{"id":"06827df4-7bee-4ea0-b228-280e9a626735","shortId":"qE25YR","kind":"skill","title":"coff0xc-identity-zero-trust","tagline":"Use when / 当用户请求: 全面身份安全、零信任、AD/Kerberos、IAM、权限、凭证风险、横向移动防御和访问控制审查工作流。触发：IAM、identity、identity paths、SSO、MFA、AD、Active Directory、Kerberos、BloodHound、权限、凭证、服务账号、提权、横向移动、Zero Trust、PAM、账号权限混乱、谁能访问什么、特权账号收敛、登录策略、access governance。 Covered source aliases / 来源别名: ad-pentest, credentia","description":"# coff0xc-identity-zero-trust\n\n<!-- skill-id: cs-izt-5b0a7d2e -->\n\n## 快速规则（日常任务先读这里）\n> **[身份图先行]** 先明确主体、组、角色、策略、会话、设备、服务账号和信任路径。\n> **[证据门禁]** 结论绑定配置、日志、策略、BloodHound/图路径或代码调用点。\n> **[修复优先]** 给最小权限、MFA/session、分段访问、审计和回滚建议。\n> **[硬边界]** IAM/AD 写入、账号禁用、密钥轮换、生产权限调整和横向验证先确认。\n\n普通身份/零信任评估按本节先推进；只有真实目录变更、演练或跨环境治理时再展开完整工作流。\n\n## 能力定位\n面向身份、访问控制、AD/Kerberos、IAM 和零信任治理的权限风险评估能力。它帮助回答“谁能访问什么、为什么、风险在哪里、如何收敛”。\n\n## 能交付什么\n- 身份/权限风险清单和路径说明\n- MFA/SSO/session/device posture 评估\n- AD/Kerberos/IAM 横向移动和特权账号防御建议\n- 最小权限、PAM、条件访问和审计验证计划\n\n## 可以接收什么输入\n- IAM policy、AD/BloodHound 输出、SSO/MFA 配置\n- 账号/角色/组/权限矩阵、登录日志、访问异常\n- Zero Trust 策略、设备姿态、session policy\n\n## 放心使用的边界\n- 默认做授权环境的只读分析和防御建议\n- 凭证获取、hash dump、未授权横向移动或提权步骤不提供\n- 生产身份策略修改、账号禁用、密钥轮换必须先确认\n- 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。\n\n## 为什么可以放心\n- 把身份、设备、会话、资源和审计链路一起看\n- 区分配置弱点和实际可达路径\n- 输出收敛顺序和验证方法\n\n## 典型使用方式\n```text\n使用 coff0xc-identity-zero-trust 评估这个 AD 域的 Kerberos、BloodHound 路径和服务账号风险。\n使用 coff0xc-identity-zero-trust 梳理谁能访问什么，并给最小权限收敛方案。\nUse coff0xc-identity-zero-trust to review IAM, SSO, MFA, and privileged account exposure.\n```\n\n\n## 目标\n从身份、设备、网络、应用和数据访问路径评估权限风险，输出检测、最小权限和零信任改进方案。\n\n## 适用场景\n- 审查 AD、Kerberos、云 IAM、SSO/MFA、PAM、服务账号、权限委派和访问路径。\n- 基于 BloodHound/目录导出/审计日志做防御性路径分析。\n- 设计零信任控制、条件访问、凭证治理、最小权限和横向移动检测。\n\n## 触发强化\n- 自动触发主要依赖本文件 frontmatter 的 `description`；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 `description`。\n- 如果没有自动触发，手动写：`使用 coff0xc-identity-zero-trust ...`。\n- 如果用户只写了宽泛主题，可先用 `coff0xc-skill-router` 路由到本 skill。\n\n## 不适用场景\n- 不提供凭证窃取、hash 提取、票据伪造、绕过 MFA、真实提权或横向移动步骤。\n- 不在生产目录、租户或终端上运行修改命令，除非明确授权。\n- 真实用户隐私和凭据数据必须脱敏。\n\n## 执行原则\n- 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。\n- 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。\n- 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。\n- 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。\n- 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。\n- 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。\n\n## 安全边界\n- 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。