Tools

Tools: Complete Guide to Anthropic Cybersecurity Skills: 754 playbooks de seguridad para agentes IA

2026-04-20 0 views admin
Tools: Complete Guide to Anthropic Cybersecurity Skills: 754 playbooks de seguridad para agentes IA

Introducción

Qué es Anthropic-Cybersecurity-Skills

Instalación

Windows

Uso básico

Integración en proyectos reales

Cuándo usarlo y cuándo no

Alternativas

Conclusión

Referencias Los agentes de IA saben escribir código, consultar documentación y buscar en la web, pero cuando se los pone frente a un volcado de memoria sospechoso, un alerta de SIEM disparándose a las tres de la mañana o una auditoría de Kubernetes con cincuenta namespaces, la mayoría falla de la misma forma: improvisan. Adivinan comandos, saltan pasos críticos y confunden técnicas que un analista junior reconoce de memoria. El problema no es la capacidad del modelo, es la ausencia de una base estructurada de conocimiento operativo que le diga qué hacer, cuándo hacerlo y cómo verificar el resultado. Ese vacío es exactamente lo que intenta llenar Anthropic Cybersecurity Skills, un repositorio comunitario —no afiliado oficialmente a Anthropic PBC— que publica 754 habilidades de ciberseguridad empaquetadas bajo el estándar abierto agentskills.io. Cada habilidad está mapeada a cinco frameworks industriales a la vez: MITRE ATT&CK v18, NIST CSF 2.0, MITRE ATLAS v5.4, MITRE D3FEND v1.3 y NIST AI RMF. Con más de 4.800 estrellas en GitHub y compatibilidad con más de veinte plataformas de agentes, se ha convertido en uno de los proyectos de referencia para equipos que quieren operacionalizar IA en flujos de seguridad sin reinventar cada playbook. En este tutorial vamos a ver qué es el proyecto, cómo instalarlo en Windows, macOS y Linux, cómo ejecutar la primera habilidad, cómo integrarlo en flujos reales de DevSecOps y en qué escenarios conviene —y en cuáles no— traer esta librería al stack. En términos prácticos, mukul975/Anthropic-Cybersecurity-Skills es una base de conocimiento AI-native. No es una colección de scripts sueltos ni una lista de payloads. Cada habilidad (skill) es una carpeta con un archivo SKILL.md que contiene dos piezas bien diferenciadas: un encabezado YAML con metadatos estructurados para el descubrimiento por parte del agente, y un cuerpo en Markdown con las secciones When to Use, Prerequisites, Workflow y Verification. El YAML es lo que hace que el sistema escale. Cada frontmatter pesa unos treinta tokens, así que un agente puede escanear las 754 habilidades en una sola pasada sin agotar la ventana de contexto. Cuando identifica las dos o tres más relevantes, carga el cuerpo completo (500 a 2.000 tokens) y ejecuta el flujo paso a paso. Esta arquitectura de divulgación progresiva es lo que distingue agentskills.io de los repositorios clásicos de herramientas: el agente no ve un único documento monolítico, sino un índice navegable. El catálogo cubre 26 dominios de seguridad. Los pesados son Cloud Security (60 habilidades), Threat Hunting (55), Threat Intelligence (50), Web Application Security (42) y Network Security (40). Hay además secciones dedicadas a Malware Analysis, Digital Forensics, Container Security, OT/ICS, API Security, DevSecOps, Ransomware Defense y Deception Technology. Cada carpeta sigue la misma estructura: Para entender el nivel de detalle de los metadatos, este es el YAML real de la habilidad de forense de memoria con Volatility3: El mapeo cruzado a cinco frameworks es el argumento fuerte del proyecto: una única habilidad marca, a la vez, una técnica ofensiva en ATT&CK, una subcategoría en NIST CSF, una contramedida en D3FEND, una amenaza a sistemas de ML en ATLAS y un control de riesgo en AI RMF. Para equipos de compliance que antes mantenían planillas manuales, eso es una reducción brutal de fricción. El repositorio no requiere un runtime especial, pero la forma recomendada de traerlo al proyecto es mediante el CLI skills que implementa el estándar agentskills.io. Funciona sobre Node.js 18 o superior, así que la instalación varía levemente entre sistemas operativos. En PowerShell, instalá Node mediante el gestor oficial winget y luego usá npx para traer la librería al directorio actual. No hace falta instalar el CLI globalmente: npx resuelve la versión más reciente en cada ejecución. Con Homebrew el proceso es análogo. La ventaja en macOS es que el terminal viene preconfigurado para ejecutar scripts Python que vienen dentro de varias habilidades (por ejemplo, las de Volatility3 o análisis de tráfico). En distribuciones basadas en Debian/Ubuntu conviene usar NodeSource para evitar la versión antigua de los repositorios oficiales. En Arch, Fedora y derivados el gestor nativo ya expone una versión moderna. Si preferís no depender de npx, también podés clonar el repositorio directamente. La licencia Apache 2.0 permite usarlo, modificarlo y redistribuirlo, siempre que mantengas el aviso de copyright: Una vez instalado, el agente necesita apuntar a la carpeta skills/. En Claude Code, por ejemplo, basta con poner el repo clonado dentro del workspace: el CLI lo detecta automáticamente porque reconoce el estándar agentskills.io. En Cursor, Windsurf y otros asistentes compatibles el mecanismo es similar: se registra la ruta como fuente de habilidades y queda disponible para cualquier prompt. El flujo mental al que llega el agente es el siguiente, tomado textualmente de la documentación del repositorio: El usuario pide: «Analiza este volcado