はじめに
「AIエージェントにペネトレーションテスト(侵入テスト)やインシデント対応を任せたい」。
そう考える人は増えていますが、いざ任せてみると、エージェントが現場の細かい道具立てを知らないことに気づきます。
たとえば、Volatility3(メモリの中身を解析するツール)で、どの機能を呼び出せばいいのか。
Kerberoasting(Active Directoryを狙う攻撃)を見つけるには、Sigma(検知ルールを書くための共通フォーマット)でどんなルールを書けばいいのか。
こうした実務の勘どころは、汎用的な大規模言語モデル(LLM)の知識には含まれていません。
この「知識の空白」を埋めるために作られたのが、本記事で紹介する Anthropic-Cybersecurity-Skills です。
このリポジトリは、AIエージェント向けに構造化された817個のサイバーセキュリティ・スキルを収録したオープンソースのナレッジベースです。
攻撃側(レッドチーム)と防御側(ブルーチーム)の両方を扱い、各スキルは MITRE ATT&CK をはじめとする6つの業界フレームワークに紐づけられています。
この記事では、実際にリポジトリをクローンして中身を1ファイルずつ読み解いた結果をもとに、次の点を丁寧に解説します。
- このプロジェクトが「何ではないか」(最初に押さえるべき誤解)
- スキル1個がどんな構造でできているか(SKILL.md の解剖)
- なぜ817個も詰め込んでもエージェントのコンテキストが溢れないのか
- 6フレームワーク横断マッピングという独自の強み
- 実際に中身を読んで気づいた、採用前に知っておくべき品質のばらつき
対象読者は、Claude Code・Codex・Cursor・Copilot などでエージェントを運用していて「セキュリティ系のスキルを足したい」と考えている方、あるいは「Agent Skill という仕組みが実際どう作られているのか」に興味があるエンジニアです。
セキュリティの専門知識は前提としませんが、MITRE ATT&CK や SIEM(ログを集約して脅威を検知する基盤)といった用語が登場します。
その都度かんたんに補足します。
なお、本記事の調査はリポジトリの main ブランチ(plugin v1.3.0、817スキル時点)を読んだ結果に基づきます。
スキルは活発に追加されているため、数値は閲覧時期によって変わります。
要点まとめ
- 正体: AIエージェントに「シニアアナリストの判断ワークフロー」を与える、817スキルのオープンソース知識ベース。スクリプト集でも payload 集でもない。
- 最大の注意点: 名前に「Anthropic」と付くが、Anthropic公式ではない。個人(mukul975 氏)が始めたコミュニティプロジェクト。
-
仕組み: 各スキルは
SKILL.mdという1ファイルが核。YAMLの見出し情報だけなら約30トークンで読め、本文をフルロードしても500〜2000トークン。だから817個あっても一度に検索できる。 - 独自性: 全スキルを6フレームワーク(MITRE ATT&CK / NIST CSF 2.0 / MITRE ATLAS / D3FEND / NIST AI RMF / MITRE F3)に横断マッピング。ここまで揃えたOSSは珍しい。
- 採用判断: 規模と網羅性は突出。一方で一部スキルの本文にテンプレ自動生成的な汎用文が混じるため、使うスキルは個別に中身を確認するのが安全。
Anthropic-Cybersecurity-Skills とは
ひとことで言うと、「AIエージェントが読み込んで、その通りに作業すれば一人前のセキュリティ担当者のように振る舞えるようになる手順書」を817個集めたものです。
セキュリティ業界には、もともと「攻撃用のワードリスト」「エクスプロイトコード」「設定チェックリスト」を集めたリポジトリが無数にあります。
ただ、それらは断片的な素材であって、「いつその手法を使うのか」「前提として何を確認すべきか」「どの順番で実行するのか」「結果をどう検証するのか」という判断の流れは含んでいません。
シニアアナリストとジュニアアナリストの差は、まさにこの判断の流れにあります。
このプロジェクトは、その判断の流れを構造化したテキストにして、AIエージェントに渡せるようにしたものです。
収録範囲をいくつか挙げると、次のような幅があります。
- メモリダンプから認証情報窃取の痕跡を探す(デジタルフォレンジック)
- Active Directory で Kerberoasting を仕掛ける(レッドチーム)
- Kubernetes の RBAC 設定を監査する(コンテナセキュリティ)
- LLM に対するプロンプトインジェクションをレッドチーミングする(AIセキュリティ)
- ビジネスメール詐欺(BEC)を検知する(フィッシング対策)
攻撃と防御の両面を含むため、攻撃役(レッド)と防御役(ブルー)を兼ねる「パープルチーム」的な構成になっています。
最初に押さえること — 「Anthropic公式」ではありません
リポジトリ名に「Anthropic」と入っていますが、これは Anthropic 社の公式プロダクトではありません。
README にも、はっきりこう書かれています。
⚠️ Community Project — This is an independent, community-created project. Not affiliated with Anthropic PBC.
