threatclaw/threatclaw
GitHub: threatclaw/threatclaw
面向中小企业的自托管 AI 安全运营平台,融合规则签名、ML 异常检测和本地大模型分析,实现自主 SOC 能力。
Stars: 3 | Forks: 0
ThreatClaw
"They use AI to attack. We use AI to fight back."
Autonomous cybersecurity agent for SMBs
Self-hosted · AI-powered · ML behavioral analysis · 100% on-premise
## 什么是 ThreatClaw?
ThreatClaw 是一个**自托管、AI 驱动的网络安全智能体**,用于监控、检测、关联安全威胁并提出修复建议。它专为面向 SMB(中小企业)的**自主 SOC 运营**而构建。
**所有数据都保留在您的基础设施中。** 无需依赖云服务。无资产数量限制。免费且无使用限制。
### 3 层检测
```
Layer 1 — Sigma Rules → "I know this attack" (signatures)
Layer 2 — ML Isolation Forest → "This behavior is abnormal" (anomaly detection)
Layer 3 — LLM Analysis → "Here's what's happening and what to do" (explanation)
```
## 快速开始
**一行命令安装(推荐):**
```
curl -fsSL https://get.threatclaw.io | sudo bash
```
此命令将安装 Docker(如果需要),下载所有服务并启动 ThreatClaw。打开 `http://your-server:3001` 创建您的管理员账户。
**Docker Compose(手动):**
```
git clone https://github.com/threatclaw/threatclaw.git
cd threatclaw/docker
cp .env.example .env
docker compose up -d
```
**从源码构建(开发者):**
```
git clone https://github.com/threatclaw/threatclaw.git && cd threatclaw
cargo build --release
./target/release/threatclaw run
```
## 截图
Dashboard — Real-time security score, ML behavioral detection, infrastructure health
Graph Intelligence — STIX 2.1 attack graph, threat actors (APT attribution), lateral movement detection
Reports & Exports — NIS2, RGPD/CNIL, ISO 27001, NIST, STIX 2.1, MISP (PDF + JSON)
## 功能特性
### 5 级 AI 架构
| 级别 | 名称 | 职责 |
|-------|------|------|
| L0 | ThreatClaw AI Ops | 对话智能体 — 与您交流,使用工具调用 |
| L1 | ThreatClaw AI Triage | 流水线 — JSON 分类,评分 |
| L2 | ThreatClaw AI Reasoning | 取证分析 — 思维链,MITRE ATT&CK |
| L3 | ThreatClaw AI Instruct | 剧本 — SOAR,Sigma 规则,报告 |
| L4 | 云端(可选) | 升级上报 — 匿名化,Anthropic/Mistral/OpenAI |
### 核心引擎 (Rust)
- **智能引擎** — 每 5 分钟运行一次,收集警报/发现结果,对资产进行评分,决定通知发送
- **图谱智能** — Apache AGE (STIX 2.1):攻击路径,横向移动,攻击活动,威胁行为者
- **资产管理** — 自动发现,IP 分类,MAC 厂商查找,指纹识别
- **仪表盘身份验证** — 登录,会话 (argon2id),暴力破解保护
- **暂停/恢复** — 一键暂停所有服务
- **9 个通知渠道** — Telegram,Slack,Discord,Mattermost,Ntfy,Gotify,Email,Signal,WhatsApp
### ML 引擎 (Python)
- **Isolation Forest** — 每个资产的行为基线(14 天),异常评分 0-1
- **DGA 检测** — 基于 DNS 域名的 Random Forest
- **DBSCAN 聚类** — 按行为对资产进行分组,检测异常值
- **企业上下文** — 行业,工作时间,地理范围调整 ML 敏感度
### 集成(26 项情报富化 + 15 个连接器)
**情报富化(自动,零配置):**
NVD,CISA KEV,EPSS,MITRE ATT&CK,CERT-FR,GreyNoise,CrowdSec,AbuseIPDB,Shodan,VirusTotal,HIBP 等 15 个以上。
**连接器(接入您现有的工具):**
Active Directory/LDAP,pfSense/OPNsense,Fortinet,Proxmox,GLPI,Wazuh,Nmap,Zeek,Suricata,Pi-hole,UniFi 等。
### 仪表盘 (Next.js 14)
- 暗色玻璃态设计,响应式,双语 (FR/EN)
- 引导向导
- 实时安全评分,ML 状态,服务器健康状况
- 技能市场(连接器 / 情报 / 操作)
- 实时系统日志
### PDF 报告
- NIS2(早期预警 24 小时,中级 72 小时,最终,第 21 条)
- RGPD 第 33 条,ISO 27001,NIST SP 800-61r3
- 高管与技术报告,审计追踪
## 定价
**ThreatClaw 免费且无使用限制。** 无资产数量限制。无功能锁定。
未来的高级技能将在市场 提供。
## 架构
```
Sources → PostgreSQL → ML Engine (5min) → Intelligence Engine → Graph AGE → LLM → User
↑ ↑
Isolation Forest Asset correlation
DGA Detection IP classification
DBSCAN Clustering Fingerprinting
```
**技术栈:** Rust(后端) · PostgreSQL + Apache AGE + pgvector(数据库) · Python(ML) · Next.js 14(仪表盘) · Ollama(本地 LLM)
## 文档
- [入门指南](docs/getting-started.md) — 安装与初步操作
- [配置说明](docs/configuration.md) — 所有设置与选项
- [API 参考](docs/api.md) — REST API 端点
- [技能开发](docs/SKILL_DEVELOPMENT_GUIDE.md) — 构建自定义技能
- [安全政策](SECURITY.md) — 漏洞报告
- [贡献指南](CONTRIBUTING.md) — 如何参与贡献
- [更新日志](CHANGELOG.md) — 版本历史
## 社区与支持
| 需求 | 前往 |
|------|-------------|
| 🐛 错误报告 | [GitHub Issues](https://github.com/threatclaw/threatclaw/issues/new?template=bug_report.yml) |
| 💡 功能建议 | [GitHub Issues](https://github.com/threatclaw/threatclaw/issues/new?template=feature_request.yml) |
| ❓ 提问 / 支持 | [GitHub Discussions](https://github.com/threatclaw/threatclaw/discussions) |
| 🔒 安全漏洞 | [Security Advisories](https://github.com/threatclaw/threatclaw/security/advisories)(私密) |
| 📧 商业 / 许可 | [contact@threatclaw.io](mailto:contact@threatclaw.io) |
## 许可证
**AGPL v3 + 商业双重许可。**
- 在您自己的服务器上安装 ✅
- 监控您自己的基础设施 ✅
- 为您自己的用途进行修改 ✅
- MSSP 为客户部署 ✅(需商业许可)
- 开源:[AGPL-3.0-or-later](LICENSE)
- 商业:[商业许可证](LICENSE-COMMERCIAL.md) — 联系 commercial@threatclaw.io
由 [CyberConsulting.fr](https://cyberconsulting.fr) 构建 — 专为中小企业提供网络安全咨询服务
标签:AI安全, AI风险缓解, AI驱动, AMSI绕过, Apex, Chat Copilot, DLL 劫持, LLM分析, Rust语言, Sigma规则, WASM沙箱, 中小企业, 修复建议, 可视化界面, 大语言模型, 威胁关联, 威胁检测, 孤立森林, 安全运营中心, 完全本地化, 开猿, 异常检测, 智能防御, 本地部署, 机器学习, 测试用例, 目标导入, 网络安全, 网络映射, 自主网络安全代理, 自动化SOC, 自托管, 请求拦截, 逆向工具, 通知系统, 隐私保护