Varun-Solanki/cyber-agent

# 自主网络威胁情报自动化 ## 执行摘要 **自主网络威胁情报自动化** 是一个旨在帮助组织消费网络威胁情报的 Agentic AI 框架。在安全分析师每天被数千个警报淹没的时代，该系统充当了自主的力量倍增器——不知疲倦地扫描、分析和确定威胁的优先级。 与传统的静态抓取器不同，该 pipeline 采用了 **多智能体认知架构**。情报周期的每个阶段——从侦察到最终报告——都由具有特定角色、逻辑和决策能力的专业“AI Agent”处理。其结果是经过高度筛选的情报流，能够穿透噪音，仅突出显示需要立即人工干预的关键风险。 ## 核心能力 ### 深度侦察 系统在数字领域撒下大网以收集原始情报： - **NVD 集成**：获取实时 CVE 数据，确保零日漏洞感知。 - **RSS 哨兵**：监控定制的安全源，以获取行业新闻和新兴趋势。 - **GitHub 监控犬**：主动扫描 PoC exploit，通常在官方补丁发布之前就识别出风险。 ### 认知分类 没有上下文的原始数据毫无用处。**Classification Agent** 会自动将威胁分类到逻辑领域中： - *关键基础设施* - *Web 应用安全* - *密码学故障* - *供应链漏洞* ### 动态严重性评分 超越基础的 CVSS 分数，**Severity Agent** 通过考虑多个加权维度来计算整体的“现实世界风险”分数 (0-10)： - **Exploit 可用性 (+1.5)**：检查是否存在野外可用的 PoC 或活跃的 exploit。 - **威胁时效性 (+0.5)**：优先处理过去 7 天内发布的威胁。 - **类别影响 (+0.5 至 +1.2)**：根据潜在破坏力分配权重（例如，供应链风险 >= 远程代码执行 (RCE) >= DoS）。 - **CVSS 基础分数**：使用官方 NVD 分数作为基准。 *这种多层方法确保了具有公开 exploit 的低 CVSS 漏洞，其被标记的优先级会高于高 CVSS 的理论性 bug。* ### 自动化决策引擎 系统的核心智能。它将数据点关联起来以做出可执行的决策： - **ESCALATE**：高严重性（分数 9.0+），存在活跃利用的即时威胁。 - **TRACK**：企业风险或中等严重性问题；需要监控。 - **IGNORE**：低相关性、噪音或没有破坏潜力的理论性问题。 ## 系统架构  ### 执行流程 1. **获取**：**ReconAgent** 首先激活，从公开源和代码库中提取原始信号。 2. **处理**：数据流向 **ClassificationAgent** 进行标记，然后流向 **SeverityAgent** 进行风险评分。 3. **决策**：**DecisionAgent** 将新威胁与历史数据进行比较，以进行去重并分配最终的优先级操作。 4. **报告**：最后，**ReportingAgent** 将“Escalate”和“Track”项汇总成每日摘要报告。 | Agent 名称 | 角色 | 核心职责 | | :--- | :--- | :--- | | **ReconAgent** | *收集者* | **获取原始数据**：连接到外部 API (NVD)，解析 RSS 源，并抓取 GitHub 代码库，以收集无序的威胁信号池。 | | **ClassificationAgent** | *分析师* | **结合上下文分析威胁**：分析原始文本和元数据，以分配高级类别（例如，“RCE”、“恶意软件”），并对项目进行标记以便于过滤。 | | **SeverityAgent** | *风险评估员* | **量化风险**：应用动态评分算法。它考察“是什么”（类别）以及“怎么做”（可利用性），以生成最终的数字风险分数。 | | **DecisionAgent** | *战略家* | **决定行动**：充当守门人。它将来自不同来源的相同威胁关联起来，移除重复项，并分配最终的“ESCALATE”、“TRACK”或“IGNORE”标签。 | | **ReportingAgent** | *记者* | **传达发现**：获取结构化、已确定优先级的数据，并将其合成为干净、易读的 Markdown 报告以供人类使用。 | ## 项目结构 干净、合乎逻辑的组织确保开发者能够轻松浏览和扩展代码库。 ``` autonomous-threat-intel/ ├── agents/ # Configuration for AI agents (roles, inputs, outputs) │ └── agents.yaml # Central agent definition file ├── core/ # Core logic, schemas, and logging ├── data/ # Persistent storage for collected intelligence ├── pipeline/ # Implementation of each intelligence phase │ ├── recon.py # Data gathering modules │ ├── classify.py # Classification logic │ └── decision.py # Decision engine ├── reports/ # Generated Markdown reports ├── screenshots/ # Visual assets for documentation ├── tools/ # Utility scripts for external API interaction ├── run_pipeline.py # Main entry point for the application └── requirements.txt # Python dependencies ``` ## 入门指南 ### 前置条件 - **Python 3.8+** - 稳定的互联网连接（用于实时获取数据） ### 安装指南 1. **克隆代码库** 首先获取最新版本的代码。 git clone https://github.com/yourusername/autonomous-threat-intel.git cd autonomous-threat-intel 2. **环境设置** 强烈建议使用虚拟环境来管理依赖项。 python -m venv venv # Windows venv\Scripts\activate # macOS / Linux source venv/bin/activate 3. **安装依赖项** 安装所需的 Python 包。 pip install -r requirements.txt ### 用法 **启动情报 Pipeline：** 执行主脚本以触发完整的情报周期。 ``` python run_pipeline.py ``` **接下来会发生什么？** 1. **侦察** 阶段启动，从所有配置的源中提取数据。 2. 数据被 **标准化** 为标准的 schema。 3. 逻辑层（**分类**、**严重性**、**决策**）处理数据。 4. 最终报告将在 `reports/` 目录中生成。 ## 视觉效果与输出 ### 1. 终端执行 *观看 Agent 在处理实时情报流时的行动。*  ### 2. 战略报告 *系统生成干净、Markdown 格式的每日简报。* ## 未来路线图 该项目在不断发展。以下是未来的计划： - **LLM 集成**：用大型语言模型替代基于规则的分类器，以获取更深入的上下文。 - **仪表板 UI**：基于 React 的前端，用于实时威胁可视化。 - **Slack/Teams Webhook**：针对“ESCALATE”级别威胁的即时警报。 - **Docker 支持**：面向企业环境的容器化部署。 **由我使用 💻 和 ☕ 构建。**

标签：AI安全, Chat Copilot, CISA项目, 多智能体, 威胁情报, 开发者工具, 文档安全, 漏洞预警, 逆向工具, 防御加固