de memoria buscando signos de robo de credenciales». El agente escanea las 754 frontmatters (~30 tokens cada una), identifica doce habilidades candidatas cruzando tags, descripción y dominio, carga las tres más específicas —performing-memory-forensics-with-volatility3, hunting-for-credential-dumping-lsass y analyzing-windows-event-logs-for-credential-access— y ejecuta el Workflow paso a paso. Al final usa la sección Verification para confirmar los indicadores de compromiso y los mapea a T1003 de ATT&CK. Un ejemplo mínimo, ejecutado desde un agente tipo Claude Code, consiste en pedir explícitamente la habilidad por nombre. Esto deja ver cómo el sistema acopla el prompt con la ejecución de comandos reales en la terminal: El agente carga el SKILL.md, identifica que Volatility3 es el prerrequisito, ejecuta vol -f dumps/infected_host.mem windows.pstree, analiza la salida y produce un informe estructurado con referencias cruzadas a las técnicas ATT&CK implicadas. Si Volatility3 no está instalado, el propio flujo lo indica como bloqueo y sugiere la instalación. El caso más maduro para un equipo de ingeniería es integrar las habilidades dentro de un pipeline de DevSecOps. La carpeta DevSecOps del repositorio trae 17 habilidades específicas —auditoría de Terraform, firma de código, análisis de dependencias en CI/CD— que se pueden invocar desde un runner de GitHub Actions controlado por un agente. Un patrón común es delegar al agente la decisión de qué habilidad ejecutar a partir del diff del pull request. Otro patrón frecuente es el SOC asistido. Un agente conectado a un SIEM (Splunk, Elastic, Sentinel) recibe alertas, escanea los dominios Threat Hunting, Security Operations y Incident Response del repositorio, ejecuta la playbook correspondiente y abre un ticket con los hallazgos ya mapeados a MITRE ATT&CK. Esto reduce el tiempo promedio de triage de horas a minutos porque el analista humano recibe un informe estructurado en lugar de un log crudo. Para cargas de trabajo cloud hay un tercer patrón interesante: auditoría bajo demanda. El agente carga la habilidad auditing-aws-iam-policies o kubernetes-rbac-audit, genera un reporte comparando la configuración actual contra CIS Benchmarks y produce una lista priorizada de cambios. El mapeo a NIST CSF 2.0 permite producir evidencia directamente auditable por SOC 2. La librería brilla en tres escenarios: equipos que construyen productos de seguridad apoyados en agentes de IA, consultoras que quieren estandarizar entregables y organizaciones con requisitos de compliance que exigen trazabilidad hacia frameworks oficiales. En esos contextos, los mapeos cruzados ahorran semanas de trabajo documental y elevan la calidad del output del agente porque el flujo ya viene pensado por un practicante, no improvisado por el modelo. No es la herramienta correcta cuando el caso de uso es ejecución automatizada de exploits sin supervisión humana, cuando el entorno regulatorio prohíbe enviar logs a modelos alojados externamente o cuando el equipo no tiene capacidad para revisar los resultados. Las habilidades están bien estructuradas, pero no reemplazan la validación de un analista. Un agente mal configurado puede ejecutar comandos destructivos en producción si se le da permisos amplios sin sandbox. Tampoco conviene para empresas muy pequeñas que no van a operar un SOC: la curva de integración con SIEM y CI/CD requiere ingenieros dedicados. Un trade-off honesto: el repositorio es comunitario y la calidad entre dominios es desigual. Las áreas con cobertura más densa (Cloud Security, Threat Hunting, Malware Analysis) están muy pulidas. Otras, como Deception Technology con apenas dos habilidades, son más un punto de partida que un catálogo completo. Además, la proyección a ATT&CK v19 —que en abril de 2026 divide Defense Evasion en dos tácticas nuevas— todavía no está reflejada en los mapeos. El ecosistema de skill libraries para agentes de IA es incipiente pero ya tiene competencia. Tres alternativas relevantes: Ninguna de las tres replica la propuesta específica de agentskills.io: descubrimiento progresivo, estándar YAML compartido y compatibilidad zero-config con más de veinte plataformas de agentes. Anthropic Cybersecurity Skills no es un framework de seguridad, es una capa de conocimiento operacional para agentes de IA. Su valor real aparece cuando un equipo deja de pedirle al modelo que «haga threat hunting» y empieza a delegarle tareas específicas cuyo flujo está ya codificado por alguien que hizo el trabajo a mano mil veces. El hecho de que cada habilidad venga mapeada a cinco frameworks a la vez convierte un repositorio de playbooks en una herramienta de compliance de facto, algo que en 2026 importa especialmente por el safe harbor que la Colorado AI Act otorga a organizaciones alineadas con NIST AI RMF. Para cualquier equipo que esté experimentando con agentes en seguridad, el costo de adopción es bajo: un npx skills add y el agente empieza a razonar con mejores cimientos. El upside, en cambio, es acumulativo: cada habilidad que se ejecuta bien reduce incidentes, acelera el triage y deja huella auditable. Repositorio oficial en GitHub — 754 habilidades, licencia Apache 2.0, contribuciones abiertas. 📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días. Templates let you quickly answer FAQs or store snippets for re-use. Hide child comments as well For further actions, you may consider blocking this person and/or reporting abuse

