Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/agent-security

Name: agent-security
Author: wgpsec

skills/ai-security/agent-security/SKILL.md

npx skillsauth add wgpsec/AboutSecurity agent-security

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

AI Agent 安全测试方法论

概述

AI Agent 与普通 LLM 应用的本质区别在于自主行动能力——Agent 拥有工具调用、代码执行、持久记忆和多步规划能力，这意味着一次成功的注入不再只是生成错误文本，而是可以触发真实的系统操作。攻击面从"模型输出"扩展到了"工具执行链、Agent 间通信、持久化状态"的全栈。

深入参考

各 ASI 编号的详细攻击场景、Payload 与测试方法 → references/agent-attack-scenarios.md

OWASP ASI01-ASI10 风险速查

| 编号 | 风险名称 | 核心测试要点 | |------|----------|-------------| | ASI01 | 目标劫持 | 直接/间接注入能否改变 Agent 执行目标 | | ASI02 | 工具滥用 | 未授权工具调用、参数注入、描述投毒 | | ASI03 | 身份与权限 | Agent 权限是否遵循最小权限、凭据隔离 | | ASI04 | 供应链 | 第三方 Skill/Plugin/MCP Server 是否可信 | | ASI05 | 代码执行 | 沙箱逃逸、任意命令注入 | | ASI06 | 记忆投毒 | 持久化上下文/历史对话是否可被污染 | | ASI07 | 多 Agent 通信 | Agent 间消息伪造、信任传递链漏洞 | | ASI08 | 级联故障 | 单 Agent 失败是否引发链式崩溃 | | ASI09 | 人机信任 | 用户是否无条件信任 Agent 输出并执行 | | ASI10 | 失控 Agent | 是否存在有效的终止/回滚机制 |

方法论概览

Phase 0: Agent 架构侦察

识别 Agent 类型（单体 ReAct / 多 Agent 编排 / 代码执行型）和底层框架（LangChain/AutoGen/CrewAI 等）
枚举 Agent 可用工具集、权限边界、通信拓扑（Hub-Spoke / Mesh / 层级）
确认人类监督节点（Human-in-the-loop）的位置和覆盖范围

Phase 1: 目标劫持测试 (ASI01)

通过直接对话和间接数据源（文件、网页、API 返回）注入偏离指令，验证 Agent 是否执行非预期操作
关键判断：Agent 的目标锁定机制是否能抵抗上下文窗口中的对抗性指令

Phase 2: 工具滥用测试 (ASI02)

构造恶意工具参数（路径遍历、命令拼接），测试 Agent 是否盲目传递用户可控输入到工具调用
测试工具描述投毒——恶意描述能否改变 Agent 对工具的使用方式（详见 mcp-security）

Phase 3: 供应链与代码执行 (ASI04/ASI05)

审查第三方 Skill/Plugin/Rules 文件是否包含隐藏指令或后门
代码执行型 Agent：测试沙箱隔离强度，尝试文件系统访问、网络外联、进程逃逸

Phase 4: 记忆投毒与持久化 (ASI06)

向 Agent 的对话历史或长期记忆注入恶意上下文，验证是否在后续会话中被激活
测试记忆的写入/读取权限控制——非特权交互能否修改系统级记忆

Phase 5: 多 Agent 通信安全 (ASI07)

在多 Agent 系统中伪造来自其他 Agent 的消息，测试接收方是否验证消息来源
检查信任传递链：若 Agent A 信任 Agent B，攻击 B 能否间接控制 A

Phase 6: 监控与 Kill Switch (ASI08/ASI10)

验证级联故障：单个 Agent 异常输出是否被下游 Agent 无条件信任并放大
测试终止机制（Kill Switch）的有效性——Agent 在失控状态下能否被可靠中断

实战检测清单

1. [ ] Agent 类型与架构已识别？工具集、权限模型、通信拓扑已枚举？
2. [ ] 目标劫持：间接数据源注入能否改变 Agent 执行流？
3. [ ] 工具滥用：用户输入是否直接拼接到工具参数？
4. [ ] 权限边界：Agent 是否运行在最小权限下？凭据是否隔离？
5. [ ] 供应链：第三方组件是否经过安全审计？
6. [ ] 代码执行：沙箱是否能阻止文件/网络/进程访问？
7. [ ] 记忆系统：是否有写入权限控制？历史是否可被投毒？
8. [ ] 多 Agent：消息来源是否验证？信任传递链是否可被利用？
9. [ ] 级联故障：异常是否被隔离？是否存在全局 Kill Switch？