実態は、mukul975(Mahipal Jangra 氏)という個人が始めたコミュニティプロジェクトです。
ライセンスは Apache-2.0 で、誰でも自由に使えます。
Claude Code をはじめとするエージェントが SKILL.md 形式のスキルを読み込んで能力を拡張する、その枠組みに乗っています。
つまり「Anthropic のスキル機構で動くセキュリティスキル集」という意味合いであって、Anthropic が監修・サポートしているわけではありません。
この違いは、実際に使うかどうかを判断するときに効いてきます。
チームで採用を検討するときや、誰かに勧めるときは、公式の保証はなく有志が作ったものだという前提を共有しておくと安全です。
公式だと思い込んだまま本番のセキュリティ運用に組み込むと、何かあったときに品質保証の責任の所在があいまいになります。
そもそも「スキル(Agent Skill)」とは何か
本題に入る前に、土台となる「Agent Skill」の考え方を簡単に整理します。
ここを押さえると、このリポジトリがなぜこういう構造をしているのかが腑に落ちます。
Agent Skill は、AIエージェントに「専門知識やワークフローをファイルとして外付けする」仕組みです。
エージェント本体(LLM)はあくまで汎用的な推論エンジンで、特定領域の細かい手順までは知りません。
そこへ、領域ごとの手順書を Markdown ファイルとして用意しておき、必要なときだけ読み込ませます。
ポイントは「必要なときだけ」です。
817個のスキルを最初から全部コンテキストに載せたら、入力トークンが膨れ上がって本来の作業ができなくなります。
そこで登場するのが、後述する「段階的読み込み(progressive disclosure)」という設計です。
このリポジトリは、その Agent Skill の標準仕様である agentskills.io に準拠しています。
だから Claude Code だけでなく、Cursor・GitHub Copilot・OpenAI Codex CLI・Gemini CLI など、同じ標準に対応した多くのプラットフォームでそのまま読み込めます。
スキル1個を解剖する
ここからが、実際に中身を読んでわかった具体的な構造です。
1つのスキルは、専用のディレクトリとして存在します。
レッドチーム系の代表例として performing-kerberoasting-attack(Kerberoasting 攻撃の実施)を解剖してみます。
ディレクトリ構造
skills/performing-kerberoasting-attack/
├── SKILL.md ← 核となるスキル定義(必須)
├── LICENSE ← Apache-2.0
├── references/
│ ├── standards.md ← MITRE/NIST等の標準番号・参照
│ ├── workflows.md ← より深い技術手順
│ └── api-reference.md ← APIリファレンス
├── scripts/
│ ├── agent.py ← 実際に動くヘルパースクリプト
│ └── process.py ← 補助処理スクリプト
└── assets/
└── template.md ← レポート/チェックリストの雛形
核は SKILL.md です。
これだけは817スキルすべてに存在します。
references/・scripts/・assets/ は補助で、スキルによって有無が変わります。
817スキル全体でファイルの実数を数えてみると、補助ファイルの充実ぶりが見えてきます。
| ファイル | 個数 | 役割 |
|---|---|---|
SKILL.md |
817 | 全スキルに存在(必須の核) |
api-reference.md |
810 | ほぼ全スキルにAPI参照が同梱 |
agent.py |