\n- 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。\n- 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。\n- 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。\n- 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。\n\n## 能力矩阵\n| 能力域 | 覆盖范围 | 执行要点 |\n| --- | --- | --- |\n| 身份治理 | 用户、组、角色、服务账号、特权账号、生命周期、JML | 权限有 owner 和理由。 |\n| 认证强度 | MFA、SSO、conditional access、device posture、session policy | 高风险路径有强认证。 |\n| 授权模型 | RBAC、ABAC、tenant boundary、delegation、admin roles | 最小权限和分权。 |\n| AD/Kerberos | GPO、SPN、delegation、trust、ACL、tiering、adminSDHolder | 防御路径分析。 |\n| 凭证风险 | 硬编码、共享账号、长期 token、弱存储、轮换、审计 | 不暴露秘密值。 |\n| 横向移动防御 | 远程管理、共享、RDP/WinRM/SSH、日志覆盖、网络分段 | 检测和阻断建议。 |\n| 零信任 | 身份、设备、应用、数据、网络、持续评估 | 控制矩阵和成熟度路线。 |\n\n## 子域路由\n| 来源 skill | 并入后的处理方式 |\n| --- | --- |\n| identity-security | IAM/SSO/MFA/PAM/身份治理。 |\n| zero-trust | 零信任架构、控制矩阵和成熟度路线。 |\n| ad-pentest | AD/Kerberos 防御性路径分析和加固。 |\n| credential-access | 凭证暴露检测、轮换和日志审计。 |\n| privilege-escalation | 提权路径防御、权限边界和最小权限。 |\n| lateral-movement | 横向移动检测、分段和远程访问控制。 |\n\n## 工作流\n| 阶段 | 动作 | 完成标准 |\n| --- | --- | --- |\n| 范围与数据 | 确认目录/租户、数据导出、日志、工具结果和授权。 | 数据来源合法。 |\n| 资产建模 | 列身份、角色、系统、数据、管理通道和 trust relationship。 | 访问图清晰。 |\n| 路径分析 | 寻找高权限路径、弱认证、过度委派、长期凭证和日志盲区。 | 风险有证据。 |\n| 控制映射 | 映射 MFA、PAM、分段、JIT/JEA、审计、检测和响应。 | 知道缺什么控制。 |\n| 修复计划 | 按权限降级、轮换、策略、分段、检测和培训排序。 | 能分阶段执行。 |\n| 验证 | 权限查询、策略模拟、日志命中、访问失败/成功路径验证。 | 风险降低可证明。 |\n\n## 证据等级\n- 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。\n- 高可信：多个可靠来源一致，但当前环境没有完整复现。\n- 推断：基于已验证事实的合理判断，需要后续验证。\n- 未验证：尚未确认，不能作为最终结论。\n- 未知：资料不足，需要补充输入或授权。\n\n## 硬门禁\n- 目录修改、禁用账号、轮换凭据、策略下发、权限收敛前必须确认业务影响。\n- 不要输出真实用户密码、hash、token、cookie 或可滥用票据。\n- BloodHound 或日志中的个人身份信息要最小化引用。\n\n## 验证清单\n- 权限：前后角色/ACL/策略 diff。\n- 认证：MFA/conditional access 命中日志。\n- 检测：关键事件 ID、SIEM 查询和样例。\n- 零信任：控制矩阵完成度和残余风险。\n\n## 反模式\n- 只列攻击路径，不给业务可接受的修复顺序。\n- 把所有账号一刀切禁用或强制轮换。\n- 忽略服务账号和自动化任务影响。\n- 没有日志验证就认为控制生效。\n\n## 合并来源\n- `ad-pentest`\n- `credential-access`\n- `identity-security`\n- `lateral-movement`\n- `privilege-escalation`\n- `zero-trust`\n\n## 本机相近 Skill\n- `source-command-ad-pentest`\n- `source-command-privesc`\n- `zeroize-audit`\n\n## 输出合同\n```markdown\n完成：\n- ...\n\n证据：\n- [已验证/高可信/推断/未验证/未知] ...\n\n行动：\n- ...\n\n验证：\n- ...\n\n剩余风险：\n- ...\n\n下一步：\n- ...