transilienceai/communitytools

Transilience.ai 팀이 제공하는 AI 기반 침투 테스트 (Penetration Testing), 버그 바운티 (Bug Bounty) 헌팅, AI 위협 테스트 및 보안 정찰 (Security Reconnaissance)을 위한 오픈 소스 Claude Code 기술 (Skills) 및 에이전트 (Agents)

빠른 시작 (Quick Start) | 기술 (Skills) | 아키텍처 (Architecture) | 기여하기 (Contributing) | 웹사이트 (Website)

연습이 완벽을 만든다: AI가 실수를 통해 해킹을 배우도록 가르치기 (2026년 3월)

우리는 파인튜닝 (Fine-tuning) 없이 오직 구조화된 마크다운 (Markdown) 기술 파일만을 사용하여, 공개된 CTF 벤치마크 제품군에서 100% (104/104) 점수를 기록하는 자율 침투 테스트 에이전트를 구축했습니다. 89.4%의 기본 성능(Baseline)에서 시작하여, 우리는 약 15회 정도의 단순한 루프를 실행했습니다: 벤치마크 실행, 실패 지점 발견, 누락된 기술 진단, 이를 기술 파일에 작성, 그리고 다시 실행하는 과정입니다. 동일한 기술은 모델 간에 전이됩니다: Claude Sonnet 4.6은 96.2%에 도달하며, Claude Haiku 4.5는 62.5%에 도달합니다. 이 저장소에는 논문에 기술된 전체 기술 세트가 포함되어 있습니다.

Transilience AI Community Tools는 통합된 Claude Code 보안 테스트 스위트입니다. 정찰 (Reconnaissance)부터 보고 (Reporting)까지 전체 침투 테스트 라이프사이클을 아우르는 **26개의 기술 (Skills)**과 **3개의 도구 통합 (Tool Integrations)**을 제공합니다. 에이전트 역할 (조정자 (Coordinator), 실행자 (Executor), 검증자 (Validator))은 skills/coordination/에 정의되어 있으며,

skills/coordination/reference/에 있는 참조 자료를 활용하고,

Agent(prompt=...)를 통해 동적으로 생성됩니다.

AI 기반 자동화— Claude가 지능적인 보안 테스트 워크플로우를 조정합니다
완전한 OWASP 커버리지— OWASP Top 10 및 OWASP LLM Top 10 100% 충족
전문적인 보고— CVSS 3.1, CWE, MITRE ATT&CK, Transilience 브랜드 PDF 보고서 제공
Playwright 통합— 클라이언트 측 취약점 테스트를 위한 브라우저 자동화
페이로드(Payload)가 강화된 참조 자료— AllTheThings 기술이 포함된 인라인 페이로드를 갖춘 160개 이상의 참조 파일
오픈 소스— 상업적 및 개인적 용도로 사용 가능한 MIT 라이선스

Claude Code— Claude Code CLI 설치
Playwright— 클라이언트 측 테스트 (client-side testing), HackTheBox/HackerOne 자동화, 그리고 브라우저 기반 증거 수집 (browser-based evidence capture)을 위해 필요합니다. 다음 명령어로 설치하십시오:
npm install -g @playwright/mcp && npx playwright install chromium

Python 3— 도구들(env-reader.py, nvd-lookup.py, slack-send.py)을 위해 필요합니다.
Kali Linux 도구들 (선택 사항) — nmap, gobuster, ffuf, sqlmap, testssl 등. 네트워크/인프라 테스트에만 필요합니다.

단일 스크립트를 통해 Claude Code, Playwright (Xvfb를 통해 헤드리스로 실행), 그리고 모든 Kali 보안 도구가 사전 설치된 Kali Linux 컨테이너를 실행할 수 있습니다:

bash scripts/kali-claude-setup.sh projects/pentest

이 명령은 Kali Rolling + Node.js + Claude Code + Playwright + Chromium이 포함된 Docker 이미지를 빌드하고, 프로젝트 워크스페이스를 마운트하며, --dangerously-skip-permissions 옵션과 함께 Claude Code를 실행합니다. 이미지를 강제로 새로 빌드하려면 --rebuild를 사용하십시오.

git clone https://github.com/transilienceai/communitytools.git
cd communitytools/projects/pentest

claude # projects/pentest 디렉토리에서 Claude Code 실행

그 후 Claude 세션 내에서 슬래시 명령어를 사용하십시오:

Pentest https://target.com # 전체 침투 테스트 (skills/coordination/)
/hackthebox # HackTheBox 챌린지 자동화
/hackerone # 버그 바운티 (Bug bounty) 워크플로우
...