809 | ほぼ全スキルに実行可能なPythonが同梱 |
standards.md |
351 | フレームワークマッピング |
workflows.md |
288 | 深掘り手順 |
template.md |
287 | レポート雛形 |
process.py |
282 | 補助スクリプト |
Pythonスクリプトは全体で1093本ありました。
単なる擬似コードではなく、たとえば Kerberoasting の agent.py は実際に ldapsearch をサブプロセスで呼んで SPN(サービス用アカウントに付く識別名)を持つアカウントを列挙し、それが失敗したらPowerShellに切り替える、といった動く実装になっています。
SKILL.md の中身 — YAMLフロントマター
SKILL.md は、上部の YAMLフロントマター(メタ情報)と、下部の Markdown本文(手順)の2部構成です。
まずフロントマターを見ます。
---
name: performing-kerberoasting-attack
description: Kerberoasting is a post-exploitation technique that targets service accounts
in Active Directory by requesting Kerberos TGS tickets for accounts with SPNs
domain: cybersecurity
subdomain: red-teaming
tags:
- red-team
- adversary-simulation
- mitre-attack
- exploitation
- post-exploitation
- kerberoasting
- active-directory
- credential-access
version: '1.0'
author: mahipal
license: Apache-2.0
d3fend_techniques:
- Application Protocol Command Analysis
- Network Isolation
nist_csf:
- ID.RA-01
- DE.AE-07
mitre_attack:
- T1595
- T1190
- T1059
- T1078
- T1003
---
このフロントマターが、エージェントが「このスキルは今のタスクに関係あるか」を判断する材料になります。
description と tags にキーワードを詰めてあるのは、検索でヒットしやすくするためです。
mitre_attack や nist_csf といったフレームワークIDが並んでいるのが、このプロジェクトの特徴です(詳しくは後述します)。
リポジトリにはメタ情報を検証する tools/validate-skill.py が同梱されていて、name がケバブケースか、description が50文字以上か、subdomain が許可リストに含まれるか、tags が2個以上かなどを機械的にチェックしています。
スキルの品質を一定に保つための仕掛けです。
SKILL.md の中身 — Markdown本文
本文は、シニアアナリストの作業手順を段階的に書き下したものです。
Kerberoasting スキルの本文は、おおよそ次の流れになっていました。
冒頭には必ず免責事項が置かれます。
Legal Notice: This skill is for authorized security testing and educational purposes only. Unauthorized use against systems you do not own or have written permission to test is illegal.