\n```","tags":["coff0xc","identity","zero","trust","coffee","skill","agent-skills","ai-agents","appsec","codex","defensive-security","devsecops"],"capabilities":["skill","source-coff0xc","skill-coff0xc-identity-zero-trust","topic-agent-skills","topic-ai-agents","topic-appsec","topic-codex","topic-defensive-security","topic-devsecops","topic-office-docs","topic-prompt-engineering","topic-rag","topic-security-tools","topic-skills"],"categories":["coffee-skill"],"synonyms":[],"warnings":[],"endpointUrl":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-identity-zero-trust","protocol":"skill","transport":"skills-sh","auth":{"type":"none","details":{"cli":"npx skills add Coff0xc/coffee-skill","source_repo":"https://github.com/Coff0xc/coffee-skill","install_from":"skills.sh"}},"qualityScore":"0.455","qualityRationale":"deterministic score 0.46 from registry signals: · indexed on github topic:agent-skills · 11 github stars · SKILL.md body (4,064 chars)","verified":false,"liveness":"unknown","lastLivenessCheck":null,"agentReviews":{"count":0,"score_avg":null,"cost_usd_avg":null,"success_rate":null,"latency_p50_ms":null,"narrative_summary":null,"summary_updated_at":null},"enrichmentModel":"deterministic:skill-github:v1","enrichmentVersion":1,"enrichedAt":"2026-05-18T19:07:30.715Z","embedding":null,"createdAt":"2026-05-18T13:12:44.261Z","updatedAt":"2026-05-18T19:07:30.715Z","lastSeenAt":"2026-05-18T19:07:30.715Z","tsv":"'/acl':522 'abac':362 'access':40,354,423,527,548 'account':190 'acl':374 'activ':24 'ad':23,47,164,201,417,544,566 'ad-pentest':46,416,543 'ad/bloodhound':111 'ad/kerberos':11,89,369,419 'ad/kerberos/iam':103 'admin':366 'adminsdhold':376 'alias':44 'api':273 'audit':574 'bloodhound':27,69,167,210,517 'boundari':364 'c2':145,309 'ci/cd':291 'coff0xc':2,51,159,171,179,233,240 'coff0xc-identity-zero-trust':1,50,158,170,178,232 'coff0xc-skill-router':239 'command':565,570 'condit':353 'cooki':515 'cover':42 'credenti':422,547 'credentia':49 'credential-access':421,546 'ctf':298 'cve':267 'deleg':365,372 'descript':221,228 'devic':355 'diff':524 'directori':25 'dump':131 'escal':428,557 'exposur':191 'frontmatt':219 'github':269 'govern':41 'gpo':370 'hash':130,247,513 'iam':12,17,90,109,185,204 'iam/ad':77 'iam/sso/mfa/pam':409 'id':531 'ident':3,18,19,52,160,172,180,234,407,550 'identity-secur':406,549 'jit/jea':467 'jml':346 'kerbero':26,166,202 'later':432,553 'lateral-mov':431,552 'markdown':576 'mfa':22,187,251,351,464 'mfa/conditional':526 'mfa/session':73 'mfa/sso/session/device':100 'movement':433,554 'owner':348 'pam':35,106,206,465 'path':20 'pentest':48,418,545,567 'polici':110,126,358 'postur':101,356 'pr/issue':290 'privesc':571 'privileg':189,427,556 'privilege-escal':426,555 