文章总结： SecSkills是一个开源网络安全技能库，整合渗透测试、代码审计、CTF、逆向工程等54类安全工具与MCP资源，提供Java/PHP代码审计、漏洞扫描、应急响应等专项技能，旨在通过AI辅助提升安全研究效率。项目包含实战案例与自动化脚本，支持红队攻防与安全开发。 综合评分： 85 文章分类： 代码审计,渗透测试,CTF,逆向工程,安全工具

快来武装你的AI，让AI帮你做代码审计、渗透、逆向

原创

道一安全 道一安全

道一安全

2026年4月21日 09:37 北京

在小说阅读器读本章

去阅读

github 地址：https://github.com/DaoYiSec/SecSkills

仓库长期维护，欢迎各位师傅点点 star

SecSkills

收集整理渗透测试、漏洞扫描、代码审计、CTF、逆向、安全研究 等网络安全相关的 Skills和MCP

📌 分类目录 (共计 54 个)

• 代码审计 12
• 渗透测试、漏洞扫描 14
• JS逆向 2
• skills检查 2
• 样本分析 1
• 应急响应 1
• 移动安全 2
• CTF 1
• 红蓝对抗 1
• 逆向工程 1
• 报告编写 1
• 域渗透 1
• 微信小程序审计 1
• MCP 1
• 安全研究 1
• 娱乐 12

代码审计

| 名称 | 描述 | 链接 | | — | — | — | | java-audit-skills | 专注于 Java 代码审计的 Claude Skills 集合，提供自动化源码分析、路由提取、参数映射等功能，辅助安全研究人员和开发者进行 Java Web 应用的安全审计工作。 | java-audit-skills | | PHP Code Audit Skill | 本仓库是一套面向 PHP Web 的白盒代码安全审计 Skill 集合，覆盖「路由枚举 → 鉴权建模 → 数据流追踪 → 分类漏洞审计 → 证据一致性校验 → 报告汇总」全流程；在 Cursor 等环境中以 Agent 按 SKILL 文档执行 的方式落地。 | PHP-Code-Audit-Skill | | PHP_AUDIT_SKILLS | 基于 Claude Code Agent Teams 的多智能体协作安全审计框架，覆盖环境构建、静态侦察、动态追踪、深度对抗利用、后渗透关联分析、报告收口全链路，支持 21 种漏洞类型 专家级审计。 | PHP_AUDIT_SKILLS | | java-audit-skill | 一个专业的 java代码审计 Skill | java-audit-skill | | zh-audit-skills-hub | 为中文用户整理与维护的 OpenClaw 代码审计 Agent Skills 仓库。 | zh-audit-skills-hub | | skill-audit-skills | Claude Skills 安全审计工具 – 防止供应链投毒风险 | skill-audit-skills | | Code Audit | 专业白盒代码安全审计技能，覆盖 55+ 漏洞类型，双轨审计模型，多 Agent 深度分析。 | Code Audit | | Security Auditor | 用于审查代码安全漏洞、实施认证流程、审计 OWASP 十大、配置 CORS/CSP 头、处理密钥、输入验证、SQL 注入防护、XSS 保护或任何安全相关的代码审查。 | Security Auditor | | Security Audit Toolkit | 审计代码库和基础设施以防安全问题。用于扫描依赖漏洞、检测硬编码秘密、检查 OWASP 十大问题、验证 SSL/TLS、审计文件权限，或审查代码注入和认证漏洞。 | Security Audit Toolkit | | skill-dfyx_code_security_review | dfyx_code_security_review 是为 Claude Code、Trae 等 AI 客户端设计的专业代码安全审计 Skill。采用白盒静态分析方法论，通过五阶段标准化审计协议，系统性发现和验证源代码中的安全漏洞。 | skill-dfyx_code_security_review | | skill-dfyx_code_security_review | dfyx_code_security_review 是为 Claude Code、Trae 等 AI 客户端设计的专业代码安全审计 Skill。采用白盒静态分析方法论，通过五阶段标准化审计协议，系统性发现和验证源代码中的安全漏洞。 | skill-dfyx_code_security_review | | skill-dfyx_code_security_review | dfyx_code_security_review 是为 Claude Code、Trae 等 AI 客户端设计的专业代码安全审计 Skill。采用白盒静态分析方法论，通过五阶段标准化审计协议，系统性发现和验证源代码中的安全漏洞。 | skill-dfyx_code_security_review |