そのあとに、次のセクションが続きます。
- Overview — Kerberoasting とは何か(ADのサービスアカウントのTGSチケットを要求し、オフラインでハッシュをクラックする手法)
- When to Use — エージェントがこのスキルを発火させる条件
- Prerequisites — 必要なツール・権限・環境
- Workflow — フェーズ分割した手順
- Tools and Resources — 使うツールの一覧表
- Detection Indicators — 防御側が検知するための指標
- Validation Criteria — 完了を確認するチェックリスト
Workflow は、たとえばこのように分解されていました。
- SPN列挙(LDAPクエリでサービスアカウントを洗い出す)
- TGSチケット要求(クラック可能な形式で取得、可能ならRC4暗号で)
- オフラインクラック(hashcat というパスワード解析ツールのモード13100でRC4チケットを総当たり)
- 認証情報の検証(クラックした資格情報をドメインに対して検証)
注目したいのは、攻撃手順を書くだけで終わらず、Detection Indicators(検知指標)まで併記している点です。
「Event ID 4769(RC4暗号でのKerberosサービスチケット要求)を監視せよ」といった防御側の視点が同じファイルに入っています。
攻撃を知ることが防御の設計に直結する、というセキュリティの基本姿勢が反映されています。
なぜ817個あってもコンテキストが溢れないのか
817個ものスキルを抱えながらコンテキストが破綻しないのは、「段階的読み込み(progressive disclosure)」という設計のおかげです。
LLMには扱えるトークン数の上限(コンテキストウィンドウ)があります。
817スキルの本文をすべて読み込んだら、それだけで大量のトークンを消費して、肝心の作業ができなくなります。
そこで、読み込みを3段階に分けます。
-
スキャン段階: まず817個分のフロントマターだけを読む。1個あたり約30トークン。817個でも約2万5千トークン程度で、
descriptionとtagsから関連スキルを絞り込める。 - ロード段階: 絞り込んだ上位数件だけ、本文をフルロードする。1個あたり500〜2000トークン。
- 実行段階: ロードしたスキルの Workflow を、手順通りに実行する。
たとえば「このメモリダンプを認証情報窃取の観点で解析して」という指示があったとします。
エージェントは、まず全スキルのフロントマターをスキャンして関連候補を10数件に絞り、その中から「Volatility3でメモリフォレンジック」「LSASS(Windowsが認証情報を保持するプロセス)の認証情報ダンプをハント」など上位3件だけを本文ごと読み込み、手順を実行します。
この設計のおかげで、「巨大なスキルライブラリ」と「限られたコンテキスト」が両立します。
スキルを増やしても、増えるのはフロントマター分の読み込みだけなので、ライブラリが大きくなっても破綻しにくい仕組みです。
6つのフレームワーク横断マッピング — このプロジェクトの独自性
規模の大きいセキュリティリポジトリは他にもあります。
このプロジェクトの特徴は、全スキルを6つの業界フレームワークにマッピングしている点にあります。
| フレームワーク | バージョン | 何をマッピングするか |
|---|---|---|
| MITRE ATT&CK | v19.1 | 攻撃者の挙動・手口(TTP) |
| NIST CSF 2.0 | 2.0 | 組織のセキュリティ態勢 |
| MITRE ATLAS | v5.4 | AI/ML特有の敵対的脅威 |
| MITRE D3FEND | v1.3 | 防御的な対策技術 |
| NIST AI RMF | 1.0 | AIのリスク管理 |
| MITRE F3 | v1.1 | サイバー起因の金融不正 |
6つは、それぞれ守備範囲が違います。
ひとつずつ、何を扱うフレームワークなのかを補足します。
MITRE ATT&CK(v19.1) は、攻撃者が実際に使う戦術・技術を体系化した、業界標準のカタログです。
「T1558(Kerberosチケットの窃取)」のようなIDで攻撃手法を一意に指せるので、検知エンジニアリングの共通言語になっています。
このリポジトリは754スキルすべてに ATT&CK マッピングを付け、286テクニックを15のタクティクス(攻撃の段階)にわたって網羅しているとされています。
タクティクス別のスキル数を見ると、攻撃ライフサイクルのどこに厚みがあるかが分かります。
| タクティクス(攻撃段階) | ID | スキル数 |
