{"id":"ea62b0e0-d1a7-4e4c-aef1-90712cbfd0b1","shortId":"zJQJw2","kind":"skill","title":"coff0xc-purple-deception","tagline":"Use when / 当用户请求: 全面紫队演练、ATT&CK 映射、控制验证、检测能力评估、蜜罐/欺骗防御和安全运营改进工作流。触发：purple team、ATT&CK、红蓝对抗、control validation、detection coverage、emulation plan、honeypot、deception、decoy、canary、检测有效性、蓝队发现攻击行为、覆盖指标、改进闭环、防守能力验证。 Covered source aliases / 来源别名: honeypot, purple-team. Capability domai","description":"# coff0xc-purple-deception\n\n<!-- skill-id: cs-pdp-e45c2a90 -->\n\n## 快速规则（日常任务先读这里）\n> **[行为映射]** 先把假设攻击行为映射到 ATT&CK、日志源、检测逻辑、控制点和响应动作。\n> **[覆盖门禁]** 输出检测覆盖矩阵、缺口、误报风险、验证样本和观测指标。\n> **[防御优先]** 优先计划、检测、复盘和欺骗防御设计；真实演练动作必须受 ROE 约束。\n> **[硬边界]** 生产演练、诱捕部署、主动对抗、第三方目标和会影响用户的控制变更先确认。\n\n普通紫队/欺骗防御任务按本节先推进；只有真实演练执行或多团队控制验证时再展开完整工作流。\n\n## 能力定位\n面向紫队、ATT&CK 映射、检测覆盖验证和欺骗防御的安全运营改进能力。它把攻击行为语言翻译成可观测、可检测、可改进的防御能力。\n\n## 能交付什么\n- ATT&CK 技术映射和演练假设\n- 检测覆盖矩阵、日志需求和响应验证点\n- 蜜罐/诱饵/canary 设计建议\n- 演练复盘、差距和改进 backlog\n\n## 可以接收什么输入\n- 攻击行为描述、检测规则、日志源、SOC 反馈\n- ATT&CK 技术、演练计划、告警数据、响应流程\n- 蜜罐/诱饵需求、资产清单、覆盖指标\n\n## 放心使用的边界\n- 只做授权演练、防御验证和欺骗防御设计\n- 不提供未授权攻击、规避检测、持久化或外传步骤\n- 真实演练、钓鱼模拟、诱饵部署和外部交互必须先确认\n- 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。\n\n## 为什么可以放心\n- 每个演练动作都对应可观测信号\n- 检测效果用数据源、规则和样例验证\n- 输出改进闭环而不是只列攻击技术\n\n## 典型使用方式\n```text\n使用 coff0xc-purple-deception 把这些攻击行为映射成 ATT&CK 检测覆盖矩阵。\n使用 coff0xc-purple-deception 设计一次授权紫队演练和复盘指标。\nUse coff0xc-purple-deception to plan honeypot/canary coverage and detection validation.\n```\n\n\n## 目标\n用可控演练验证防御能力和可观测性，输出检测差距、响应差距和欺骗防御设计。\n\n## 适用场景\n- 设计紫队演练、ATT&CK 技术映射、检测覆盖评估和响应能力验证。\n- 规划蜜罐、诱饵账号、诱饵文件、canary token、欺骗网络和告警流程。\n- 把红队 TTP 转成防御控制、日志字段、查询规则和演练指标。\n\n## 触发强化\n- 自动触发主要依赖本文件 frontmatter 的 `description`；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 `description`。\n- 如果没有自动触发，手动写：`使用 coff0xc-purple-deception ...`。\n- 如果用户只写了宽泛主题，可先用 `coff0xc-skill-router` 路由到本 skill。\n\n## 不适用场景\n- 不提供真实攻击执行、规避、防御绕过或未授权演练步骤。\n- 蜜罐不得与生产高权限网络混用或收集超出目的的个人信息。\n- 不把命中诱饵直接等同于入侵成功，需要验证上下文。\n\n## 执行原则\n- 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。\n- 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。\n- 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。\n- 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。\n- 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。\n- 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。\n\n## 安全边界\n- 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。\n- 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。\n- 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。\n- 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。\n- 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。\n\n## 能力矩阵\n| 能力域 | 覆盖范围 | 执行要点 |\n| --- | --- | --- |\n| ATT&CK 映射 | 战术、技术、数据源、检测、响应和预防控制 | 形成覆盖矩阵。 |\n| 演练计划 | 目标、范围、场景、角色、时间、成功标准、停止条件 | 可安全执行。 |\n| 检测验证 | 日志字段、SIEM/EDR 查询、告警、误报、漏报、延迟 | 评估真实能力。 |\n| 响应验证 | triage、升级、沟通、遏制、恢复、复盘 | 流程可演练。 |\n| 欺骗防御 | honeypot、decoy account、decoy file、canary、fake service | 隔离和监控明确。 |\n| 指标 | coverage、MTTD、MTTR、precision、recall、alert fatigue、control gap | 改进可量化。 |\n\n## 子域路由\n| 来源 skill | 并入后的处理方式 |\n| --- | --- |\n| purple-team | 紫队计划、ATT&CK 映射、控制验证和复盘。 |\n| honeypot | 欺骗防御、诱饵、隔离、告警和运维风险。 |\n\n## 工作流\n| 阶段 | 动作 | 完成标准 |\n| --- | --- | --- |\n| 目标范围 | 定义业务风险、技术范围、参与角色、禁止动作和停止条件。 | 演练可控。 |\n| 技术映射 | 选择 ATT&CK 技术、预期遥测、检测规则和响应动作。 | 验证点明确。 |\n| 安全模拟 | 设计低风险模拟或桌面演练，不输出攻击细节。 | 能触发控制。 |\n| 数据采集 | 记录告警时间、日志字段、响应动作和沟通记录。 | 有可复查证据。 |\n| 差距分析 | 识别无日志、无规则、误报、延迟、流程卡点。 | 改进项具体。 |\n| 路线图 | 按收益和成本安排检测、响应、欺骗和培训改进。 | 闭环治理。 |\n\n## 证据等级\n- 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。\n- 高可信：多个可靠来源一致，但当前环境没有完整复现。\n- 推断：基于已验证事实的合理判断，需要后续验证。\n- 未验证：尚未确认，不能作为最终结论。\n- 未知：资料不足，需要补充输入或授权。\n\n## 硬门禁\n- 演练前确认授权、通知范围、生产影响和回滚。\n- 蜜罐上线前确认隔离、日志保留、隐私和法律边界。\n- 不在真实外部目标上执行模拟攻击。\n\n## 验证清单\n- 每个技术有预期和实际检测对比。\n- 每个告警有字段、时间戳、规则名和响应记录。\n- 欺骗资产有隔离、访问审计和误触处理。\n- 复盘项有 owner 和完成标准。\n\n## 反模式\n- 只做红队动作展示，不验证蓝队能力。\n- 演练后没有复盘和整改追踪。\n- 诱饵过于真实导致业务和隐私风险。\n- 只统计覆盖率，不看告警质量和响应时间。\n\n## 合并来源\n- `honeypot`\n- `purple-team`\n\n## 本机相近 Skill\n- `source-command-purple-team`\n- `detection-engineering`\n\n## 输出合同\n```markdown\n完成：\n- ...\n\n证据：\n- [已验证/高可信/推断/未验证/未知] ...\n\n行动：\n- ...\n\n验证：\n- ...\n\n剩余风险：\n- ...\n\n下一步：\n- ...\n```","tags":["coff0xc","purple","deception","coffee","skill","agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs"],"capabilities":["skill","source-coff0xc","skill-coff0xc-purple-deception","topic-agent-skills","topic-ai-agents","topic-appsec","topic-codex","topic-defensive-security","topic-devsecops","topic-office-docs","topic-prompt-engineering","topic-rag","topic-security-tools","topic-skills"],"categories":["coffee-skill"],"synonyms":[],"warnings":[],"endpointUrl":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-purple-deception","protocol":"skill","transport":"skills-sh","auth":{"type":"none","details":{"cli":"npx skills add Coff0xc/coffee-skill","source_repo":"https://github.com/Coff0xc/coffee-skill","install_from":"skills.sh"}},"qualityScore":"0.455","qualityRationale":"deterministic score 0.46 from registry signals: · indexed on github topic:agent-skills · 11 github stars · SKILL.md body (3,471 chars)","verified":false,"liveness":"unknown","lastLivenessCheck":null,"agentReviews":{"count":0,"score_avg":null,"cost_usd_avg":null,"success_rate":null,"latency_p50_ms":null,"narrative_summary":null,"summary_updated_at":null},"enrichmentModel":"deterministic:skill-github:v1","enrichmentVersion":1,"enrichedAt":"2026-05-18T19:07:30.965Z","embedding":null,"createdAt":"2026-05-18T13:12:44.683Z","updatedAt":"2026-05-18T19:07:30.965Z","lastSeenAt":"2026-05-18T19:07:30.965Z","tsv":"'/canary':97 