apifyforge/neuromorphic-threat-intelligence-mcp
GitHub: apifyforge/neuromorphic-threat-intelligence-mcp
面向 AI Agent 的神经形态威胁情报 MCP 服务器,整合 8 种脑启发算法与 15 个数据源,提供从异常检测到攻击面分析的定量威胁评估能力。
Stars: 0 | Forks: 0
# Neuromorphic Threat Intelligence MCP 服务器
## 快速开始
添加到您的 MCP 客户端(Claude Desktop, Cursor, Windsurf):
```
{
"mcpServers": {
"neuromorphic-threat-intelligence-mcp": {
"url": "https://ryanclinton--neuromorphic-threat-intelligence-mcp.apify.actor/mcp"
}
}
}
```
面向 AI Agent 的神经形态威胁情报 —— 此 MCP Server 将**8种受大脑启发和数学框架**应用于网络威胁检测,从涵盖漏洞数据库、互联网扫描基础设施、制裁登记处、社交信号和代码仓库的**15个来源**中提取实时数据。它赋予 Claude、Cursor 及任何兼容 MCP 的客户端等 AI 助手像生物神经回路那样推理威胁的能力:通过脉冲动力学、时间学习和拓扑结构。
每次工具调用都会跨多个情报源触发并行请求,然后运行严格的算法 —— 泄露积分发放脉冲网络、STDP 可塑性学习、超图攻击语法、SIS 流行病传播、NEAT 神经进化、离散 Morse 理论、进化种群博弈或 Le Cam 统计缺陷 —— 返回带有可解释结论的结构化 JSON。这不是单一 API 的封装。这是一个具有定量输出和清晰威胁评估的多源推理引擎。