|---|---|---|
| 偵察 Reconnaissance | TA0043 | 103 |
| リソース開発 Resource Development | TA0042 | 22 |
| 初期アクセス Initial Access | TA0001 | 467 |
| 実行 Execution | TA0002 | 350 |
| 永続化 Persistence | TA0003 | 444 |
| 権限昇格 Privilege Escalation | TA0004 | 464 |
| ステルス Stealth | TA0005 | 442 |
| 防御妨害 Defense Impairment | TA0112 | 92 |
| 認証情報アクセス Credential Access | TA0006 | 202 |
| 探索 Discovery | TA0007 | 237 |
| 横展開 Lateral Movement | TA0008 | 68 |
| 収集 Collection | TA0009 | 172 |
| C2(指令) Command and Control | TA0011 | 123 |
| 持ち出し Exfiltration | TA0010 | 82 |
| 影響 Impact | TA0040 | 50 |
1スキルが複数タクティクスに紐づくため合計はスキル総数より大きくなりますが、初期アクセス・永続化・権限昇格・ステルスといった「侵入してから居座る」段階に厚みがあることが読み取れます。
なお v19.1 では、従来の「防御回避(Defense Evasion)」が「ステルス」と「防御妨害」の2つに分割されました。
この表もその新構成を反映しています。
NIST CSF 2.0 は、組織のセキュリティを「統治・識別・防御・検知・対応・復旧」の6機能で整理するフレームワークです。
2024年2月の 2.0 で「統治(Govern)」機能が加わり、対象が重要インフラから全組織へ広がりました。
ATT&CK が「攻撃者の動き」を見るのに対し、CSF は「組織として守れているか」を見ます。
機能別のスキル数は次の通りで、検知(Detect)と対応(Respond)に重心があります。
| 機能 | スキル数の目安 | 例 |
|---|---|---|
| 統治 Govern | 30以上 | リスク戦略、ポリシー、役割分担 |
| 識別 Identify | 120以上 | 資産棚卸し、脅威評価、リスク分析 |
| 防御 Protect | 150以上 | IAMハードニング、WAF、ゼロトラスト、暗号化 |
| 検知 Detect | 200以上 | 脅威ハンティング、SIEM相関、異常検知 |
| 対応 Respond | 160以上 | インシデント対応、フォレンジック、封じ込め |
| 復旧 Recover | 40以上 | ランサムウェア復旧、事業継続、災害復旧 |
MITRE ATLAS(v5.4) は、ATT&CK のAI/ML版です。
モデルの重み窃取、学習データの汚染、プロンプトインジェクションなど、AIシステムそのものを狙う攻撃を16タクティクス・84テクニックで扱います。
2025年後半には、AIエージェント時代の攻撃ベクトル(エージェントのコンテキスト汚染、ツール呼び出しの悪用、MCPサーバーの侵害、悪性エージェントの配備)も追加されました。
AIを使う側ではなく、AIが攻撃される側に立ったときの備えに直結します。
MITRE D3FEND(v1.3) は、ATT&CK の「守り」版にあたる、NSA出資の防御技術ナレッジグラフです。
267の防御技術を7カテゴリ(Model・Harden・Detect・Isolate・Deceive・Evict・Restore)に整理し、OWL 2 オントロジー上で攻撃技術と防御技術を双方向に結びつけます。
「この攻撃にはこの対策」を機械的にたどれるのが特徴です。
NIST AI RMF(1.0) は、信頼できるAIを開発・運用するためのリスク管理枠組みで、Govern・Map・Measure・Manage の4機能・72サブカテゴリで構成されます。
2024年7月の生成AIプロファイル(AI 600-1)が、生成AI特有の12のリスク(作話、データプライバシー、プロンプトインジェクション、サプライチェーンなど)を上乗せしました。
2026年2月施行のコロラド州AI法が NIST AI RMF 準拠を法的セーフハーバーとして認めているため、規制対応の観点でも実用性があります。
ひとつのスキルが、これら複数のフレームワークに同時に紐づきます。
横断マッピングの利点は、まさにこの点にあります。
