exceptd-skills: de AI-native security intelligence-laag die je GRC-tool niet is

Vorige week zat ik met een klant om tafel die trots vertelde dat ze "AI-governance hadden afgedekt" met hun bestaande ISO 27001-certificering. Toen ik vroeg hoe ze omgingen met MCP supply-chain compromise of prompt-injection als access-control failure, werd het stil. Precies het probleem waar exceptd-skills op inspeelt.

Het project is een AI-security skillpack en threat-intelligence harness, expliciet gebouwd als tegenreactie op "stale" compliance-frameworks. Geen vervanger van ISO 27001 of NIST, maar een actualiteitslaag erboven die AI-agenten vertelt wat er vandaag dreigt, niet wat er twee jaar geleden in een control framework is opgeschreven.

Wat het is

Drie onderdelen:

42 AI-security skills. Van kernel LPE en MCP supply chain tot AI-as-C2, post-quantum crypto en SBOM integrity. Plus 10 intelligence catalogs: CVE, ATLAS, ATT&CK, CWE, D3FEND, DLP, RFC, framework gaps, global frameworks en zero-day lessons.

24 investigation playbooks met een vaste zevenfasige flow: govern → direct → look → detect → analyze → validate → close. Dit is het onderschatte goud. Geen losse promptbibliotheek, maar een bewijsgerichte onderzoekscyclus die AI-gebruik structureert. De CLI ondersteunt discover, brief, run, collect, ask, recipes, cve, rfc, refresh en ai-run.

Freshness- en provenance-mechanismen. Ed25519-signed skill bodies, npm provenance-attestation, offline/air-gapped refresh, en een nightly auto-refresh job die KEV, NVD, EPSS, GHSA, OSV, IETF en meerdere vendor feeds ophaalt. Dit maakt het meer dan een promptpack, het is een security knowledge distribution system voor AI-agenten.

Het draait om de 7-fasen flow

De meeste security tools geven je óf een dashboard óf een prompt. exceptd geeft je een onderzoekscyclus die je agent dwingt bewijs te verzamelen, te categoriseren en een toetsbaar dossier op te leveren. Niet "vraag de chatbot of dit veilig is", maar "laat een agent binnen gecontroleerde grenzen een dossier opbouwen".

Dat is precies de richting waarin securityteams AI moeten gebruiken. Outputformaten zijn CSAF 2.0, SARIF, OpenVEX, Markdown en summary, bruikbaar voor CI/CD, audit trails en GRC-portalen.

Vergeleken met google/skills

De onderscheidende waarde zit in security depth en actualiteitsmechaniek. google/skills en generieke agent-skills repos zijn productiviteitssets. exceptd is een security-operating corpus met catalogi, playbooks, CVE/RFC resolvers, collectors en report formats.

De combinatie van threat intel → skill routing → evidence collection → detectie/analyse → validatie → machine-readable output is het patroon dat telt.

De risico's die je niet mag negeren

Nul community-validatie. 211 commits, maar 0 stars, 0 forks. Bij security tooling is dat relevant, zeker als het CVE-prioritering en compliance-gap language beïnvloedt. Actief onderhoud is positief, maar onafhankelijke validatie ontbreekt.

False authority. Het project presenteert veel actuele, scherpe threat claims. Een deel is controleerbaar: CVE-2026-30615 staat inderdaad in NVD als prompt-injection in Windsurf. Copy Fail (CVE-2026-31431) is bevestigd als Linux kernel LPE. Maar het project voegt zelf samenvattende intelligence en scoring toe, primaire bronnen blijven verifiëren.

RWEP als heuristiek. Real-World Exploit Priority is nuttig als extra signaal naast CVSS, KEV, EPSS en business criticality. Maar zodra teams het als single source of truth behandelen, krijg je schijnprecisie. De security policy waarschuwt hier zelf voor, dat is een goed teken, maar het risico blijft.

Skills kunnen agentgedrag sturen. Skills zijn instructietekst, geen neutrale data. SWE-Skills-Bench rapporteert dat 39 van 49 onderzochte SWE-skills geen pass-rate verbetering gaven en dat de gemiddelde winst slechts +1,2% was. Voor security-skills is dat extra kritisch: verkeerde of te dominante instructies leiden tot overconfident remediation.

Skill supply-chain attacks. Recent onderzoek naar agent skill ecosystems noemt abandoned repositories, skill hijacking en contextloze classificatie. exceptd heeft Ed25519-signing, provenance en fingerprint pinning, maar je moet dit lokaal én in CI afdwingen, anders blijft het documentatie.

Drie-fasen adoptiestrategie

Fase 1: Read-only intelligence pilot. Gebruik alleen de package-path modus. Laat je AI-assistent summary-cards.json en recipes.json lezen. Geen collectors, geen refresh, geen CI-integratie. Puur als kennisbron.

Fase 2: Disposable repo assessment. Run exceptd discover, brief, collect secrets, collect sbom, collect mcp. Exporteer naar Markdown/SARIF. Meet signal/noise, hallucinatierisico, runtime, bronverwijzingen en bruikbaarheid voor security review.

Fase 3: CI advisory gate. Alleen advisory in CI, geen hard fail. Hard-blocking alleen waar bevindingen door primaire bronnen én technische evidence bevestigd zijn: secrets, unsigned MCP config, known malicious package, CVE met KEV + affected package + reachable asset.

Enterprise-hardening minimum

Voor gereguleerde omgevingen:

• Supply chain: Pin exacte npm-versie. Verifieer Ed25519 signatures en provenance in CI. Mirror naar interne artifact registry. Geen ongecontroleerde refresh --network in productie.
• Agent isolatie: Skills read-only mounten. Collectors in ephemeral containers. Network egress default deny, alleen expliciete feeds allowlisten.
• Governance: RWEP alleen als één factor, niet als single source of truth. Elke high-impact remediation verifiëren tegen primaire bronnen. Evidence package met immutable logging.
• AI safety: Alleen context-specifieke skills laden via recipes of routing. Prompt-injection tests op skill content. Tool calls expliciet autoriseren.

Stack-fit voor Nederlandse overheid

Voor BIO2/NIS2-omgevingen past dit als advisory intelligence layer bovenop bestaande DevSecOps-controls. Niet als vervanging van OWASP, NIST, ISO 27001, GitHub Advanced Security of SIEM/SOAR. Maar als de laag die je AI-agenten wél vertelt wat actueel dreigend is, in plaats van wat er twee jaar geleden in een compliance-rapport stond.

Het project is pre-1.0, niet community-gevalideerd, en vereist primaire bronvalidatie. Maar de combinatie van threat-model currency, MCP/agentic security, framework-gap analysis en machine-readable evidence outputs is precies wat ontbreekt in de meeste security-stacks die ik bij klanten zie.

Begin met read-only. Bouw vertrouwen op via disposable assessments. En onthoud: een skillpack dat CVE's prioriteert is nuttig. Een skillpack dat je SOC laat denken dat het de enige waarheid is, is gevaarlijk. Het verschil zit in hoe je het inzet, niet in wat er in de repo staat.