Anthropic Cybersecurity Skills 방어형 10개 Hermes 설치 및 사용법

📅 2026-07-07 10:52 · obsidian-share

type: note

status: active-reference

source_type: github-skill-pack

knowledge-candidate: true

created: 2026-07-01

topics:

- Hermes Agent

- cybersecurity skills

- security operations

- incident response

- AI security

keywords:

- Anthropic Cybersecurity Skills

- Hermes skills

- 방어형 보안 스킬

- 침해 분석

- MCP 보안

source:

- https://github.com/mukul975/Anthropic-Cybersecurity-Skills

local_paths:

repo: /Users/macmini/.hermes/community-skills/anthropic-cybersecurity-skills

installed_category: /Users/macmini/.hermes/skills/cybersecurity

upstream_commit: 673da1f


# Anthropic Cybersecurity Skills 방어형 10개 Hermes 설치 및 사용법

한 줄 요약

mukul975/Anthropic-Cybersecurity-Skills에서 공격 실습보다 방어·점검·분석에 가까운 보안 스킬 10개만 골라 Hermes 기본 프로필에 설치했다.

왜 저장했나

전체 저장소에는 817개 보안 스킬이 있어 그대로 전부 설치하면 검색 범위가 너무 커지고, 레드팀/공격성 절차도 섞인다. 그래서 실제 운영에 바로 쓰기 좋은 방어형 스킬 10개만 선별해 Hermes에서 필요할 때 불러 쓰는 방식으로 시작한다.

설치 상태

  • 원본 저장소: https://github.com/mukul975/Anthropic-Cybersecurity-Skills
  • 로컬 저장소: /Users/macmini/.hermes/community-skills/anthropic-cybersecurity-skills
  • 설치 위치: /Users/macmini/.hermes/skills/cybersecurity/
  • 설치 방식: 원본 저장소의 개별 skills// 디렉터리를 Hermes 스킬 폴더에 symlink
  • 확인 커밋: 673da1f
  • 설치일: 2026-07-01 Wednesday KST
  • 설치된 방어형 스킬 10개

    1. analyzing-web-server-logs-for-intrusion

    - Apache/Nginx access log에서 SQLi, LFI, path traversal, scanner, brute-force 흔적을 찾는 스킬

    2. analyzing-linux-audit-logs-for-intrusion

    - Linux auditd 로그를 기반으로 침입, 권한 상승, 비정상 시스템 활동을 분석하는 스킬

    3. analyzing-network-traffic-with-wireshark

    - Wireshark/tshark 패킷 캡처를 분석해 악성 트래픽, 프로토콜 이상, 사고 증거를 찾는 스킬

    4. analyzing-sbom-for-supply-chain-vulnerabilities

    - CycloneDX/SPDX SBOM을 CVE/NVD와 대조해 공급망 취약점을 점검하는 스킬

    5. auditing-aws-s3-bucket-permissions

    - AWS S3 버킷 공개 여부, ACL, bucket policy, 암호화 설정을 점검하는 스킬

    6. auditing-kubernetes-cluster-rbac

    - Kubernetes RBAC에서 과도한 권한, wildcard, 위험한 ClusterRoleBinding을 점검하는 스킬

    7. building-detection-rules-with-sigma

    - Sigma 포맷으로 SIEM 공통 탐지 룰을 설계하는 스킬

    8. conducting-phishing-incident-response

    - 피싱 메일 사고 대응, 헤더 분석, IOC 추출, 계정 영향 평가, 메일 격리 절차를 다루는 스킬

    9. building-incident-response-playbook

    - NIST/SANS 흐름에 맞춰 사고 대응 플레이북과 의사결정 트리를 만드는 스킬

    10. auditing-mcp-servers-for-tool-poisoning

    - MCP 서버의 tool poisoning, SSRF, 미인증 노출, rug pull 위험을 점검하는 AI 보안 스킬

    Hermes에서 쓰는 법

    기본 사용법

    새 세션에서 자연어로 요청해도 되고, 명시적으로 스킬 이름을 말해도 된다.

    analyzing-web-server-logs-for-intrusion 스킬 기준으로 ~/logs/access.log를 분석해줘.
    의심 IP, 공격 패턴, 성공 가능성, 다음 조치 순서로 정리해줘.
    
    conducting-phishing-incident-response 스킬을 사용해서 이 피싱 메일 원문을 분석해줘.
    헤더, URL, 첨부파일 위험도, 계정 조치까지 체크해줘.
    
    auditing-mcp-servers-for-tool-poisoning 스킬 기준으로 내 MCP 설정 파일을 읽기 전용으로 점검해줘.
    허가받은 로컬 설정만 확인하고 외부 공격성 테스트는 하지 마.
    