모든 표준 기술(skill) 및 도구(tool) 정의는 레포지토리 루트(skills/, tools/)에 위치합니다. projects/ 하위의 각 프로젝트는 필요한 항목들만 심볼릭 링크(symlinks)로 연결합니다 — 자세한 내용은 저장소 구조(Repository Structure)를 참조하십시오.

에이전트 역할(조정자(coordinator), 실행자(executor), 검증자(validator))은 skills/coordination/에 정의되어 있으며, 참조 자료는 skills/coordination/reference/에 있습니다. 이들은 Agent(prompt=...)를 통해 동적으로 생성됩니다.

스킬 (Skill)	커버리지 (Coverage)
/injection	SQL, NoSQL, OS Command, SSTI, XXE, LDAP/XPath
/client-side	XSS (Reflected/Stored/DOM), CSRF, Clickjacking, CORS, Prototype Pollution
/server-side	SSRF, HTTP Smuggling, Path Traversal, File Upload, Deserialization, Host Header
/authentication	Auth Bypass, JWT, OAuth, Password Attacks, 2FA Bypass, CAPTCHA Bypass
/api-security	GraphQL, REST API, WebSockets, Web LLM
/web-app-logic	Business Logic, Race Conditions, Access Control, Cache Poisoning/Deception, IDOR
/cloud-containers	AWS, Azure, GCP, Docker, Kubernetes
/system	Active Directory, Privilege Escalation (Linux/Windows), Exploit Development
/infrastructure	Port Scanning, DNS, MITM, VLAN Hopping, IPv6, SMB/NetBIOS
/social-engineering	Phishing, Pretexting, Vishing, Physical Security

스킬 (Skill)	목적 (Purpose)
/reconnaissance	서브도메인 검색(Subdomain discovery), 포트 스캐닝(port scanning), 엔드포인트 열거(endpoint enumeration), API 검색(API discovery), 공격 표면 매핑(attack surface mapping)
/osint	리포지토리 열거(Repository enumeration), 시크릿 검색(secret scanning), git 히스토리 분석(git history analysis), 직원 발자국(employee footprint)
/techstack-identification	17개 인텔리전스 도메인에 걸친 수동적 기술 스택 추론(Passive tech stack inference)

스킬 (Skill)	목적 (Purpose)
/ai-threat-testing	OWASP LLM Top 10 — 프롬프트 주입(prompt injection), 모델 추출(model extraction), 데이터 오염(data poisoning), 공급망 공격(supply chain)
/blockchain-security	스마트 컨트랙트 보안(Smart contract security), EVM 스토리지(EVM storage), delegatecall, CREATE/CREATE2, DeFi 익스플로잇(DeFi exploits)
/cve-poc-generator	CVE 연구(CVE research), NVD 조회(NVD lookup), 안전한 Python PoC 생성(safe Python PoC generation), 취약점 보고서(vulnerability reports)
/dfir	디지털 포렌식(Digital forensics), 사고 대응(incident response), Windows 이벤트 로그(Windows event logs), PCAP 분석(PCAP analysis), AD 공격 탐지(AD attack detection)
/source-code-scanning	SAST — OWASP Top 10, CWE Top 25, 종속성 CVE(dependency CVEs), 하드코딩된 시크릿(hardcoded secrets)

스킬 (Skill)	목적 (Purpose)
/hackerone	범위 CSV 파싱(Scope CSV parsing), 병렬 자산 테스트(parallel asset testing), PoC 검증(PoC validation), 플랫폼 준비 제출물(platform-ready submissions)
/hackthebox	Playwright 기반 로그인, 챌린지 브라우징(challenge browsing), VPN 관리(VPN management), 자동화된 해결(automated solving)