'push':289 'rbac':361 'rdp/winrm/ssh':390 'relationship':454 'review':184 'role':367 'router':242 'secur':408,551 'session':125,357 'siem':532 'skill':223,241,244,404,562 'skill-coff0xc-identity-zero-trust' 'sourc':43,564,569 'source-coff0xc' 'source-command-ad-pentest':563 'source-command-privesc':568 'spn':371 'sso':21,186,352 'sso/mfa':113,205 'tenant':363 'text':156 'tier':375 'token':382,514 'topic-agent-skills' 'topic-ai-agents' 'topic-appsec' 'topic-codex' 'topic-defensive-security' 'topic-devsecops' 'topic-office-docs' 'topic-prompt-engineering' 'topic-rag' 'topic-security-tools' 'topic-skills' 'trust':5,34,54,122,162,174,182,236,373,413,453,560 'use':6,177 'zero':4,33,53,121,161,173,181,235,412,559 'zero-trust':411,558 'zeroiz':573 'zeroize-audit':572 '下一步':587 '不在生产目录':253 '不复述完整秘密值':334 '不提供凭证窃取':246 '不提供未授权攻击':141 '不暴露秘密值':386 '不确定但低风险的细节记录为假设并继续推进':264 '不给业务可接受的修复顺序':538 '不能作为最终结论':502 '不要输出真实用户密码':512 '不适用场景':245 '个人信息':330 '为什么':94 '为什么可以放心':148 '主动联网扫描':321 '云':203 '云服务':268 '云账号检查':322 '从身份':193 '付费':288 '代码审计':303 '价格':271 '优先使用现有框架':277 '会话':62,151 '但当前环境没有完整复现':496 '位置和处置建议':333 '使用':157,169,231 '修复优先':71 '修复计划':471 '先拿到明确授权':293 '先明确主体':58 '先读取项目文件':258 '全面身份安全':9 '共享':389 '共享账号':380 '关键事件':530 '典型使用方式':155 '再下结论或改文件':262 '写入':78 '凭据':287 '凭据窃取':142 '凭证':29 '凭证暴露检测':424 '凭证治理':215 '凭证获取':129,306 '凭证风险':14,378 '分段':466,475 '分段和远程访问控制':435 '分段访问':74 '列身份':448 '前后角色':521 '剩余风险':586 '加固':139 '加固方案':319 '动作':438 '区分配置弱点和实际可达路径':153 '反模式':536 '发现密钥':329 '只列攻击路径':537 '只处理自有资产':295 '只报告类型':332 '只有真实目录变更':84 '只有真实运行过的命令':280 '可以接收什么输入':108 '可先用':238 '合并来源':542 '命中日志':528 '和理由':349 '和零信任治理的权限风险评估能力':91 '图路径或代码调用点':70 '域的':165 '基于':209 '基于已验证事实的合理判断':498 '外部':272 '多个可靠来源一致':495 '如何收敛':96 '如果没有自动触发':229 '如果用户只写了宽泛主题':237 '子域路由':402 '它帮助回答':92 '安全类能力默认只用于授权':136 '安全边界':294 '完成':577 '完成标准':439 '官方资料或可复现数据支持':493 '实验室':297 '审查':200 '审计':385,468 '审计和回滚建议':75 '审计日志做防御性路径分析':212 '密钥轮换':80 '密钥轮换必须先确认':135 '寻找高权限路径':457 '尚未确认':501 '工作流':436 '工具名':226 '工具结果和授权':445 '已把中文':224 '已验证':486,579 '并入后的处理方式':405 '并给最小权限收敛方案':176 '应用':397 '应用和数据访问路径评估权限风险':196 '弱存储':383 '弱认证':458 '当用户请求':8 '快速规则':55 '忽略服务账号和自动化任务影响':540 '成功路径验证':483 '或可滥用票据':516 '或日志中的个人身份信息要最小化引用':518 '或论文时':274 '手动写':230 '执行原则':257 '执行要点':338 '扫描或人工检查才能写成已验证':283 '把所有账号一刀切禁用或强制轮换':539 '把用户目标转成可验证的完成标准':263 '把身份':149 '持久化':143,307 '持续评估':400 '按权限降级':472 '授权模型':360 '授权边界':314 '控制映射':462 '控制矩阵和成熟度路线':401,415 '控制矩阵完成度和残余风险':535 '推断':497,581 '提取':248 '提权':31 '提权路径防御':429 '放心使用的边界':127 '数据':398,451 '数据外传':311 '数据外传或破坏性步骤':147 '数据导出':443 '数据来源合法':446 '日常任务先读这里':56 '日志':67,300,444,492 '日志命中':481 '日志查询':317 '日志覆盖':391 '时间窗口':327 '明确授权资产':296 '映射':463 '普通身份':82 '最小权限':105 '最小权限和分权':368 '最小权限和横向移动检测':216 '最小权限和零信任改进方案':198 '服务账号':30,207,343 '服务账号和信任路径':64 '未授权横向移动或提权步骤不提供':132 '未知':503,583 '未验证':500,582 '本':222 '本地命令':487 '本机相近':561 '权限':13,28,520 '权限委派和访问路径':208 '权限或基础设施变更时':292 '权限收敛前必须确认业务影响':511 '权限有':347 '权限查询':479 '权限矩阵':118 '权限边界和最小权限':430 '权限风险清单和路径说明':99 '条件访问':214 '条件访问和审计验证计划':107 '来源':403 '来源别名':45 '来源别名和常见缩写写入':227 '构建':282,489 '查真实来源并标注证据等级':275 '查询和样例':533 '样本':302 '样本敏感数据或客户数据时':331 '梳理谁能访问什么':175 '检测':138,529 '检测和响应':469 '检测和培训排序':476 '检测和阻断建议':393 '检测思路':316 '横向移动':32 '横向移动和特权账号防御建议':104 '横向移动检测':434 '横向移动防御':387 '横向移动防御和访问控制审查工作流':15 '没有日志验证就认为控制生效':541 '测试':281,488 '测试和本地工具':279 '涉及代码改动时保持最小正确改动':276 '涉及删除':284 '涉及当前事实':265 '源码':490 '演练或跨环境治理时再展开完整工作流':85 '版本':266 '特权账号':344 '特权账号收敛':38 '状态':270 '现有风格和可用工具':261 '生产':286 '生产权限调整和横向验证先确认':81 '生产身份策略修改':133 '生命周期':345 '用户':340 '登录日志':119 '登录策略':39 '的':220 '目录':323 '目录修改':507 '目录导出':211 '目标':192 '真实提权或横向移动步骤':252 '真实用户隐私和凭据数据必须脱敏':256 '真实第三方目标上不提供漏洞利用':305 '知道缺什么控制':470 '破坏或未授权访问步骤':312 '硬编码':379 '硬边界':76 '硬门禁':506 '确认目录':441 '确认目标范围':325 '票据伪造':249 '禁止动作和回滚方式':328 '禁用账号':508 '租户':442 '租户或终端上运行修改命令':254 '租户查询或生产环境动作前':324 '策略':61,68,123,474,523 '策略下发':510 '策略模拟':480 '管理通道和':452 '系统':450 '组':59,117,341 '结论绑定配置':66 '绕过':250 '给最小权限':72 '网络':195,399 '网络分段':392 '能交付什么':97 '能分阶段执行':477 '能力域':336 '能力定位':86 '能力矩阵':335 '脚本':278 '自动触发主要依赖本文件':218 '英文':225 '范围与数据':440 '行动':584 '覆盖范围':337 '规则草案':318 '规避检测':144,308 '角色':60,116,342,449 '触发':16 '触发强化':217 '认证':525 '认证强度':350 '设备':63,150,194,396 '设备姿态':124 '设计零信任控制':213 '访问图清晰':455 '访问失败':482 '访问异常':120 '访问控制':88 '证据':578 '证据等级':485 '证据门禁':65 '评估':102 '评估这个':163 '谁能访问什么':37,93 '调用点':260 '账号':115 '账号权限混乱':36 '账号禁用':79,134 '资产建模':447 '资料不足':504 '资源和审计链路一起看':152 '路径分析':456 '路径和服务账号风险':168 '路由到本':243 '身份':98,395 '身份图先行':57 '身份治理':339,410 '轮换':384,473 '轮换凭据':509 '轮换和日志审计':425 '输出':112 '输出合同':575 '输出收敛顺序和验证方法':154 '输出检测':197 '过度委派':459 '远程写入':285 '远程管理':388 '适用场景':199 '速率':326 '配置':114,259,301,491 '钓鱼收集':146,310 '长期':381 '长期凭证和日志盲区':460 '防御':137 '防御建设和报告写作':304 '防御性路径分析和加固':420 '防御路径分析':377 '阶段':437 '除非明确授权':255 '零信任':10,394,534 '零信任架构':414 '零信任评估按本节先推进':83 '需要后续验证':499 '需要补充输入或授权':505 '面向身份':87 '靶场':299 '风险在哪里':95 '风险有证据':461 '风险解释':315 '风险降低可证明':484 '验证':478,585 '验证和报告':140 '验证清单':519 '验证清单和报告结构':320 '高可信':494,580 '高风险请求默认转为防御输出':313 '高风险路径有强认证':359 '默认做授权环境的只读分析和防御建议':128","prices":[{"id":"4ffc830d-602c-4fe0-b15c-f557ad7fb2e0","listingId":"06827df4-7bee-4ea0-b228-280e9a626735","amountUsd":"0","unit":"free","nativeCurrency":null,"nativeAmount":null,"chain":null,"payTo":null,"paymentMethod":"skill-free","isPrimary":true,"details":{"org":"Coff0xc","category":"coffee-skill","install_from":"skills.sh"},"createdAt":"2026-05-18T13:12:44.261Z"}],"sources":[{"listingId":"06827df4-7bee-4ea0-b228-280e9a626735","source":"github","sourceId":"Coff0xc/coffee-skill/coff0xc-identity-zero-trust","sourceUrl":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-identity-zero-trust","isPrimary":false,"firstSeenAt":"2026-05-18T13:12:44.261Z","lastSeenAt":"2026-05-18T19:07:30.715Z"}],"details":{"listingId":"06827df4-7bee-4ea0-b228-280e9a626735","quickStartSnippet":null,"exampleRequest":null,"exampleResponse":null,"schema":null,"openapiUrl":null,"agentsTxtUrl":null,"citations":[],"useCases":[],"bestFor":[],"notFor":[],"kindDetails":{"org":"Coff0xc","slug":"coff0xc-identity-zero-trust","github":{"repo":"Coff0xc/coffee-skill","stars":11,"topics":["agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs","prompt-engineering","rag","security-tools","skills"],"license":"other","html_url":"https://github.com/Coff0xc/coffee-skill","pushed_at":"2026-05-17T11:03:26Z","description":"Installable Codex/AgentSkills workflow pack for dev, Agent/RAG, API/data, Office artifacts, research diagrams, and authorized security review.","skill_md_sha":"bac3fd5b9f522016c70a5f26cc9b150d6418aeb1","skill_md_path":"skills/coff0xc-identity-zero-trust/SKILL.md","default_branch":"main","skill_tree_url":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-identity-zero-trust"},"layout":"multi","source":"github","category":"coffee-skill","frontmatter":{"name":"coff0xc-identity-zero-trust","description":"Use when / 当用户请求: 全面身份安全、零信任、AD/Kerberos、IAM、权限、凭证风险、横向移动防御和访问控制审查工作流。触发：IAM、identity、identity paths、SSO、MFA、AD、Active Directory、Kerberos、BloodHound、权限、凭证、服务账号、提权、横向移动、Zero Trust、PAM、账号权限混乱、谁能访问什么、特权账号收敛、登录策略、access governance。 Covered source aliases / 来源别名: ad-pentest, credential-access, identity-security, lateral-movement, privilege-escalation, zero-trust. Capability domains / 能力域: 身份治理, 认证强度, 授权模型, AD/Kerberos, 凭证风险, 横向移动防御, 零信任. If this skill does not auto-trigger, user can manually invoke: 使用 coff0xc-identity-zero-trust."},"skills_sh_url":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-identity-zero-trust"},"updatedAt":"2026-05-18T19:07:30.715Z"}}