Command

Copy

$ skills/performing-memory-forensics-with-volatility3/ ├── SKILL.md # Definición principal ├── references/ │ ├── standards.md # Mapeos a MITRE, NIST, D3FEND │ └── workflows.md # Procedimiento técnico extendido ├── scripts/ │ └── process.py # Scripts auxiliares funcionales └── assets/ └── template.md # Plantillas y checklists skills/performing-memory-forensics-with-volatility3/ ├── SKILL.md # Definición principal ├── references/ │ ├── standards.md # Mapeos a MITRE, NIST, D3FEND │ └── workflows.md # Procedimiento técnico extendido ├── scripts/ │ └── process.py # Scripts auxiliares funcionales └── assets/ └── template.md # Plantillas y checklists skills/performing-memory-forensics-with-volatility3/ ├── SKILL.md # Definición principal ├── references/ │ ├── standards.md # Mapeos a MITRE, NIST, D3FEND │ └── workflows.md # Procedimiento técnico extendido ├── scripts/ │ └── process.py # Scripts auxiliares funcionales └── assets/ └── template.md # Plantillas y checklists --- name: performing-memory-forensics-with-volatility3 description: ">-" Analyze memory dumps to extract running processes, network connections, injected code, and malware artifacts using the Volatility3 framework. domain: cybersecurity subdomain: digital-forensics tags: [forensics, memory-analysis, volatility3, incident-response, dfir] atlas_techniques: [AML.T0047] d3fend_techniques: [D3-MA, D3-PSMD] nist_ai_rmf: [MEASURE-2.6] nist_csf: [DE.CM-01, RS.AN-03] version: "1.2" author: mukul975 license: Apache-2.0 --- --- name: performing-memory-forensics-with-volatility3 description: ">-" Analyze memory dumps to extract running processes, network connections, injected code, and malware artifacts using the Volatility3 framework. domain: cybersecurity subdomain: digital-forensics tags: [forensics, memory-analysis, volatility3, incident-response, dfir] atlas_techniques: [AML.T0047] d3fend_techniques: [D3-MA, D3-PSMD] nist_ai_rmf: [MEASURE-2.6] nist_csf: [DE.CM-01, RS.AN-03] version: "1.2" author: mukul975 license: Apache-2.0 --- --- name: performing-memory-forensics-with-volatility3 description: ">-" Analyze memory dumps to extract running processes, network connections, injected code, and malware artifacts using the Volatility3 framework. domain: cybersecurity subdomain: digital-forensics tags: [forensics, memory-analysis, volatility3, incident-response, dfir] atlas_techniques: [AML.T0047] d3fend_techniques: [D3-MA, D3-PSMD] nist_ai_rmf: [MEASURE-2.6] nist_csf: [DE.CM-01, RS.AN-03] version: "1.2" author: mukul975 license: Apache-2.0 --- winget -weight: 500;">install OpenJS.NodeJS.LTS mkdir security-agent cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills winget -weight: 500;">install OpenJS.NodeJS.LTS mkdir security-agent cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills winget -weight: 500;">install OpenJS.NodeJS.LTS mkdir security-agent cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills -weight: 500;">brew -weight: 500;">install node mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills -weight: 500;">brew -weight: 500;">install node mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills -weight: 500;">brew -weight: 500;">install node mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills # Debian / Ubuntu -weight: 500;">curl -fsSL https://deb.nodesource.com/setup_lts.x | -weight: 600;">sudo -E bash - -weight: 600;">sudo -weight: 500;">apt-get -weight: 500;">install -y nodejs # Fedora -weight: 600;">sudo -weight: 500;">dnf -weight: 500;">install -y nodejs # Arch -weight: 600;">sudo -weight: 500;">pacman -S nodejs -weight: 500;">npm mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills # Debian / Ubuntu -weight: 500;">curl -fsSL https://deb.nodesource.com/setup_lts.x | -weight: 600;">sudo -E bash - -weight: 600;">sudo -weight: 500;">apt-get -weight: 500;">install -y nodejs # Fedora -weight: 600;">sudo -weight: 500;">dnf -weight: 500;">install -y nodejs # Arch -weight: 