    명시 로딩 예시

    CLI 세션이라면 다음처럼 시작할 수 있다.

    hermes -s analyzing-web-server-logs-for-intrusion
    

    텔레그램/게이트웨이에서는 그냥 이렇게 말하면 된다.

    웹서버 로그 침해 분석 스킬로 이 파일 봐줘: /path/to/access.log
    

    안전 사용 원칙

  • 내 서버, 내 로그, 내가 허가받은 테스트 환경에서만 사용한다.
  • 제3자 시스템 스캔, 인증 우회, 공격 재현은 명시 허가 없이는 하지 않는다.
  • 기본값은 읽기 전용 분석이다.
  • AWS/Kubernetes/MCP 점검은 실제 변경 전에 반드시 읽기 전용으로 진단만이라고 명시한다.
  • 외부 URL, IP, 도메인을 대상으로 능동 테스트가 필요한 경우에는 허가 범위를 먼저 적는다.
  • 추천 프롬프트 템플릿

    웹 서버 로그 분석

    analyzing-web-server-logs-for-intrusion 스킬 기준으로 다음 로그를 분석해줘.
    대상 파일: /path/to/access.log
    범위: 최근 24시간
    원하는 출력:
    1. 의심 IP
    2. 공격 패턴
    3. 영향받은 URL
    4. 성공 가능성
    5. 즉시 조치
    읽기 전용으로만 분석해줘.
    

    Linux auditd 사고 분석

    analyzing-linux-audit-logs-for-intrusion 스킬 기준으로 auditd 로그를 분석해줘.
    대상 파일: /var/log/audit/audit.log
    초점: 권한 상승, 신규 계정, sudo/su, 민감 파일 접근
    명령 실행 전에는 먼저 필요한 읽기 명령만 제안해줘.
    

    SBOM 공급망 취약점 점검

    analyzing-sbom-for-supply-chain-vulnerabilities 스킬 기준으로 SBOM을 점검해줘.
    대상 파일: /path/to/sbom.json
    출력: 고위험 CVE, 영향 컴포넌트, 수정 우선순위, 운영 리스크.
    

    MCP 서버 보안 점검

    auditing-mcp-servers-for-tool-poisoning 스킬 기준으로 MCP 설정을 점검해줘.
    대상: ~/.cursor/mcp.json 또는 Hermes MCP 설정
    목표: tool poisoning, rug pull, SSRF 위험, 미인증 노출 여부.
    외부 시스템을 공격하지 말고 로컬 설정과 메타데이터 중심으로 봐줘.
    

    업데이트 방법

    원본 저장소를 업데이트하면 symlink된 스킬도 같이 최신 내용으로 바뀐다.

    cd /Users/macmini/.hermes/community-skills/anthropic-cybersecurity-skills
    git pull --ff-only
    

    업데이트 후 Hermes에서 안 보이면 새 세션을 시작하거나 /reset 한다.

    삭제 방법

    개별 스킬을 제거하려면 symlink만 지우면 된다.

    rm ~/.hermes/skills/cybersecurity/
    

    원본 저장소까지 지우려면 아래 경로를 삭제한다.

    rm -rf /Users/macmini/.hermes/community-skills/anthropic-cybersecurity-skills
    

    AI가 이 노트로 답할 수 있는 질문

  • Hermes에 설치된 방어형 보안 스킬 목록은 무엇인가?
  • 웹 서버 로그 침해 분석을 시작하려면 어떤 프롬프트를 쓰면 되는가?
  • MCP 서버 tool poisoning 점검은 어떤 스킬로 하는가?
  • Anthropic-Cybersecurity-Skills 전체 설치 대신 10개만 설치한 이유는 무엇인가?
  • 이 스킬팩을 업데이트하거나 제거하려면 어떤 경로를 보면 되는가?
  • 관련 노트

  • [[Inbox Triage]]
  • 원본 메모

    사용자 요청: 1,2번 가즈아

    의미:

    1. Hermes에 방어형 보안 스킬 10개 선별 설치

    2. Obsidian에 보안 스킬 사용법 노트 작성