기술 (Skill)	목적 (Purpose)
/essential-tools	Burp Suite, Playwright 자동화 (automation), 방법론 (methodology), 보고 표준 (reporting standards)
/patt-fetcher	PayloadsAllTheThings로부터 온디맨드 (on-demand) 페이로드 추출
/script-generator	최적화되고 구문 검증 (syntax-validated)이 완료된 스크립트 생성
formats/transilience-report-style	Transilience 브랜드 PDF 보고서 생성 (ReportLab)
/github-workflow	Git 브랜칭 (branching), 커밋 (commits), PR, 이슈 (issues), 코드 리뷰 (code review)
/skill-update	기술 스캐폴딩 (scaffolding), 검증 (validation), GitHub 워크플로우 자동화 (workflow automation)

도구 (Tool)	목적 (Purpose)
Playwright	MCP를 통한 클라이언트 측 테스트 (client-side testing)를 위한 브라우저 자동화 (browser automation)
Kali Linux 도구 (Tools)	nmap, masscan, nikto, gobuster, ffuf, sqlmap, testssl 및 기타
NVD / CVE 위험 점수 (Risk Score)	자동 호출되는 CVE 조회 (/cve-risk-score) — NVD로부터 CVSS 점수, 심각도 (severity), CWE 추출

MCP 지원 클라이언트 (Claude Desktop, Cline, Zed 등)에 Transilience API를 노출하는 로컬 모델 컨텍스트 프로토콜 (Local Model Context Protocol) 서버입니다. 각 서버는 자체적인 pyproject.toml과 설치 지침을 포함하여 mcp/<name>/ 아래에 독립적으로 구성됩니다.

서버 (Server)	목적 (Purpose)
mcp/transilience-vuln	Transilience 취약점 API (Vulnerability API)를 통한 단일 CVE 및 대량 CVE 정보 보강 (CVSS, EPSS, KEV, 영향 분류 (impact taxonomy), 벤더 권고 사항 (vendor advisories))

이 스위트(suite)는 저장소 루트에 정형화된 정의(canonical definitions)를 두고, 이를 격리된 프로젝트 환경으로 심볼릭 링크(symlinked)하는 기술 전용 (skills-only) 아키텍처를 사용합니다:

기술 (Skills) (루트의 skills/에 위치하며, 각 프로젝트의.claude/skills/로 심볼릭 링크됨) —/skill-name으로 호출되는 사용자 트리거 워크플로우 (user-triggered workflows). 각 기술은 SKILL.md정의와 공격 기법 (attack techniques), 치트 시트 (cheat sheets), 페이로드 (payloads), 에이전트 역할 프롬프트 (agent role prompts)가 포함된reference/` 디렉토리를 포함합니다.

조정 (Coordination) (skills/coordination/) — 역할 기반 컨텍스트 주입 (role-based context injection) 기능을 갖춘 기술로서 3가지 에이전트 역할 (조정자 (coordinator), 실행자 (executor), 검증자 (validator))을 정의합니다. 런타임(runtime)에 읽혀 Agent(prompt=...)로 전달됩니다.

도구 (Tools) (루트의 tools/에 위치하며, 각 프로젝트의.claude/tools/` 로 심볼릭 링크됨) — 환경 읽기 및 통합 (integrations)을 위한 유틸리티 스크립트입니다.

sequenceDiagram
participant User
participant Coord as Coordinator (inline)
...

communitytools/
├── CLAUDE.md # 프로젝트 지침 (Project instructions)
├── marketplace.json # 기계 판독 가능 프로젝트 매니페스트 (Machine-readable project manifest)
...

표준 루트 디렉토리 (Canonical root directories) (skills/, tools/)는 모든 정의에 대한 단일 진실 공급원 (Single source of truth) 역할을 합니다. 중복이나 드리프트 (Drift)가 발생하지 않습니다.

프로젝트 디렉토리 (Project directories) (projects/)는 프로젝트 폴더 내부에서 claude를 사용하여 독립적으로 실행되도록 설계된 격리된 환경입니다. 각 프로젝트는 실제 skills/ 및 tools/ 폴더를 포함하는 자체 .claude/ 디렉토리를 갖지만, 그 내용은 표준 소스(canonical sources)를 가리키는 **심볼릭 링크 (symlinks)**입니다.