600;">sudo -weight: 500;">pacman -S nodejs -weight: 500;">npm mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills # Debian / Ubuntu -weight: 500;">curl -fsSL https://deb.nodesource.com/setup_lts.x | -weight: 600;">sudo -E bash - -weight: 600;">sudo -weight: 500;">apt-get -weight: 500;">install -y nodejs # Fedora -weight: 600;">sudo -weight: 500;">dnf -weight: 500;">install -y nodejs # Arch -weight: 600;">sudo -weight: 500;">pacman -S nodejs -weight: 500;">npm mkdir security-agent && cd security-agent npx skills add mukul975/Anthropic-Cybersecurity-Skills -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git cd Anthropic-Cybersecurity-Skills ls skills/ | head -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git cd Anthropic-Cybersecurity-Skills ls skills/ | head -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git cd Anthropic-Cybersecurity-Skills ls skills/ | head # Prompt al agente Usa la habilidad performing-memory-forensics-with-volatility3 sobre el archivo dumps/infected_host.mem y reporta los procesos sospechosos con sus árboles de herencia. # Prompt al agente Usa la habilidad performing-memory-forensics-with-volatility3 sobre el archivo dumps/infected_host.mem y reporta los procesos sospechosos con sus árboles de herencia. # Prompt al agente Usa la habilidad performing-memory-forensics-with-volatility3 sobre el archivo dumps/infected_host.mem y reporta los procesos sospechosos con sus árboles de herencia. # .github/workflows/security-agent.yml name: security-agent on: [pull_request] jobs: review: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Clonar skills run: -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git .skills - name: Ejecutar agente env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} run: | claude-code review \ --skills-path .skills/skills \ --focus "devsecops,container-security,api-security" \ --diff HEAD~1..HEAD # .github/workflows/security-agent.yml name: security-agent on: [pull_request] jobs: review: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Clonar skills run: -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git .skills - name: Ejecutar agente env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} run: | claude-code review \ --skills-path .skills/skills \ --focus "devsecops,container-security,api-security" \ --diff HEAD~1..HEAD # .github/workflows/security-agent.yml name: security-agent on: [pull_request] jobs: review: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Clonar skills run: -weight: 500;">git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.-weight: 500;">git .skills - name: Ejecutar agente env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} run: | claude-code review \ --skills-path .skills/skills \ --focus "devsecops,container-security,api-security" \ --diff HEAD~1..HEAD - Atomic Red Team — De Red Canary, es una librería de pruebas de emulación de adversarios mapeada a ATT&CK. A diferencia de Anthropic Cybersecurity Skills, está pensada para ejecución directa por operadores humanos, no para descubrimiento por agentes. No tiene estructura YAML estándar ni mapeo cruzado a NIST, ATLAS o AI RMF.- Sigma rules — El repositorio oficial de Sigma ofrece miles de reglas de detección portables entre SIEMs. Es complementario, no sustituto: Sigma cubre la capa de detección declarativa, mientras que este proyecto cubre el flujo completo de ejecución e interpretación que un agente necesita.- MITRE CALDERA — Plataforma open source para operaciones automatizadas de red team. Más robusta para emulación adversarial, pero exige infraestructura propia (servidor, agentes desplegados) y su curva de adopción es más alta. No se integra directamente con agentes conversacionales. - mukul975/Anthropic-Cybersecurity-Skills en GitHub- Homepage oficial del proyecto- Estándar agentskills.io- MITRE ATT&CK- NIST Cybersecurity Framework 2.0- MITRE ATLAS- MITRE D3FEND- NIST AI Risk Management Framework