| スキル | ATT&CK | NIST CSF | ATLAS | D3FEND | AI RMF | F3 |
|---|---|---|---|---|---|---|
analyzing-network-traffic-of-malware |
T1071 | DE.CM | AML.T0047 | D3-NTA | MEASURE-2.6 | — |
detecting-business-email-compromise |
T1566 | DE.AE | — | — | — | F1005.006 |
これが効くのは、たとえば「うちのセキュリティ運用は ATT&CK のどのタクティクスに手が回っていないか」を棚卸ししたいときです。
各スキルがフレームワークIDを持っているので、エージェントの作業をそのまま検知エンジニアリングの計画やコンプライアンス対応の根拠に接続できます。
1つのスキルで6つのコンプライアンスのチェック欄が同時に埋まる、という言い方もできます。
リポジトリには ATT&CK Navigator 用のレイヤーファイル(mappings/attack-navigator-layer.json)も同梱されていて、カバレッジを視覚的に確認できます。
いちばん新しいフレームワーク — MITRE F3(金融不正対策)
6つの中で、いちばん新しく、かつ実務的に面白いのが MITRE F3(Fight Fraud Framework) です。
2026年4月9日に MITRE の脅威情報防御センター(CTID)が、JPMorganChase や Citigroup など複数の大手金融機関と共同で公開しました。
ATT&CK は「侵入から内部活動まで」は扱いますが、その先の「盗んだ資産をどう現金化するか」という金融不正の領域までは踏み込んでいません。
F3 は、ちょうどこの抜け落ちている部分を埋めます。
F3 が独自に定義する2つの戦術が象徴的です。
- Positioning(FA0001) — 不正の下準備。合成IDの作り込み、口座のウォーミング(休眠させて警戒を解く)、SIMスワップの事前準備など。
- Monetization(FA0002) — 現金化。マネーミュールを介した資金洗浄、APP詐欺(送金を騙し取る)、暗号資産のオフランプなど。
このリポジトリは94個のスキルにF3をマッピングしており、全123のテクニックIDを大元のSTIXデータと照合して検証したとされています。
金融系のセキュリティに関わる方には、この対応は地味に大きいはずです。
収録ドメインの全体像
スキルは29のドメイン(フロントマターの subdomain)に分類されています。
実際にリポジトリ全体の subdomain を集計した、29ドメインすべての実数が次の表です。
「自分の関心領域に何件あるか」を見る地図として使えます。
| ドメイン | スキル数 | 主な内容 |
|---|---|---|
| クラウドセキュリティ | 66 | AWS/Azure/GCPハードニング、CSPM、クラウドフォレンジック |
| 脅威ハンティング | 58 | 仮説駆動ハント、LOTL検知、EVTXハンティング |
| 脅威インテリジェンス | 52 | STIX/TAXII、MISP、OpenCTI、アクター分析 |
| ネットワークセキュリティ | 43 | IDS/IPS、FWルール、VLAN分割、トラフィック解析 |
| Webアプリセキュリティ | 42 | OWASP Top 10、SQLi、XSS、SSRF、デシリアライズ |
| デジタルフォレンジック | 41 | ディスク/メモリフォレンジック、Plaso/KAPEタイムライン |
| マルウェア解析 | 39 | 静的/動的解析、リバースエンジニアリング、サンドボックス |
| ID・アクセス管理 | 37 | Entra ID/ROADtools、デバイスコードフィッシング、PAM、ゼロトラスト |
| SOC運用 | 35 | プレイブック、エスカレーション、Graphログ検知、机上演習 |
| レッドチーム | 33 | ADCS/Certipy、BloodHound CE、Sliver/Havoc C2、NTLMリレー |
| コンテナセキュリティ | 33 | K8s RBAC、イメージスキャン、Falco、コンテナエスケープ |
| セキュリティ運用 | 28 | SIEM相関、ログ解析、アラートトリアージ |
| OT/ICSセキュリティ | 28 | Modbus、DNP3、IEC 62443、SCADA |
| APIセキュリティ | 28 | GraphQL、REST、OWASP API Top 10、WAFバイパス |