이 설계는 다음과 같은 이점을 제공합니다:

격리 (Isolation)— 각 프로젝트는 독립된 작업 디렉토리입니다. projects/pentest/에서 claude를 실행하면 해당 프로젝트가 심볼릭 링크로 연결한 스킬(skills)만 탐색합니다.
단일 진실 공급원 (Single source of truth)— skills/에서 스킬을 한 번만 수정하면, 이를 심볼릭 링크로 연결한 모든 프로젝트에 즉시 업데이트가 반영됩니다.
선택적 포함 (Selective inclusion)— 새 프로젝트에 23개의 모든 스킬이 필요하지는 않습니다. 관련 있는 것만 심볼릭 링크로 연결하세요.
Claude Code 호환성 (Claude Code compatibility)— Claude Code는 운영체제(OS)를 통해 심볼릭 링크를 투명하게 해결(resolve)합니다.

새 프로젝트 추가하기:

mkdir -p projects/myproject/.claude/{skills,tools}
cd projects/myproject/.claude/skills
# 이 프로젝트에 필요한 스킬만 심볼릭 링크로 연결
...

보안 커뮤니티의 기여를 환영합니다!

전체 가이드 읽기: CONTRIBUTING.md

Skill Update를 사용한 빠른 경로:

/skill-update
# 선택: CREATE → 세부 정보 제공 → 자동화된 GitHub 워크플로우
# 처리 항목: 이슈 생성, 브랜치, 스킬 생성, 검증, 커밋, PR

중요: 이 도구들은 오직 승인된 보안 테스트를 위해서만 설계되었습니다.

승인된 합법적 사용:

• 서면 승인을 받은 침투 테스트 (Penetration testing)
• 범위 내의 버그 바운티 (Bug bounty) 프로그램
• 본인 소유 시스템에 대한 보안 연구
• CTF 대회 및 교육 환경
• 적절한 권한을 가진 교육적 목적

금지된 불법 사용:

• 모든 시스템에 대한 무단 테스트
• 취약점의 악의적인 악용 (Malicious exploitation)
• 데이터 도난 또는 시스템 중단
• 지역 법률 또는 국제법을 위반하는 모든 사용

사용자는 모든 관련 법률 및 규정을 준수할 단독 책임이 있습니다.

이 도구들을 사용하여 취약점을 발견한 경우:

• 개념 증명 (Proof-of-concept) 이상의 악용을 하지 마십시오.

• 벤더/조직에 즉시 보고하십시오.

• 책임 있는 공개 (Responsible disclosure) 타임라인을 준수하십시오 (통상 90일).

• 복구 (Remediation)를 위해 철저히 문서화하십시오.

• GitHub Discussions — 질문하기, 아이디어 공유

• GitHub Issues — 버그 보고, 기능 요청

• Transilience.ai — 우리가 구축 중인 다른 것들 확인하기

• LinkedIn — 우리의 작업 팔로우하기

• Email — 연락하기

카테고리	개수
기술 (Skills)	27
역할 프롬프트 (Role Prompts)	3 (조정 기술 내)
도구 통합 (Tool Integrations)	3
공격 유형 (Attack Types)	53
참조 파일 (Reference Files)	160+

커버리지 (Coverage):

• OWASP Top 10 (2021) — 100%
• OWASP LLM Top 10 (2025) — 100%
• SANS Top 25 CWE — 90%+
• MITRE ATT&CK TTPs — 모든 발견 사항에 대해 매핑됨

MIT License — Copyright (c) 2026 Transilience AI. 자세한 내용은 LICENSE를 참조하십시오.

Transilience AI 제작

우리는 AI 기반 클라우드 보안 및 컴플라이언스 자동화를 구축합니다. 이 오픈 소스 도구들은 보안에 대한 우리의 사고방식을 반영합니다. 이 도구들의 기반이 되는 플랫폼이 궁금하다면 확인해 보세요.

웹사이트 | 이슈 | 토론

claude-code

ai-security

penetration-testing

bug-bounty

owasp

llm-security

ai-threat-testing

security-automation

ethical-hacking

cybersecurity

appsec

web-security

hackerone

hackthebox

multi-agent