🏷️ Tags

toolsutilitiessecurity toolscompleteguideanthropiccybersecurityskillsplaybooksseguridad

More from Tools

Tools: Docker for Beginners: Containerize Your App in 30 Minutes

Tools: Docker for Beginners: Containerize Your App in 30 Minutes

2026-04-20 0
Tools: Complete Guide to Docker Compose Explained: Multi-Container Stacks (2026)

Tools: Complete Guide to Docker Compose Explained: Multi-Container Stacks (2026)

2026-04-20 0
Tools: Essential Guide: Cheapest VPS $5/Month: What You Really Get

Tools: Essential Guide: Cheapest VPS $5/Month: What You Really Get

2026-04-20 0
Tools: sslh: Run HTTPS and SSH on Port 443 at the Same Time

Tools: sslh: Run HTTPS and SSH on Port 443 at the Same Time

2026-04-20 0

Trending

1

CVE-2025-61481: Critical Remote Code Execution Vulnerability in MikroTik RouterOS & SwitchOS

2025-10-27 • 189 views
2

CVE-2025-43939: Dell Unity OS Command Injection (High)

2025-10-30 • 148 views
3

Google disputes false claims of massive Gmail data breach

2025-10-30 • 130 views
4

Microsoft: DNS outage impacts Azure and Microsoft 365 services

2025-10-30 • 88 views
5

3.5B Accounts, 1 Critical Flaw: Meta Closes WhatsApp Data-Harvesting

2025-11-25 • 81 views