| インシデント対応 | 26 | 侵害封じ込め、ランサムウェア対応、IRプレイブック |
| 脆弱性管理 | 25 | Nessus、スキャン、パッチ優先度、CVSS |
| ペネトレーションテスト | 21 | ネットワーク/Web/クラウド/モバイル、NetExec横展開 |
| DevSecOps | 18 | CI/CDセキュリティ、Trivy、コード署名 |
| ゼロトラストアーキテクチャ | 17 | BeyondCorp、CISA成熟度モデル、マイクロセグメンテーション |
| エンドポイントセキュリティ | 17 | EDR、LOTL検知、ファイルレスマルウェア |
| 暗号 | 16 | TLS、Ed25519、耐量子移行、鍵管理 |
| フィッシング対策 | 15 | メール認証、BEC検知、フィッシングIR |
| AIセキュリティ | 14 | LLMレッドチーミング(garak/PyRIT)、プロンプトインジェクション、MCP/エージェントセキュリティ |
| モバイルセキュリティ | 13 | Android/iOS解析、モバイルペンテスト、MDMフォレンジック |
| ランサムウェア対策 | 13 | 予兆検知、対応、復旧、暗号化解析 |
| コンプライアンス・ガバナンス | 9 | NIST 800-30/RMF、CMMC、HIPAA、TPRM、CIS |
| サプライチェーンセキュリティ | 8 | SBOM、依存混同、悪性パッケージトリアージ、SLSA/Sigstore |
| デセプション技術 | 6 | ハニートークン、カナリアトークン |
| ハードウェア・ファームウェアセキュリティ | 4 | CHIPSEC/UEFI監査、Secure Bootバイパス、TPM、ブートキットハント |
クラウドが66件もある一方で、コンプライアンス・ガバナンスは9件、デセプション技術は6件、ハードウェア/ファームウェアは4件と、ドメインによって厚みにかなり差があります。
新しい技術領域や人気の領域に厚くなるのは、コミュニティ主導のプロジェクトとして自然な傾向だと思います。
ただ、薄いドメインを目当てに採用すると肩透かしになる可能性があるので、この実数表で事前に確認しておくと安心です。
注目したいのは、AIセキュリティ(14件)やサプライチェーンセキュリティ(8件)といった、比較的新しい脅威領域もきちんと枠を持っている点です。
LLMのレッドチーミングやMCPサーバーのセキュリティまで含まれており、先ほどのATLASマッピングと地続きになっています。
スキル名の動詞を見ると、攻守の性格が読み取れます。
exploiting-・performing-・abusing- で始まるものは攻撃寄り、detecting-・hunting-・implementing-・analyzing- で始まるものは防御寄りです。
29ドメインが攻撃と防御の両方を含むことで、全体としてパープルチーム的な構成になっています。
リポジトリの作り込み — 自動化とCI
中身を読んでいて感心したのは、「スキルを集めただけ」で終わっていない点です。
プロジェクトとして継続運用するための仕掛けが入っています。
-
index.json— 全817スキルの索引を1ファイルにまとめた機械可読データ(約185KB)。エージェントやマーケットプレイスが一覧を高速にロードするためのものです。 -
GitHub Actions が3本 — スキル検証(
validate-skills.yml)、索引の自動更新(update-index.yml)、リリース時のバージョン同期(sync-marketplace-version.yml)。 - コミット履歴にも
chore: auto-update index.json and skill countが並んでいて、スキルを追加するたびに索引とスキル数が自動で更新される仕組みが回っています。
skills/** に変更が入ると索引が自動再生成されるので、817という数字や index.json の内容は手作業ではなくCIが面倒を見ています。
個人発のプロジェクトながら、運用の自動化がきちんと組まれている点は信頼材料のひとつです。
導入してみる
導入は2通りあります。
# 方法1: npx(推奨)
npx skills add mukul975/Anthropic-Cybersecurity-Skills
# 方法2: git clone
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
.claude-plugin/ ディレクトリがあるので、Claude Code のプラグイン(マーケットプレイス)としても読み込めます。
