emr4h/cveResponderAI

# cveResponderAI 🛡️ [](https://github.com/emr4h/cveResponderAI/blob/main/LICENSE) [](https://github.com/emr4h/cveResponderAI) ### *用于 CVE 分诊和事件响应 (IR) 的本地 AI* **cveResponderAI** 是一款 **本地优先** 的安全工具。它结合了 **NVD** (国家漏洞数据库) 和 **CISA KEV** (已知被利用漏洞) 数据，以及通过 **Ollama** 运行的 **本地 LLM**。你可以获得检测思路、缓解措施、**MITRE ATT&CK** 映射以及 PoC (概念验证) 代码解释——**无需将数据发送到云端**。 ## 🎯 问题背景 当一个新的严重 CVE 出现时，响应人员通常会： - **浪费时间** 在 NVD、CISA、GitHub 和新闻网站之间切换，以构建一个清晰的概况。 - **苦于处理利用代码** —— 将原始 PoC 转化为 Sigma/YARA 风格的检测需要技能和时间，而这在事件发生期间可能并不具备。 - **面临泄露风险**，如果将内部资产列表或利用代码粘贴到公共 AI 聊天中。 - **无法手动检查** CVE 是否会影响庞大的资产清单。 ## 🚀 解决方案 **cveResponderAI** 运行 **在你的机器上**。一个工作流搞定：获取 CVE → 可选的新闻/PoC 上下文 → MITRE 映射 → IR 计划。你可以选择 **任何 Ollama 模型** (Qwen, Llama, Mistral, Deepseek 等)。 - **解析：** 后端在可能的情况下要求模型返回 **JSON**。如果模型输出混乱，**文本恢复层** 仍能构建出可用的报告。 - **隐私：** 数据保留在本地，因为 **Ollama** 运行在你的计算机上。 ## 🏗️ 技术栈 | 组件 | 技术 | |------|------------| | **Backend** | Flask (Python)—API 和 LLM 调用 | | **CVE 数据** | NVD API v2 + CISA KEV JSON 源 | | **MITRE** | 离线 **MITRE ATT&CK** 数据集 (`data/mitre-attack.json`) | | **AI** | Ollama (`localhost:11434`) + 混合 JSON/文本解析 | | **Frontend** | 原生 JavaScript + CSS (无需构建步骤) | ## 🧠 推荐模型 (Ollama) 已针对以下本地模型进行测试和调优： 1. **qwen3.5:9b** — 首选；擅长遵循指令和 JSON。 2. **deepseek-r1:14b** — 适用于 **PoC 解释器** (推理风格输出)。 3. **llama3.1:8b** — 良好的通用安全性和 IR 规划能力。 **硬件：** 较大的模型需要足够的 **RAM** (以及可选的 **GPU**)。如果某个模型运行缓慢，请尝试较小的标签或仅使用单一模型。 ## 🛠️ 安装与设置 ### 1. 安装 Ollama 从 [ollama.com](https://ollama.com) 下载。 ### 2. 拉取模型 (可选但推荐) ``` ollama pull qwen3.5:9b ollama pull deepseek-r1:14b ollama pull llama3.1:8b ``` ### 3. 克隆并安装依赖 ``` git clone https://github.com/emr4h/cveResponderAI.git cd cveResponderAI pip install -r requirements.txt ``` ### 4. 启动服务器 ``` python3 server.py ``` 应用监听 **端口 5001**。 ### 5. 在浏览器中打开 打开 **http://localhost:5001** (而不是直接打开 `index.html` 文件——API 调用需要运行中的服务器)。 ## 💡 主要功能 ### 🛡️ IR 计划 (检测 + 缓解) LLM 根据 CVE 和上下文返回 **8–12** 条检测项 (日志、Event IDs、SIEM/EDR 思路) 和 **8–12** 条缓解步骤。 ### 🎯 MITRE ATT&CK 映射 将 CVE 映射到技术点并提供 **简短理由** (为什么此 CVE 符合该技术)，并对照本地 MITRE 库进行验证。 ### ⚡ PoC 解释器 粘贴或上传利用代码。该工具可以高亮显示 **重要行** 并展示 **攻击路径** (从入口到影响的步骤流程)。 ### 📦 受影响的产品与资产 使用 **NVD CPE** (通用平台枚举) 字符串，并可在支持的情况下与你的 **资产清单** 进行 **关联**。 ### 📰 新闻搜索 搜索 **9** 个安全新闻/权威网站 (例如 The Hacker News, BleepingComputer, SecurityWeek, CISA, Dark Reading, Krebs on Security, Threatpost 等) 并按 CVE 对文章进行分组。 ## 🚩 Black Hat Arsenal — 文档与演示 Arsenal 提交的项目文件夹： | 文件夹 | 用途 | |--------|--------| | **`docs/`** | Black Hat Arsenal 的 **白皮书** 和书面材料 (架构、用例、方法论)。准备好后在此处添加或替换白皮书。 | | **`demo/`** | **演示视频** 将位于此处 (例如完整工作流的屏幕录像)。将最终剪辑版放入此文件夹，并在发布后从仓库或 Arsenal 页面链接。 | 克隆仓库并打开 `docs/` 查看论文，打开 `demo/` 查看录像——无需额外的构建步骤。 ## 🎬 Black Hat Arsenal — 现场演示大纲 1. **阶段 1 — KEV 分诊：** 选择一个 **CISA KEV** CVE 并展示 NVD + KEV 横幅 + 工作流。 2. **阶段 2 — 本地推理：** 使用推理模型在示例代码 (例如混淆脚本) 上运行 **PoC 解释器**。 3. **阶段 3 — 防御性输出：** 展示生成的检测/缓解列表以及它如何融入 IR 工作流。 **负责任的使用：** 仅在 **授权** 环境中并出于 **防御** 目的使用 PoC 分析和工具。 ## 📄 许可证 本项目根据 **MIT License** 授权 — 详见 [LICENSE](LICENSE)。 ## 🤝 致谢 - **NVD (NIST)** — CVE 和 CVSS 数据 - **MITRE ATT&ACK** — 技术框架 - **Ollama** — 本地 LLM 运行时 *由 **emr4h** 在 Black Hat Arsenal 发布。*

标签：AI风险缓解, CISA KEV, CISA项目, Cloudflare, CVE分流, DLL 劫持, DNS 反向解析, Flask, GPT, LLM评估, MITRE ATT&CK, NVD, Ollama, PE 加载器, PoC分析, Python, Web报告查看器, 大语言模型, 威胁情报, 密码管理, 库, 应急响应, 开发者工具, 插件系统, 数据可视化, 数据隐私, 无后门, 本地AI, 本地部署, 漏洞优先级, 漏洞管理, 系统监控, 结构化查询, 网络安全, 网络安全审计, 自动化安全, 自定义脚本, 逆向工具, 隐私保护