메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.decepticon.red/llms.txt

Use this file to discover all available pages before exploring further.

개요

Decepticon 에이전트는 하드코딩된 플레이북으로 작동하지 않습니다. 스킬 시스템 — 에이전트 역할별로 조직되고 MITRE ATT&CK 식별자가 태그된 큐레이션된 오펜시브 기법 라이브러리에서 역량을 끌어옵니다.

프로그레시브 디스클로저

스킬은 에이전트 컨텍스트 윈도우를 깨끗하게 유지하기 위한 프로그레시브 로딩 아키텍처를 사용합니다:
  1. 초기 로드 — 스킬 프론트매터(이름, 설명, allowed-tools, 메타데이터)만 로드
  2. 온디맨드 — 에이전트가 스킬을 선택하면 read_file()을 통해 전체 내용이 로드
  3. 클린 컨텍스트 — 에이전트는 현재 목표에 필요한 상세 정보만 보유
이는 컨텍스트 비대화를 방지합니다. 초기 접근을 수행하는 에이전트는 측면 이동 기법의 전체 내용이 필요 없습니다 — 존재 여부와 메타데이터만 있으면 됩니다.

스킬 카테고리

스킬은 에이전트 역할별로 조직되어 있습니다. 이를 통해 오케스트레이터가 디스패치하는 전문가와 관련된 스킬만 로드하면서도 전체 공격 사이클을 다룰 수 있습니다. 라이브러리는 현재 다음 17개 카테고리를 배포합니다:
카테고리소유 에이전트커버리지
soundwave/SoundwaveRoE / ConOps / OPPLAN 템플릿, 위협 프로필, 디컨플릭션
decepticon/Decepticon (오케스트레이터)OPPLAN 디스패치 패턴, 서브에이전트 라우팅
recon/Recon수동 정찰, 능동 정찰, 웹 정찰, 클라우드 정찰, OSINT
scanner/Scanner자동화된 취약점 스캔, CVE 상관관계
exploit/Exploit웹 익스플로잇, Active Directory 초기 접근
exploiter/Exploiter재현 가능한 PoC 저작
detector/DetectorSigma / YARA / 휴리스틱 탐지 규칙 생성
verifier/Verifier이중 방법 검증 게이팅
patcher/Patcher패치 생성 및 회귀 테스트
vulnresearch/Vulnresearch5단계 파이프라인 조율
post-exploit/Post-Exploit권한 상승, 측면 이동, 지속성
ad/AD OperatorBloodHound, Kerberoasting, 티켓 위조, ACL 남용
cloud/Cloud HunterIAM 분석, 메타데이터 남용, 클라우드 키 추출
contracts/Contract AuditorSolidity 정적 분석, Foundry PoC 하네스
reverser/Reverser바이너리 분류, 팩커 탐지, ROP 가젯, Ghidra/radare2
analyst/Analyst교차 상관, 지식 그래프 쿼리, 내러티브 초안
shared/모든 에이전트OPSEC, 방어 회피, 발견 프로토콜, 디컨플릭션 핸드셰이크
프로그레시브 디스클로저 로더는 능동 위협 프로필과의 ATT&CK 겹침에 따라 이 카탈로그를 필터링합니다 — 프로필 외 스킬은 에이전트의 작업 세트에서 완전히 제외됩니다.

MITRE ATT&CK 통합

ATT&CK 매핑은 사후 추가가 아닌, Decepticon의 모든 레이어에 직조되어 있습니다:

목표

각 OPPLAN 목표는 mitre 기법 ID를 보유합니다 (예: T1190, T1003.001).

스킬

ATT&CK 기법이 스킬 프론트매터에 선언되어, 에이전트의 스킬 카탈로그에 인라인으로 표시됩니다.

위협 행위자

ConOps는 initial_accessttps를 ATT&CK ID로 정의하여, 특정 적대자 프로파일을 모델링합니다.

스킬 프론트매터 예시

각 스킬은 SKILL.md (프론트매터 + 본문) 및 선택적 references/, scripts/, assets/ 서브디렉토리를 포함하는 디렉토리입니다. 
---
name: passive-recon
description: "Use when gathering intelligence WITHOUT touching the target"
allowed-tools: Bash Read Write
metadata:
  subdomain: reconnaissance
  tags: passive, dns, subdomain-enum, whois, ct-logs
  mitre_attack: T1590, T1591, T1592
---
에이전트는 사용 가능한 스킬을 탐색할 때 이 메타데이터를 확인합니다. 커버로스팅을 선택할 때만 전체 기법 내용 — 명령어, 탐지 노트, 변형 — 이 컨텍스트에 로드됩니다. Decepticon은 스킬 우선 규칙을 강제합니다: 에이전트는 매칭하는 트리거 키워드에 대해 행동하기 전에 관련 스킬을 로드해야 합니다.

멀티 모델 라우팅

다양한 에이전트 역할이 최적의 모델 티어에 어떻게 라우팅되는지 알아보세요.