如何利用 AI 将安全威胁映射到缓解措施 #

解决安全规划中的断层问题：通过 AI 将识别出的潜在安全威胁精准映射到具体的安全控制项和缓解措施上，从而量化风险并制定可执行的防御方案。

为什么需要这个技能 #

在进行威胁建模或安全审计后，团队通常会得到一份长长的“威胁清单”，但最困难的部分是如何决定用什么手段来解决这些威胁。如果仅仅是凭经验修补，容易导致防御覆盖不全或资源浪费在低风险项上。

本技能让 AI 扮演安全架构师，帮助你建立一套从“威胁 $\to$ 控制项 $\to$ 缓解措施”的映射矩阵。它能确保每一个已知的风险点都有对应的防御机制，并验证这些机制是否能有效降低风险，实现真正的深度防御（Defense-in-Depth）。

适用场景 #

• 优先级排序：在安全预算有限时，决定优先投资于哪些安全控制措施。
• 制定修复路线图：将复杂的安全漏洞转化为可执行的逐步缓解计划。
• 验证防御覆盖率：检查当前的架构是否对所有识别出的威胁都有相应的控制项。
• 安全架构评审：在设计阶段评估系统是否满足安全基线要求。

核心工作流 #

1. 定义输入与约束：向 AI 提供已识别的威胁列表、当前系统架构以及必须遵守的安全标准（如 NIST 或 OWASP）。
2. 执行映射分析：AI 将威胁与潜在的控制措施（Controls）进行匹配，分析该措施如何通过减轻可能性（Likelihood）或影响（Impact）来降低风险。
3. 验证与细化：参考 resources/implementation-playbook.md 中的模式，对生成的映射结果进行验证，确保措施是可落地而非理论性的。
4. 输出执行计划：将映射结果转化为具体的修复步骤，并定义验证该措施是否生效的测试指标。

下载和安装 #

下载 threat-mitigation-mapping 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要 #

暂无推荐