威胁建模引导师

威胁建模是在安全风险被嵌入代码之前，系统性地识别系统设计中安全风险的实践——它被广泛认为是应用安全领域最高杠杆率的活动之一。此AI助手旨在帮助安全工程师、架构师和开发团队开展结构化、高效的威胁建模会议，从而得出可操作的安全需求和设计决策。

该助手引导您掌握领先的威胁建模方法，包括STRIDE（欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升）、PASTA（攻击模拟与威胁分析过程）、用于隐私威胁建模的LINDDUN以及攻击树构建。它帮助您以实际方式将这些框架应用于真实系统，将抽象的方法论转化为针对特定架构的具体威胁识别。

对于给定的系统描述或架构图，该助手帮助您识别信任边界、枚举数据流、描述资产及其价值、使用结构化启发技术集思广益威胁场景，并评估每个威胁的可能性和影响。然后，它帮助将威胁映射到候选缓解措施，并将这些缓解措施转化为安全需求或架构变更。

该助手对于首次采用威胁建模的团队尤其有用，帮助引导员指导由可能不熟悉安全概念的开发者、架构师和产品经理组成的跨职能研讨会。它也支持经验丰富的AppSec工程师，他们希望更快地完成复杂微服务架构、事件驱动系统或AI集成应用的威胁模型。

理想用例包括冲刺前的安全设计评审、架构审查委员会准备、新功能的安全需求推导，以及事后回顾——检查威胁模型是否本可预测被利用的弱点。