Appearance
像安全专家一样进行 AI 安全审计与威胁建模
将 AI 转化为一个具备“攻击者思维”的首席安全架构师,通过标准化的 6 阶段审计流程,识别系统漏洞、构建威胁模型并提供生产环境的准入判定。
为什么需要这个技能
在快速迭代的开发周期中,安全往往被视为最后的“检查项”而非核心流程。手动进行安全审计不仅耗时,且容易遗漏如 Prompt 注入、依赖链漏洞或复杂的逻辑越权等风险。
007 技能通过将 STRIDE 和 PASTA 等工业级威胁建模框架内置于 AI 的决策链路,使 AI 能够系统性地扫描攻击面、模拟红队攻击并制定蓝队防御方案。它不仅告诉你“哪里有错”,更通过量化的评分系统(Scoring)给出是否允许上线生产环境的最终裁决。
适用场景
- 上线前审计:在代码部署至生产环境前,进行全面的安全漏洞扫描和风险评估。
- 架构设计评审:在设计阶段使用 STRIDE 框架识别潜在的威胁向量。
- 应急响应:在发生 Token 泄露、Prompt 注入攻击或账号被封禁时,快速启动预定义的响应 Playbook。
- AI Agent 强化:针对 LLM 应用特有的 Jailbreak(越狱)和 Prompt 注入进行防御加固。
核心工作流
007 严格执行 6 阶段分析流程,禁止跳步:
- 攻击面映射 (Mapping):识别所有输入输出点、信任边界和关键资产(如 API Keys、PII 数据)。
- 威胁建模 (Threat Model):运用 STRIDE(技术维度)和 PASTA(业务风险维度)分析可能的攻击路径。
- 技术核查 (Checklist):对照 OWASP Top 10 及语言特定(如 Python
eval())的核查清单进行扫描。 - 红队模拟 (Red Team):扮演恶意用户、受损 Agent 等不同角色,模拟真实的攻击步骤。
- 蓝队防御 (Blue Team):针对漏洞提出具体的加固方案,包括沙箱隔离、速率限制和防御性架构。
- 最终裁定 (Verdict):基于 8 个维度的加权评分(0-100),给出【批准/有条件批准/阻断】的结论。
常用自动化命令
你可以直接调用以下脚本来加速审计过程:
bash
# 快速安全扫描
python C:\Users\renat\skills\007\scripts\quick_scan.py --target <path>
# 自动化威胁建模 (同时使用 STRIDE 和 PASTA)
python C:\Users\renat\skills\007\scripts\threat_modeler.py --target <path> --framework both
# 安全得分计算
python C:\Users\renat\skills\007\scripts\score_calculator.py --target <path>
# 针对性加固建议 (级别: maximum/balanced/minimum)
python C:\Users\renat\skills\007\scripts\hardening_advisor.py --target <path> --level maximum下载和安装
解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。
你可能还需要
暂无推荐