## 您可以访问哪些数据?
| 数据点 | 来源 | 覆盖示例 |
|---|---|---|
| 📋 CVE 漏洞记录 | NVD CVE Search | 200,000+ 条带 CVSS 评分的 CVE |
| 🔥 已知被利用漏洞 | CISA KEV Catalog | 野外被积极利用 |
| 🖥 互联网主机扫描数据 | Censys Search | 开放端口、服务、Banners |
| 🌐 DNS 记录 | DNS Lookup | A, MX, TXT, NS, CNAME 记录 |
| 🔒 SSL/TLS 证书历史 | crt.sh CT Logs | 证书透明度日志 |
| 📝 域名注册数据 | WHOIS Lookup | 注册人、日期、Nameservers |
| 📍 IP 地理位置和 ASN | IP Geolocation | 国家、组织、ASN、坐标 |
| 🛠 网站技术栈 | Tech Stack Detector | CMS、框架、CDN、库 |
| 💻 安全代码和 PoCs | GitHub Repo Search | 公共仓库 |
| 💬 安全社区讨论 | Hacker News Search | HN 线程和评论 |
| 🚫 美国财政部制裁 | OFAC Sanctions Search | SDN 列表、被封锁人员 |
| 🌍 全球监视名单 | OpenSanctions Search | 100+ 项目,40+ 国家 |
| 📡 社交威胁信号 | Bluesky Social Search | 实时安全社区帖子 |
| 🕰 历史网页快照 | Wayback Machine | Archive.org 快照 |
| 🔄 网站内容变更 | Website Change Monitor | 跟踪的页面修改 |
## 为什么使用 Neuromorphic Threat Intelligence MCP Server?
手动威胁关联是每个安全工作流的瓶颈。一名威胁分析师检查 CVE、交叉引用 CISA KEV、查询 Censys、审查 DNS 历史、扫描制裁名单并监控社交频道,仅为了一个域名就可能花费四到六个小时产出一幅画面,而完成时该画面早已过时。统计检测方法通常作为事后补充,产生二元红/绿输出,缺乏定量置信度。
此 MCP Server 自动化整个关联和分析流水线。它并行查询多达七个来源,将来自异构格式的严重性评分(CVSS 浮点数、“Critical/High/Medium”字符串、原始分数)归一化,组装结构化威胁指标,并通过所选算法传递。结果包括通俗语言解释以及完整的数值输出。
- **调度** —— 每日或每周运行定期威胁扫描,以跟踪您的攻击面如何演变
- **API 访问** —— 从 Python、JavaScript 或任何 HTTP 客户端触发分析,无需离开您的工具链
- **代理轮换** —— 上游 Actor 在需要时使用 Apify 内置的代理基础设施
- **监控** —— 当 MCP 工具调用失败或返回意外结果时获取 Slack 或电子邮件警报
- **集成** —— 将输出连接到 Zapier、Make、Webhooks,或将结果直接推送到 SIEM 管道
## 功能特性
- **泄露积分发放 (LIF) 脉冲网络** —— 每种威胁源类型一个神经元,膜动力学由 LIF 方程控制,tau 10–20 ms 衰减常数,2–5 ms 不应期,以及 1–5 步突触延迟
- **切换曲面上的 Filippov 微分包含** —— 当膜电位位于阈值 0.05 范围内时,系统应用亚阈值和超阈值动力学的凸组合,产生滑模;这些切换事件的计数直接衡量正常与异常之间的边界被探测的激进程度
- **带 Tracy-Widom 随机矩阵边缘的 STDP 学习** —— 从跨源因果脉冲对构建时间权重矩阵;Pre-before-post 序列增强,反向则抑制;随机矩阵理论中的 Tracy-Widom 边缘将结构化活动信号与随机噪声分离
- **Hebbian 细胞集群检测** —— 识别活动在相关性阈值之上时间一致的威胁源集群,浮现出协同活动的多源指纹
- **带 Floyd-Warshall 可达性的超图攻击语法** —— 将基础设施建模为上下文无关超图文法;产生式规则编码漏洞到漏洞的转换;推导所有可达攻击路径并计算关键资产的中介中心性
- **Barabasi-Albert 无标度接触过程** —— 在偏好依附网络上模拟漏洞传播;计算基本再生数 R0、流行病阈值、Hub 感染顺序和稳态感染比例
- **带物种形成和适应度共享的 NEAT 神经进化** —— 同时进化神经网络拓扑和权重;创新编号解决竞争约定问题;物种形成保护结构多样性;在 6 特征威胁指标向量上训练
- **离散 Morse 理论 CW 复形** —— 将基础设施建模为具有 0-cell(资产)、1-cell(连接)和 2-cell(服务集群)的 CW 复形;梯度矢量场配对简化复形;未配对的临界单元代表拓扑不可约攻击面;输出 Euler 示性数和 Betti 数
- **种群博弈复制子动力学** —— 在五种策略(国家级 APT、网络犯罪、黑客行动主义、内部威胁、供应链)中模拟 2,000 名威胁行为者;支付矩阵根据真实制裁和漏洞密度校准;计算进化稳定策略和 Lyapunov 指数
- **Le Cam 缺陷距离** —— 测量当前与增强监控配置之间的信息损失;计算 Minimax 风险、Bayes 风险、功效函数、ROC 曲线和可靠检测的样本复杂度
- **并行 Actor 编排** —— 所有上游 Actor 调用通过 `Promise.all` 同时触发;180 秒超时防止挂起的运行阻塞响应
- **严重性归一化** —— 在任何算法运行之前,将 CVSS 浮点数 (÷10)、严重性字符串 (Critical→0.95, High→0.80, Medium→0.50, Low→0.20) 和原始数值分数转换为统一的 0–1 严重性量表
