codyjkeller/ai-threat-intel-agent

# Threat Intel Portal     **一个自托管的威胁情报摘要服务。** 订阅安全主题、特定产品的安全公告以及隐私法规 —— 按您选择的频率接收个性化简报。 ## 它的功能 可以把它想象成网络安全和隐私领域的 TLDR 时事通讯 —— 自托管、可定制且支持按产品跟踪。 用户注册后，选择他们关心的主题和产品，并通过 API 接收精选摘要（计划集成邮件功能）。所有来源均为公开：CISA KEV、NVD/CVE、供应商安全公告以及安全/隐私新闻的 RSS 订阅源。 **主题** 涵盖广泛的类别：勒索软件、零日漏洞、云安全、国家级威胁、美国隐私立法、AI 监管等。 **产品** 允许您订阅特定工具的警报：AWS、Azure、Okta、CrowdStrike、Palo Alto、Microsoft 365、GitHub 等。当您跟踪的产品发布 CVE 或公告时，它会出现在您的摘要中。 **推送频率** 由用户控制：每天、每周或每月。 ## 功能特点 - **Feed 收录：** CISA KEV 目录、NVD CVE API (CVSS 7.0+)、RSS 订阅源 (Krebs、Bleeping Computer、The Record、IAPP、供应商公告) - **用户账户：** 注册、登录、JWT 身份验证 - **订阅系统：** 订阅主题（勒索软件、隐私法等）和/或特定产品（AWS、Okta 等） - **摘要生成器：** 按严重程度（严重、高危、新闻）分组的个性化摘要 - **后台调度器：** 每 4 小时自动收录一次订阅源（可配置），确保每个工作日至少刷新 2 次 - **Docker 就绪：** 单容器部署，兼容 Portainer - **隐私与合规新闻：** 美国各州隐私立法、GDPR、AI 监管跟踪 ## 快速开始 ### 本地开发 ``` git clone https://github.com/codyjkeller/ai-threat-intel-agent.git cd ai-threat-intel-agent pip install -r requirements.txt cp .env.example .env # edit JWT_SECRET uvicorn src.main:app --reload ``` API 文档位于 `http://localhost:8000/docs` ### Docker（生产环境 / 家庭实验室） ``` git clone https://github.com/codyjkeller/ai-threat-intel-agent.git cd ai-threat-intel-agent cp .env.example .env # edit JWT_SECRET docker compose up -d ``` 运行在端口 `8400`。将您的 Cloudflare Tunnel 或反向代理指向 `http://:8400`。 ### Portainer 在 Portainer 中创建一个新的 stack，粘贴 `docker-compose.yml` 的内容，设置环境变量，然后部署。 ## API 参考 `/api/v1` 下的所有接口。身份验证接口是公开的；其他所有接口都需要 `Authorization: Bearer `。 | 方法 | 接口 | 描述 | |--------|----------|-------------| | POST | `/api/v1/auth/signup` | 创建账户 | | POST | `/api/v1/auth/login` | 获取 JWT token | | GET | `/api/v1/me` | 当前用户资料 | | GET | `/api/v1/topics` | 列出可用主题 | | GET | `/api/v1/products` | 列出可用产品 | | PUT | `/api/v1/subscriptions` | 更新订阅内容和频率 | | GET | `/api/v1/digest/preview` | 预览下一次摘要 | | GET | `/api/v1/feed` | 浏览所有 Feed 条目（可过滤） | | GET | `/health` | 健康检查 | | GET | `/disclaimer` | 法律免责声明 | ## 项目结构 ``` ai-threat-intel-agent/ ├── src/ │ ├── main.py # FastAPI app + scheduler │ ├── api/routes.py # API endpoints │ ├── models/ │ │ ├── database.py # SQLAlchemy models │ │ └── seed.py # Default topics, products, feed sources │ ├── feeds/ingest.py # CISA KEV, NVD, RSS ingestion │ └── services/ │ ├── auth.py # Password hashing, JWT │ └── digest.py # Digest builder ├── docker-compose.yml ├── Dockerfile ├── requirements.txt ├── .env.example └── README.md ``` ## 配置项 | 变量 | 默认值 | 描述 | |----------|---------|-------------| | `JWT_SECRET` | (必填) | JWT 签名密钥 | | `INGEST_INTERVAL_HOURS` | `4` | Feed 收集运行的间隔小时数 | | `TOKEN_EXPIRY_HOURS` | `72` | JWT token 有效期 | | `CORS_ORIGINS` | `http://localhost:3000` | 允许的 CORS 源 | | `LOG_LEVEL` | `INFO` | 日志详细程度 | ## 路线图 - [ ] 邮件摘要推送 (SMTP) - [ ] Web UI（React 或简单的 HTML 仪表盘） - [ ] AI 生成的每个摘要的执行摘要 - [ ] Webhook 通知（Slack、Discord、ntfy） - [ ] 每个 Feed 的来源信誉/信任评分 - [ ] 用户提交的自定义 RSS 订阅源 - [ ] STIX/TAXII feed 支持 ## 免责声明 本服务聚合的均为**公开的**威胁情报，仅供**信息参考**。 - 订阅特定产品警报**并不表示或承认**您的环境中正在使用这些产品。 - 本服务**不能替代**正式的威胁情报计划、事件响应能力或专业的安全建议。 - 作者不对所提供信息的准确性、完整性或及时性作任何保证。 - **使用风险自负。** 作者对基于本服务输出做出的决定不承担任何责任。 完整条款请参阅 [MIT 许可证](LICENSE)。 ## 许可证 [MIT](LICENSE)

标签：AI监管, API服务, AV绕过, CISA KEV, CVE聚合, CVSS, Docker, FastAPI, GDPR, GenAI, GPT, JWT认证, NVD, Python, RSS聚合, SecOps, TLDR安全, 云安全架构, 勒索软件, 后台任务调度, 威胁情报, 安全简报, 安全运营, 安全防御评估, 实时处理, 密码管理, 开发者工具, 扫描框架, 无后门, 每日安全摘要, 漏洞管理, 网络安全, 网络安全自动化, 网络测绘, 自动化情报收集, 自托管, 订阅系统, 请求拦截, 逆向工具, 隐私保护, 隐私合规, 零日漏洞