参考资源

OWASP Agentic AI Security Top 10
Morris II: Agent Worm — Self-Replicating Prompt Injection
GAARM Framework — Agent Attack Taxonomy
Claude Code CVE-2025-54795 — Command Injection via Malicious Rule Files

wgpsec/agent-security

skills/ai-security/agent-security/SKILL.md

AI Agent 系统安全测试方法论。当目标系统使用 AI Agent 执行工具调用、多 Agent 协作、或自主决策时触发。覆盖 OWASP Agentic AI Security Top 10 (ASI01-ASI10): 目标劫持、工具滥用、身份权限、供应链、代码执行、记忆投毒、多 Agent 通信、级联故障、人机信任利用、失控 Agent。

1,185 stars

testing

Updated Apr 24, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity agent-security

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 24, 2026, 5:30 AM12.5s2 files scanned

SKILL.md

name:: agent-security
description:: |
tags:: agent security, ai agent, agentic ai, owasp asi, tool abuse, agent hijack, multi-agent, 智能体安全, agent 劫持, 工具滥用, 权限越界, 级联故障, kill switch, agent蠕虫, morris ii
category:: ai-security

AI Agent 安全测试方法论

概述

深入参考

各 ASI 编号的详细攻击场景、Payload 与测试方法 → references/agent-attack-scenarios.md

OWASP ASI01-ASI10 风险速查

方法论概览

Phase 0: Agent 架构侦察

识别 Agent 类型（单体 ReAct / 多 Agent 编排 / 代码执行型）和底层框架（LangChain/AutoGen/CrewAI 等）
枚举 Agent 可用工具集、权限边界、通信拓扑（Hub-Spoke / Mesh / 层级）
确认人类监督节点（Human-in-the-loop）的位置和覆盖范围

Phase 1: 目标劫持测试 (ASI01)

通过直接对话和间接数据源（文件、网页、API 返回）注入偏离指令，验证 Agent 是否执行非预期操作
关键判断：Agent 的目标锁定机制是否能抵抗上下文窗口中的对抗性指令

Phase 2: 工具滥用测试 (ASI02)

构造恶意工具参数（路径遍历、命令拼接），测试 Agent 是否盲目传递用户可控输入到工具调用
测试工具描述投毒——恶意描述能否改变 Agent 对工具的使用方式（详见 mcp-security）

Phase 3: 供应链与代码执行 (ASI04/ASI05)

审查第三方 Skill/Plugin/Rules 文件是否包含隐藏指令或后门
代码执行型 Agent：测试沙箱隔离强度，尝试文件系统访问、网络外联、进程逃逸

Phase 4: 记忆投毒与持久化 (ASI06)

向 Agent 的对话历史或长期记忆注入恶意上下文，验证是否在后续会话中被激活
测试记忆的写入/读取权限控制——非特权交互能否修改系统级记忆

Phase 5: 多 Agent 通信安全 (ASI07)

在多 Agent 系统中伪造来自其他 Agent 的消息，测试接收方是否验证消息来源
检查信任传递链：若 Agent A 信任 Agent B，攻击 B 能否间接控制 A

Phase 6: 监控与 Kill Switch (ASI08/ASI10)

验证级联故障：单个 Agent 异常输出是否被下游 Agent 无条件信任并放大
测试终止机制（Kill Switch）的有效性——Agent 在失控状态下能否被可靠中断

实战检测清单

1. [ ] Agent 类型与架构已识别？工具集、权限模型、通信拓扑已枚举？
2. [ ] 目标劫持：间接数据源注入能否改变 Agent 执行流？
3. [ ] 工具滥用：用户输入是否直接拼接到工具参数？
4. [ ] 权限边界：Agent 是否运行在最小权限下？凭据是否隔离？
5. [ ] 供应链：第三方组件是否经过安全审计？
6. [ ] 代码执行：沙箱是否能阻止文件/网络/进程访问？
7. [ ] 记忆系统：是否有写入权限控制？历史是否可被投毒？
8. [ ] 多 Agent：消息来源是否验证？信任传递链是否可被利用？
9. [ ] 级联故障：异常是否被隔离？是否存在全局 Kill Switch？

参考资源

OWASP Agentic AI Security Top 10
Morris II: Agent Worm — Self-Replicating Prompt Injection
GAARM Framework — Agent Attack Taxonomy
Claude Code CVE-2025-54795 — Command Injection via Malicious Rule Files

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/ai-security/agent-security ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,185 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT