- hack-skills là knowledge base bảo mật mã nguồn mở với 101 skills thuộc 14 domain, được xây dựng để AI agents có thể tra cứu và áp dụng kỹ thuật pentesting theo cách có thể định tuyến và kiểm chứng.
- Install chỉ 1 lệnh: npx skills add yaklang/hack-skills.
- Repo đạt 771 stars, hỗ trợ offline qua AES-256 encrypted ZIP, và có web UI riêng tại skills.hackbenchmark.com.
TL;DR
hack-skills là một knowledge base bảo mật mã nguồn mở do team yaklang xây dựng, chứa 101 skills trải qua 14 domain từ XSS, SQLi, SSRF cho đến Binary Exploitation, AI/ML Security, và Blockchain. Điểm khác biệt lớn nhất: repo này được thiết kế từ đầu để AI agents có thể đọc, định tuyến, và áp dụng - không phải chỉ để con người lướt qua.
Install: npx skills add yaklang/hack-skills
hack-skills: knowledge base pentesting composable cho AI agents
Vấn Đề Nó Giải Quyết
Các resource bảo mật truyền thống như PayloadsAllTheThings hay HackTricks được viết cho con người đọc - dài, ngữ cảnh phân tán, không có điểm vào rõ ràng. Khi bạn muốn một AI agent thực hiện penetration testing có authorization, agent đó không thể chỉ "đọc HackTricks" và tự biết mình cần làm gì tiếp theo.
hack-skills giải quyết vấn đề này bằng cách tổ chức lại toàn bộ kiến thức offensive security thành dạng routable - composable - reviewable: mỗi skill là một file độc lập, có entry point xác định, và agent có thể định tuyến đến đúng technique dựa trên behavior của target.
Kiến Trúc 3 Tầng
hack-skills hoạt động theo mô hình hub-and-spoke:
Tầng 1 - Master entry: Skill
hacklà điểm vào duy nhất. Agent load skill này đầu tiên.Tầng 2 - Category portals: 6 cổng phân loại (Web, API, Auth, Pwn, Mobile, AI/ML) định tuyến đến domain phù hợp.
Tầng 3 - Deep-dive skills: 101 skill chuyên sâu, mỗi cái trong thư mục riêng
skills/{identifier}/SKILL.md.
Framework định tuyến gồm 3 bước:
Reconnaissance: Xác định loại target (web app, REST API, mobile backend, payment flow).
Behavioral routing: "Input reflects into HTML/JS" → XSS; "Server actively fetches URL" → SSRF.
Testing priority: API Security → Injection attacks → Business Logic → Chained exploits.
Sơ đồ routing: SKILL:hack hub kết nối 6 category portals, mỗi portal mở rộng thành các deep-dive skills
14 Domain Bảo Mật
hack-skills bao phủ toàn diện offensive security:
Web attacks: XSS, SQLi, SSRF, XXE, SSTI, IDOR/BOLA, CMDi, Path Traversal/LFI, CSRF
API & Auth: API Security, Authentication/Authorization (JWT, OAuth, SAML, Auth Bypass), Business Logic
Advanced web: Request Smuggling, WebSocket attacks, Prototype Pollution, NoSQL Injection, Race Conditions
System: Linux/Windows/macOS privilege escalation, Active Directory attacks
Specialized: Mobile security, Binary exploitation (Pwn), Reverse engineering, Cryptography
Emerging: Blockchain/Smart contracts, AI/ML & LLM security, Network protocols, Digital forensics
Bắt Đầu Trong 1 Phút
Cài đặt qua npm:
npx skills add yaklang/hack-skillsHoặc truy cập trực tiếp:
Web UI: skills.hackbenchmark.com - có fuzzy search và filter theo domain
GitHub: github.com/yaklang/hack-skills - đọc markdown trực tiếp
Offline ZIP: AES-256 encrypted, password public
hack-skills(tránh antivirus false positive, không phải bảo mật thực sự)
Điều Làm hack-skills Khác Biệt
hack-skills tự mô tả là "distillation layer" - không phải mirror của HackTricks hay PayloadsAllTheThings, mà là lớp tổng hợp ưu tiên "security knowledge over flashy packaging; reviewability over quantity expansion".
3 điểm khác biệt cốt lõi:
AI-native design: Mỗi skill có structure nhất quán để agent có thể parse và áp dụng, không phải chỉ để hiển thị cho người dùng.
Behavioral routing: Thay vì liệt kê techniques theo alphabet, hack-skills route theo behavior của target - cách tiếp cận sát với thực tế pentest hơn nhiều.
Auditability: Mọi skill là file markdown thuần, không có dependency ẩn, dễ review và maintain.
Ai Nên Dùng Ngay
AI/agent developers xây dựng tool security automation và cần knowledge base có cấu trúc
Bug bounty hunters muốn tra cứu nhanh technique theo loại target
Pentesters cần reference có methodology rõ ràng, không chỉ payload list
CTF players cần overview nhanh về technique cho từng category
Security learners muốn học theo framework có hệ thống, không học lẻ tẻ
Lưu ý: hack-skills chỉ dành cho authorized targets, legitimate research, và bug-bounty-approved engagements.
Hệ Sinh Thái Yaklang
hack-skills là một phần của hệ sinh thái bảo mật do yaklang xây dựng:
Yaklang: Domain-specific language (DSL) thiết kế riêng cho cybersecurity
Yakit: IDE all-in-one với MITM proxy, web fuzzer, plugin marketplace, và visual workflow orchestration
hack-skills: Knowledge base 101 skills - lớp kiến thức cho AI agents và security professionals
Trong bối cảnh AI agent security ngày càng nóng - via penligent.ai ghi nhận 48% cybersecurity professionals tin agentic AI sẽ là top attack vector cuối 2026 - một knowledge base được thiết kế đặc biệt cho AI agents như hack-skills có timing rất phù hợp.
Kết
hack-skills lấp đầy một khoảng trống rõ ràng: security knowledge được tổ chức cho AI agents, không phải chỉ cho con người đọc. Với 101 skills, 14 domain, MIT license, và install 1 lệnh - đây là resource đáng bookmark cho bất kỳ ai làm việc trong lĩnh vực security automation hoặc agentic AI.