agentskills.io 準拠のため、Cursor・Copilot・Codex CLI・Gemini CLI などでも基本的にそのまま使えます。
導入後は、エージェントに「このメモリダンプを解析して」のように依頼すると、エージェントが関連スキルを自分で探して、手順に沿って動くようになります。
採用前に知っておきたいこと
ここからは、実際に中身を読んだ立場から、率直に気づいた点を書きます。
良いところばかりではないので、採用判断の材料にしてください。
1. 品質にはばらつきがあります
817スキル全部が等しく作り込まれているわけではありません。
たとえば Kerberoasting スキルの When to Use セクションには、次のような記述がありました。
When conducting security assessments that involve performing kerberoasting attack
これはスキル名をそのまま当てはめたテンプレート的な汎用文で、実務的な発火条件としては薄いと感じました。
また、フロントマターの mitre_attack に並ぶIDと、本文の MITRE ATT&CK Mapping セクションのID(より細かいサブテクニック番号)に粒度の差がある箇所もありました。
つまり、全スキルがプロの手で精査され尽くしているとは限りません。
重要な用途で使うスキルは、エージェント任せにせず、対象の SKILL.md を一度自分の目で読んで検証することをおすすめします。
2. 名前の紛らわしさ(再掲)
繰り返しになりますが、「Anthropic公式」ではありません。
社内提案や記事引用の場では、非公式のコミュニティ成果物である旨を必ず添えてください。
3. 攻撃系スクリプトを含みます
レッドチーム系のスキルには、攻撃を自動化するヘルパースクリプトが含まれます。
各スキルの冒頭に「authorized testing only(許可された検証のみ)」と明記されている通り、利用は自分が所有する、または書面で許可を得た環境に限定すべきです。
ペネトレーションテスト、CTF、防御研究、教育といった正当な文脈での利用が前提です。
ガバナンス面では、導入範囲や利用者を絞る運用が現実的です。
4. 多言語対応はまだ限定的です
ローカライズされたスキル(スペイン語版 SKILL.es.md)は6個だけでした。
基本は英語の SKILL.md です。
エージェントは英語の手順でも問題なく動きますが、人間が中身をレビューする際は英語を読む前提になります。
どんなプロジェクトに向くか
これまでを踏まえると、向き不向きはこう整理できます。
向いているのは、次のようなケースです。
- Claude Code や Cursor でセキュリティ系の作業をエージェントに任せたい
- SOC やインシデント対応で、エージェントに標準的なプレイブックを参照させたい
- 自分たちのセキュリティ運用を ATT&CK や NIST CSF のカバレッジで棚卸ししたい
- Agent Skill の良い実装例を読んで、自前のスキル設計の参考にしたい(
SKILL.mdの作りはお手本になります)
逆に、慎重になったほうがよいのは、次のようなケースです。
- スキルの内容を人手で検証せず、そのまま本番のセキュリティ判断に直結させたい場合
- ニッチなドメイン(コンプライアンス、ハードウェアなど薄い領域)に深い網羅性を期待する場合
- 公式ベンダーのサポート・保証が必須要件の場合
まとめ
Anthropic-Cybersecurity-Skills は、AIエージェントに「シニアアナリストの判断ワークフロー」を授けることを目的とした、817スキルのオープンソース知識ベースです。
名前に反して Anthropic 公式ではなく、個人発のコミュニティプロジェクトである点が最初の重要な前提でした。
技術的に見どころだったのは、次の3点です。
-
SKILL.mdを核にした、段階的読み込み(progressive disclosure)による省トークン設計 - 全スキルを6フレームワークに横断マッピングした、他に類を見ない構造
- 索引の自動生成やスキル検証を含む、継続運用のための作り込み
一方で、一部スキルの本文にテンプレ的な汎用文が混じるなど、品質には濃淡があります。
規模と網羅性という強みを活かしつつ、使うスキルは個別に中身を確認する。
この付き合い方が、現実的なところだと感じました。
Agent Skill という仕組みそのものに興味がある方にとっても、817個の実例が詰まったこのリポジトリは、良い読み物になるはずです。
気になった方は、まず1つ SKILL.md を開いて、シニアアナリストの判断がどうテキストに落とし込まれているかを眺めてみるところから始めるのがおすすめです。