文章总结： 文档介绍多个针对AI编程工具的安全技能包，包括CTF解题、多语言代码审计、威胁建模等自动化工具，能辅助渗透测试和漏洞挖掘。核心发现是这些技能包支持Java/PHP等9种语言、55+漏洞类型检测，并集成WooYun案例库。可操作建议包括通过公众号回复关键词获取工具，并提及内部学习圈提供安全培训与SRC实战资源。 综合评分： 72 文章分类： CTF,代码审计,安全工具,AI安全,安全培训

几个很夯的安全Skills

Z2O安全攻防

2026年4月2日 20:54 北京

在小说阅读器读本章

去阅读

分享一下最近看到的一些安全相关的 Skills，这几个项目都是给 AI 编程工具（Claude Code等）用的安全类 Skill 技能包，可以用来让 AI 自动做渗透测试、打CTF 、 代码审计、威胁建模等。

1、CTF夺旗赛全能解题Skill集合

给 Claude Code 装上后，AI 可自动解 CTF 各类题目，覆盖 Web、Pwn、密码学Crypto、逆向Reverse、取证、OSINT、恶意软件、杂项Misc等，有总控技能 /solve-challenge，一键分析题目并分配对应技能。

2、代码审计skill

为 Claude Code 设计的专业安全审计技能。采用白盒静态分析方法论，系统性发现和验证源代码中的安全漏洞。

• 9 种语言: Java, Python, Go, PHP, JavaScript/Node.js, C/C++, .NET/C#, Ruby, Rust
• 14 种框架: Spring Boot, Django, Flask, FastAPI, Express, Koa, Gin, Laravel, Rails, ASP.NET Core, Rust Web, NestJS/Fastify, MyBatis
• 55+ 漏洞类型: SQL 注入、RCE、反序列化、SSRF、SSTI、XXE、IDOR、竞态条件、业务逻辑缺陷等
• 143 项强制检测: 按 10 个安全维度 (D1-D10) 组织的语言级检查清单
• 双轨审计模型: Sink-driven（注入/RCE）+ Control-driven（授权/业务逻辑）
• 多 Agent 并行: 大型代码库并行审计（874+ Java 文件约 15 分钟）
• WooYun 案例库: 88,636 真实漏洞案例
• 攻击链构建: 自动将多个发现串联为可利用的攻击路径

3、PHP 代码审计全流程Skill

可自动做 PHP 项目安全审计：路由枚举→数据流追踪→漏洞检测→报告，覆盖 SQL 注入、XSS、SSRF、文件上传、反序列化、XXE、逻辑漏洞等，支持 Yii、Laravel、ThinkPHP、Symfony、WordPress 等主流框架，强调证据链与可复现结论。

4、Java Web代码审计Skill

可自动识别 Java 路由、参数、调用链，支持 Spring MVC 等框架，审计 SQL 注入、文件上传 / 读取、XXE、鉴权绕过、组件等漏洞，提供一键全链路审计流水线，可生成 Burp 测试请求模板。

5、威胁建模skill

具备AI原生自动化软件风险分析技能。采用LLM驱动的、代码优先的方法，进行全面的安全风险评估、威胁建模、安全测试、渗透测试和合规性检查。

下载地址

点击下方名片进入公众号

回复关键字【260402】获取下载链接

下面是一则内部学习圈广告😜

别着急退，看完的师傅们有福了/doge

欢迎师傅们加入内部网络安全学习圈子。圈子提供三大板块的内容：

1

网络安全0→1学习路径

1. 完整的「30+周安全学习任务路线图」公开，每周任务明确，清晰的学习重点和目标，从入门到进阶，由浅入深，循序渐进；
2. 学习内容涵盖：

• 常见的Web漏洞原理与利用

• 业务逻辑漏洞挖掘

• SRC实战技巧

• WAF绕过、代码审计、免杀钓鱼

• 内网渗透

  （Linux&Windows）提权与权限维持

• 隧道代理、域渗透、云安全、AI安全

1. 每周发布学习任务+参考资料+建议，学员可自主学习+实战练习；

2

SRC漏洞专项挖掘

1. SRC漏洞知识库持续更新；
2. SRC挖掘技巧、分析方法、视频教程打包；
3. 分享优质挖矿案例，降低上手门槛，教你赚赏金。

3

常态化内容更新

日常分享优质学习资源与攻防渗透技巧，包括但不限于：

1. 红队/蓝队安全攻防、免杀、钓鱼技巧、攻防渗透tips；
2. 学习路线推荐，教程、方法、技巧tips打包分享，实战视频、工具、手册一应俱全；
3. 根据网络安全初中级学习者水平，精选最有用的内容，不让你在信息洪流中迷路。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 《几个很夯的安全Skills》