'account':348 'alert':361 'alias':39 'api':244 'att':9,19,55,82,90,108,152,179,310,374,395 'backlog':101 'c2':136,280 'canari':31,186,351 'capabl':45 'ci/cd':262 'ck':10,20,56,83,91,109,153,180,311,375,396 'coff0xc':2,48,148,157,163,210,216 'coff0xc-purple-deception':1,47,147,156,162,209 'coff0xc-skill-router':215 'command':477 'control':22,363 'cover':37 'coverag':25,169,356 'ctf':269 'cve':238 'decept':4,29,50,150,159,165,212 'decoy':30,347,349 'descript':198,205 'detect':24,171,481 'detection-engin':480 'domai':46 'emul':26 'engin':482 'fake':352 'fatigu':362 'file':350 'frontmatt':196 'gap':364 'github':240 'honeypot':28,41,346,378,469 'honeypot/canary':168 'markdown':484 'mttd':357 'mttr':358 'owner':459 'plan':27,167 'pr/issue':261 'precis':359 'purpl':3,17,43,49,149,158,164,211,371,471,478 'purple-team':42,370,470 'push':260 'recal':360 'roe':70 'router':218 'servic':353 'siem/edr':330 'skill':200,217,220,368,474 'skill-coff0xc-purple-deception' 'soc':106 'sourc':38,476 'source-coff0xc' 'source-command-purple-team':475 'team':18,44,372,472,479 'text':145 'token':187 'topic-agent-skills' 'topic-ai-agents' 'topic-appsec' 'topic-codex' 'topic-defensive-security' 'topic-devsecops' 'topic-office-docs' 'topic-prompt-engineering' 'topic-rag' 'topic-security-tools' 'topic-skills' 'triag':338 'ttp':190 'use':5,161 'valid':23,172 '下一步':495 '不在真实外部目标上执行模拟攻击':450 '不复述完整秘密值':305 '不把命中诱饵直接等同于入侵成功':226 '不提供未授权攻击':121,132 '不提供真实攻击执行':222 '不看告警质量和响应时间':467 '不确定但低风险的细节记录为假设并继续推进':235 '不能作为最终结论':439 '不输出攻击细节':403 '不适用场景':221 '不验证蓝队能力':463 '个人信息':301 '为什么可以放心':139 '主动对抗':75 '主动联网扫描':292 '云服务':239 '云账号检查':293 '付费':259 '代码审计':274 '价格':242 '优先使用现有框架':248 '优先计划':66 '但当前环境没有完整复现':433 '位置和处置建议':304 '使用':146,155,208 '停止条件':326 '先把假设攻击行为映射到':54 '先拿到明确授权':264 '先读取项目文件':229 '全面紫队演练':8 '典型使用方式':144 '再下结论或改文件':233 '凭据':258 '凭据窃取':133 '凭证获取':277 '剩余风险':494 '加固':130 '加固方案':290 '动作':385 '升级':339 '参与角色':390 '反模式':461 '反馈':107 '发现密钥':300 '只做授权演练':119 '只做红队动作展示':462 '只处理自有资产':266 '只报告类型':303 '只有真实演练执行或多团队控制验证时再展开完整工作流':79 '只有真实运行过的命令':251 '只统计覆盖率':466 '可以接收什么输入':102 '可先用':214 '可安全执行':327 '可改进的防御能力':88 '可检测':87 '合并来源':468 '告警':332 '告警和运维风险':382 '告警数据':112 '和完成标准':460 '响应':419 '响应动作和沟通记录':408 '响应和预防控制':317 '响应差距和欺骗防御设计':176 '响应流程':113 '响应验证':337 '场景':322 '基于已验证事实的合理判断':435 '复盘':343 '复盘和欺骗防御设计':68 '复盘项有':458 '外部':243 '多个可靠来源一致':432 '如果没有自动触发':206 '如果用户只写了宽泛主题':213 '子域路由':366 '它把攻击行为语言翻译成可观测':86 '安全模拟':401 '安全类能力默认只用于授权':127 '安全边界':265 '完成':485 '完成标准':386 '官方资料或可复现数据支持':430 '定义业务风险':388 '实验室':268 '尚未确认':438 '工作流':383 '工具名':203 '差距分析':410 '差距和改进':100 '已把中文':201 '已验证':423,487 '并入后的处理方式':369 '延迟':335,414 '当用户请求':7 '形成覆盖矩阵':318 '快速规则':51 '恢复':342 '成功标准':325 '或论文时':245 '战术':313 '手动写':207 '执行原则':228 '执行要点':309 '扫描或人工检查才能写成已验证':254 '技术':110,314,397 '技术映射':181,393 '技术映射和演练假设':92 '技术范围':389 '把用户目标转成可验证的完成标准':234 '把红队':189 '把这些攻击行为映射成':151 '持久化':134,278 '持久化或外传步骤':123 '指标':355 '按收益和成本安排检测':418 '授权边界':285 '控制点和响应动作':59 '控制验证':12 '控制验证和复盘':377 '推断':434,489 '改进可量化':365 '改进闭环':35 '改进项具体':416 '攻击行为描述':103 '放心使用的边界':118 '数据外传':282 '数据外传或破坏性步骤':138 '数据源':315 '数据采集':405 '无规则':412 '日常任务先读这里':52 '日志':271,429 '日志保留':448 '日志字段':192,329,407 '日志查询':288 '日志源':57,105 '日志需求和响应验证点':94 '时间':324 '时间戳':454 '时间窗口':298 '明确授权资产':267 '映射':11,84,312,376 '普通紫队':77 '有可复查证据':409 '未知':440,491 '未验证':437,490 '本':199 '本地命令':424 '本机相近':473 '权限或基础设施变更时':263 '来源':367 '来源别名':40 '来源别名和常见缩写写入':204 '构建':253,426 '查真实来源并标注证据等级':246 '查询':331 '查询规则和演练指标':193 '样本':273 '样本敏感数据或客户数据时':302 '检测':67,129,316 '检测思路':287 '检测效果用数据源':141 '检测有效性':32 '检测能力评估':13 '检测覆盖矩阵':93,154 '检测覆盖评估和响应能力验证':182 '检测覆盖验证和欺骗防御的安全运营改进能力':85 '检测规则':104 '检测规则和响应动作':399 '检测逻辑':58 '检测验证':328 '欺骗和培训改进':420 '欺骗网络和告警流程':188 '欺骗资产有隔离':456 '欺骗防御':345,379 '欺骗防御任务按本节先推进':78 '欺骗防御和安全运营改进工作流':15 '每个告警有字段':453 '每个技术有预期和实际检测对比':452 '每个演练动作都对应可观测信号':140 '沟通':340 '流程卡点':415 '流程可演练':344 '测试':252,425 '测试和本地工具':250 '涉及代码改动时保持最小正确改动':247 '涉及删除':255 '涉及当前事实':236 '源码':427 '漏报':334 '演练前确认授权':444 '演练可控':392 '演练后没有复盘和整改追踪':464 '演练复盘':99 '演练计划':111,319 '版本':237 '状态':241 '现有风格和可用工具':232 '生产':257 '生产影响和回滚':446 '生产演练':73 '用可控演练验证防御能力和可观测性':174 '的':197 '目录':294 '目标':173,320 '目标范围':387 '真实演练':124 '真实演练动作必须受':69 '真实第三方目标上不提供漏洞利用':276 '破坏或未授权访问步骤':283 '硬边界':72 '硬门禁':443 '确认目标范围':296 '禁止动作和停止条件':391 '禁止动作和回滚方式':299 '租户查询或生产环境动作前':295 '第三方目标和会影响用户的控制变更先确认':76 '紫队计划':373 '红蓝对抗':21 '约束':71 '缺口':62 '能交付什么':89 '能力域':307 '能力定位':80 '能力矩阵':306 '能触发控制':404 '脚本':249 '自动触发主要依赖本文件':195 '英文':202 '范围':321 '蓝队发现攻击行为':33 '蜜罐':14,95,114 '蜜罐上线前确认隔离':447 '蜜罐不得与生产高权限网络混用或收集超出目的的个人信息':225 '行为映射':53 '行动':492 '覆盖指标':34,117 '覆盖范围':308 '覆盖门禁':60 '规划蜜罐':183 '规则名和响应记录':455 '规则和样例验证':142 '规则草案':289 '规避':223 '规避检测':122,135,279 '角色':323 '触发':16 '触发强化':194 '记录告警时间':406 '设计一次授权紫队演练和复盘指标':160 '设计低风险模拟或桌面演练':402 '设计建议':98 '设计紫队演练':178 '访问审计和误触处理':457 '证据':486 '证据等级':422 '评估真实能力':336 '识别无日志':411 '误报':333,413 '误报风险':63 '诱捕部署':74 '诱饵':96,380 '诱饵文件':185 '诱饵账号':184 '诱饵过于真实导致业务和隐私风险':465 '诱饵部署和外部交互必须先确认':126 '诱饵需求':115 '调用点':231 '资产清单':116 '资料不足':441 '路由到本':219 '路线图':417 '转成防御控制':191 '输出合同':483 '输出改进闭环而不是只列攻击技术':143 '输出检测差距':175 '输出检测覆盖矩阵':61 '远程写入':256 '适用场景':177 '选择':394 '通知范围':445 '速率':297 '遏制':341 '配置':230,272,428 '钓鱼收集':137,281 '钓鱼模拟':125 '闭环治理':421 '防守能力验证':36 '防御':128 '防御优先':65 '防御建设和报告写作':275 '防御绕过或未授权演练步骤':224 '防御验证和欺骗防御设计':120 '阶段':384 '隐私和法律边界':449 '隔离':381 '隔离和监控明确':354 '需要后续验证':436 '需要补充输入或授权':442 '需要验证上下文':227 '面向紫队':81 '靶场':270 '预期遥测':398 '风险解释':286 '验证':493 '验证和报告':131 '验证样本和观测指标':64 '验证清单':451 '验证清单和报告结构':291 '验证点明确':400 '高可信':431,488 '高风险请求默认转为防御输出':284","prices":[{"id":"981a37fd-5c91-44fe-866a-6cf0a8cd7bd1","listingId":"ea62b0e0-d1a7-4e4c-aef1-90712cbfd0b1","amountUsd":"0","unit":"free","nativeCurrency":null,"nativeAmount":null,"chain":null,"payTo":null,"paymentMethod":"skill-free","isPrimary":true,"details":{"org":"Coff0xc","category":"coffee-skill","install_from":"skills.sh"},"createdAt":"2026-05-18T13:12:44.683Z"}],"sources":[{"listingId":"ea62b0e0-d1a7-4e4c-aef1-90712cbfd0b1","source":"github","sourceId":"Coff0xc/coffee-skill/coff0xc-purple-deception","sourceUrl":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-purple-deception","isPrimary":false,"firstSeenAt":"2026-05-18T13:12:44.683Z","lastSeenAt":"2026-05-18T19:07:30.965Z"}],"details":{"listingId":"ea62b0e0-d1a7-4e4c-aef1-90712cbfd0b1","quickStartSnippet":null,"exampleRequest":null,"exampleResponse":null,"schema":null,"openapiUrl":null,"agentsTxtUrl":null,"citations":[],"useCases":[],"bestFor":[],"notFor":[],"kindDetails":{"org":"Coff0xc","slug":"coff0xc-purple-deception","github":{"repo":"Coff0xc/coffee-skill","stars":11,"topics":["agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs","prompt-engineering","rag","security-tools","skills"],"license":"other","html_url":"https://github.com/Coff0xc/coffee-skill","pushed_at":"2026-05-17T11:03:26Z","description":"Installable Codex/AgentSkills workflow pack for dev, Agent/RAG, API/data, Office artifacts, research diagrams, and authorized security review.","skill_md_sha":"4314e55af5178f3e2c284bc4cf27b961c65788cd","skill_md_path":"skills/coff0xc-purple-deception/SKILL.md","default_branch":"main","skill_tree_url":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-purple-deception"},"layout":"multi","source":"github","category":"coffee-skill","frontmatter":{"name":"coff0xc-purple-deception","description":"Use when / 当用户请求: 全面紫队演练、ATT&CK 映射、控制验证、检测能力评估、蜜罐/欺骗防御和安全运营改进工作流。触发：purple team、ATT&CK、红蓝对抗、control validation、detection coverage、emulation plan、honeypot、deception、decoy、canary、检测有效性、蓝队发现攻击行为、覆盖指标、改进闭环、防守能力验证。 Covered source aliases / 来源别名: honeypot, purple-team. Capability domains / 能力域: ATT&CK 映射, 演练计划, 检测验证, 响应验证, 欺骗防御, 指标. If this skill does not auto-trigger, user can manually invoke: 使用 coff0xc-purple-deception."},"skills_sh_url":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-purple-deception"},"updatedAt":"2026-05-18T19:07:30.965Z"}}