渗透测试漏洞扫描

| 名称 | 描述 | 链接 | | — | — | — | | HACK.SKILLS – Agent 的黑客武装 | 这是一个面向 Agent 的安全技能知识库，覆盖 Web 安全、API 安全、认证与授权、操作系统提权（Linux/Windows/macOS）、Active Directory 攻击、移动安全、二进制漏洞利用（Pwn）、逆向工程、密码学攻击、区块链与智能合约安全、AI/ML 与 LLM 安全、网络协议与横向移动、数字取证——服务于漏洞赏金、渗透测试、CTF 竞赛和授权安全研究。 | HACK.SKILLS – Agent 的黑客武装 | | Sec-Skills | 网络安全相关的大模型skill | Sec-Skills | | secknowledge-skill | 一个为 Claude Code / Cursor 打造的安全测试专家技能（Skill），将 88,636 个真实漏洞案例、5,600+ 篇安全研究文档、150 条 AI 安全风险、OWASP LLM/ASI/WSTG和常用 200+安全测试用例浓缩为可即时调用的渗透测试知识库。 | secknowledge-skill | | SkillSemgrep | Claude Code安全扫描Skill：说句中文就能扫漏洞，基于Semgrep | Security scanning skill for Claude Code, powered by Semgrep | SkillSemgrep | | threat-modeling | 原生AI自动化软件风险分析技能。采用大型语言模型（LLM）驱动、代码优先的方法，进行全面的安全风险评估、威胁建模、安全测试、渗透测试和合规性检查。 | threat-modeling | | pentest-skills | 告别复杂的命令行，用自然语言完成专业渗透测试。你只需描述测试目标，Claude Code 会自动选择合适的工具、执行命令、分析结果。 | pentest-skills | | AutoSongshu Agent (自动松鼠) | AutoSongshu 是一个自动化 Web 渗透测试辅助 Agent。它旨在通过大语言模型（LLM）的推理能力，结合浏览器自动化和安全扫描工具，为安全工程师提供一个“半自动驾驶”的渗透测试工作台。 | AutoSongshu Agent | | ghsa-skill-builder | 让 Claude 自动将 GitHub 公开漏洞数据库和 HackerOne Bug Bounty 报告转化为代码审计/渗透测试专用的结构化安全技能（Skills） | ghsa-skill-builder | | pentest-skills | 自动化渗透agent skills | pentest-skills | | Pentest Api Attacker | 测试针对 OWASP API 安全前十名的 API，包括发现、认证滥用和协议特定检查。 | Pentest Api Attacker | | Pentest Auth Bypass | 测试针对绕过和账户接管场景的身份验证和会话管理控制。 | Pentest Auth Bypass | | Nmap Pentest Scans | 规划并协调授权的 Nmap 主机发现、端口和服务枚举、NSE 分析及范围内目标的报告成果。 | Nmap Pentest Scans | | Security Scanner | 为网络应用、API 和基础设施提供自动化安全扫描和漏洞检测。当你需要扫描目标漏洞、检查 SSL 证书、寻找未开放端口、检测配置错误或进行安全审计时使用。可集成 nmap、nuclei 及其他安全工具。 | Security Scanner | | DeFiHackLabs-skill | 基于 DeFiHackLabs 的真实攻击案例与复现资料，沉淀出可复用的漏洞分析流程、分类方法与防御要点，便于安全研究、审计与快速定位问题。 | DeFiHackLabs-skill |

JS逆向

| 名称 | 描述 | 链接 | | — | — | — | | hello_js_reverse_skill | 面向逆向分析与爬虫对抗场景的 Skill，围绕 camoufox-reverse MCP 构建单一工作流：先用 Camoufox 反检测浏览器完成网络捕获、源码定位、Hook 调试与反检测验证，再按需落地到 Node.js 或 Python 算法还原与自动化调用。 | hello_js_reverse_skill | | JS Reverse MCP | JavaScript 逆向工程 MCP 服务器，让你的 AI 编码助手（如 Claude、Cursor、Copilot）能够调试和分析网页中的 JavaScript 代码。 | JS Reverse MCP |

skills检查

| 名称 | 描述 | 链接 | | — | — | — | | CLS-Certify | 可能是最好用的 Skill 安全检查 Skill，CocoLoop 出品。 | cls-certify | | SkillGuard | OpenClaw Skill 安全检查工具 | SkillGuard |

样本分析

| 名称 | 描述 | 链接 | | — | — | — | | IDA Skill for AI Agent | 让 AI Agent 像安全分析师一样分析恶意样本 | IDA-Skill |

应急响应

| 名称 | 描述 | 链接 | | — | — | — | | LinuxGun-skill | Linux 安全应急响AI应检查Skill | LinuxGun-skill |

移动安全

| 名称 | 描述 | 链接 | | — | — | — | | android-h1 | 移动安全漏洞挖掘专家SKILL，基于 HackerOne 真实报告的移动安全漏洞挖掘知识库，提供 Android 和 iOS 应用的漏洞挖掘手法、技术细节和代码模式分析。 | android-h1 | | FlowDroidSkill | 这是一个基于 FlowDroid 和 Jadx 的自动化 APK 安全分析工具。它能够对 APK 进行静态污点分析，检测潜在的数据泄露路径，并生成包含真实源代码上下文的详细安全报告。 | FlowDroidSkill |

