析Impact由于不同 Skill 的安装与配置方式存在差异具体步骤请参考各项目的 README 文档。下载公众号回复20260404获取下载