CTF

| 名称 | 描述 | 链接 | | — | — | — | | ctf-skills | 解决CTF挑战的代理技能——网页漏洞利用、二进制文件破解、加密、逆向工程、取证、开源情报（OSINT）等 | ctf-skills |

红蓝对抗

| 名称 | 描述 | 链接 | | — | — | — | | Anna Agent Skills | 为 AI 编程助手 (Windsurf/Cursor) 打造的专业技能集，覆盖全栈开发、安全攻防、逆向工程等领域。 | anna-agent-skills |

逆向工程

| 名称 | 描述 | 链接 | | — | — | — | | reverse-skills | 逆向工程技能集 (Reverse Engineering Skills) ，为 Claude Code 提供逆向工程分析技能的插件市场。 | reverse-skills |

报告编写

| 名称 | 描述 | 链接 | | — | — | — | | dfyx_skills_lab | 安全报告编写助手是一款专注于网络安全领域的智能报告生成工具，能够基于漏洞编号、名称或安全扫描工具报告，自动生成符合行业标准的漏洞分析报告，包含漏洞背景、漏洞描述、漏洞原理、漏洞利用条件和修复要求等核心内容，帮助安全从业者快速生成标准化、专业的安全报告。 | dfyx_skills_lab |

域渗透

| 名称 | 描述 | 链接 | | — | — | — | | Pentest Active Directory | 评估 Active Directory 身份攻击路径，包括烘焙、中继和委托滥用。 | Pentest Active Directory |

微信小程序审计

| 名称 | 描述 | 链接 | | — | — | — | | wxmini-security-audit | 微信小程序全自动安全审计 Skill，基于 Claude Code Agent Teams。7 Agent 协作，覆盖敏感信息、API接口、加密分析、漏洞分析四大维度。采用脚本+LLM双层架构，脚本保证覆盖率，LLM保证准确率。 | wxmini-security-audit |

MCP

| 名称 | 描述 | 链接 | | — | — | — | | SO Analyzer MCP | Native库（SO文件）分析工具，支持Flutter应用抓包。免费开源的IDA Pro替代品！ | SO Analyzer MCP |

安全研究

| 名称 | 描述 | 链接 | | — | — | — | | sec-skills | 安全研究 Skills 仓库，专注于防御性安全研究工具集。 | sec-skills |

娱乐

| 名称 | 描述 | 链接 | | — | — | — | | 同事.skill | 将冰冷的离别化为温暖的 Skill，欢迎加入赛博永生！ | 同事.skill | | 女娲.skill | 女娲帮你蒸馏任何人的思维方式，让乔布斯、马斯克、芒格、费曼都给你打工。 | 女娲.skill | | X导师.skill | X导师.skill — 女娲的第一个「非人类」作品。蒸馏6位顶级X创作者方法论 + 开源算法数据，提炼完整的选题-写作-增长操作手册。Made with 女娲.skill | X导师.skill | | 老板.skill | 老板.skills. 把老板炼入token，把生产力的解放留给自己。 | 老板.skill | | 前任.skill | 把前任蒸馏成 AI Skill，用ta的方式跟你说话。 | 前任.skill | | 自己.skill | 与其蒸馏别人，不如蒸馏自己。欢迎加入数字永生！ | 自己.skill | | 博主.skill | 咱要的是情绪价值，不是具体的人！ | 博主.skill | | 反蒸馏 Skill（anti-distill） | 反蒸馏 Skill：清洗你被迫写的 Skill 文件，看起来完整，核心知识留给自己。Anti-distillation for employee Skills. | 反蒸馏 Skill | | 赛博算命 Skill | 基于 Claude Code 的八字排盘与命理分析工具。通过交互式对话收集出生信息，排出四柱八字，参照九本经典命理典籍进行专业分析。 | 赛博算命 Skill | | 月老 · 姻缘测算 Skills | Claude Code 姻缘测算技能 —— 赛博月老，用中华传统术数帮你算姻缘 | 月老 · 姻缘测算 Skills | | Numerologist Skills | 本项目致力于通过“工程化”手段，让大语言模型（LLM）精准理解和应用传统东方术数（如奇门遁甲、紫微斗数）。 | Numerologist Skills | | Master-skill | 基于佛教经典文献的汉传祖师大德教学角色生成器 | Master-skill |

github 地址：https://github.com/DaoYiSec/SecSkills

欢迎各位师傅点点 star

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：道一安全 道一安全 道一安全《快来武装你的AI，让AI帮你做代码审计、渗透、逆向》