- **待机模式操作** —— 在 Apify 平台上作为持久的 Express 服务器运行;`/mcp` 端点处理 MCP 协议请求;`/` 上的健康探针立即返回 200 以用于容器就绪检查
- **通俗语言解释** —— 每个工具返回一个带有人类可读结论(CRITICAL / ELEVATED / NORMAL, STRUCTURED CAMPAIGN DETECTED / NO CLEAR STRUCTURE 等)的 `interpretation` 字符串以及完整的数值输出
## 神经形态威胁情报的用例
### 安全运营和 SOC 分诊
收到新妥协指标 —— 域名、IP、CVE —— 的安全分析师需要快速的上下文增强。无需打开六个浏览器标签页,只需使用目标调用 `detect_spiking_anomalies`。该工具并行查询 NVD、CISA KEV、Censys、DNS、SSL 和技术栈,并运行 LIF 模拟。异常神经元放电模式在几秒钟内浮现,网络同步指数告诉您是否有多个源同时亮起。
### 威胁活动归因
试图将一组事件归因于特定威胁组织的事件响应团队可以使用 `attribute_threat_campaign`。提供关键词(例如 `["Volt Typhoon", "critical infrastructure", "living off the land"]`)。STDP 引擎关联 CVE、KEV 条目、OFAC 制裁、OpenSanctions、GitHub 仓库和 Hacker News 的时间模式。如果权重矩阵的谱半径超过 Tracy-Widom 边缘,则存在统计上显著的时间结构 —— 协调活动的指纹而非巧合。
### 基础设施攻击路径分析
映射环境中攻击路径的红队和安全架构师可以对目标域名使用 `analyze_attack_graph`。超图文法从 Censys、DNS、SSL、WHOIS、技术栈和 IP 地理数据构建资产拓扑,然后推导所有具有相关概率的可行攻击路径。中介中心性输出识别哪个资产一旦被攻陷,会开启最多的后续路径 —— 正是补救规划所需的优先级信息。
### 漏洞风险量化
决定首先修补哪些 CVE 的风险管理者可以使用 `simulate_vulnerability_propagation` 来模拟特定漏洞类别如何在校准到真实 CVE 严重性数据的 Barabasi-Albert 网络中传播。R0 值直接回答关键问题:此漏洞处于流行病状态还是会自然消亡?Hub 感染顺序告诉您哪些高度节点 —— 连接最多的资产 —— 最先沦陷。
### AI Agent 驱动的安全自动化
构建基于 LLM 的 Agent 进行持续监控的安全团队可以将此 MCP Server 注册为工具提供者。Claude 或任何兼容 MCP 的 Agent 随后可以对威胁域调用 `forecast_exploit_emergence` 以获取检测极限、ROC 曲线和样本复杂度估计 —— 让 Agent 自主决定当前监控是否充分或建议增加预算。
### 检测工程和能力评估
评估其传感器覆盖范围是否足以应对特定威胁域的检测工程师可以运行 `forecast_exploit_emergence`。Le Cam 缺陷量化当前与增强监控之间的信息损失。如果检测极限超过信号强度,工具会输出可靠检测所需的准确预算倍数 —— 资源请求的数学理由。
## 如何连接此 MCP Server
### 第 1 步:获取您的 Apify API Token
在 [apify.com](https://apify.com) 注册。您的 API Token 位于 [console.apify.com/account/integrations](https://console.apify.com/account/integrations)。
### 第 2 步:添加到您的 MCP 客户端
**Claude Desktop** —— 添加到 `~/Library/Application Support/Claude/claude_desktop_config.json`:
```
{
"mcpServers": {
"neuromorphic-threat-intelligence": {
"url": "https://neuromorphic-threat-intelligence-mcp.apify.actor/mcp",
"headers": {
"Authorization": "Bearer YOUR_APIFY_TOKEN"
}
}
}
}
```
**Cursor** —— 添加到项目根目录下的 `.cursor/mcp.json`:
```
{
"mcpServers": {
"neuromorphic-threat-intelligence": {
"url": "https://neuromorphic-threat-intelligence-mcp.apify.actor/mcp",
"headers": {
"Authorization": "Bearer YOUR_APIFY_TOKEN"
}
}
}
}
```
### 第 3 步:验证连接
询问您的 AI 助手:“列出 neuromorphic threat intelligence server 可用的工具。”它应该返回所有 8 个工具的名称和描述。
### 第 4 步:运行您的第一次分析
尝试:“使用 detect_spiking_anomalies 以默认参数分析域名 apache.org 的威胁。”该工具将并行查询 6 个数据源,并返回带有通俗语言解释的 LIF 模拟结果。
## MCP 工具参考
| 工具 | 算法 | 数据来源 | 最适用于 |
|---|---|---|---|
| `detect_spiking_anomalies` | LIF 脉冲网络 + Filippov | NVD, CISA KEV, Censys, DNS, SSL, Tech Stack | 跨威胁源的实时异常检测 |
| `attribute_threat_campaign` | STDP + Tracy-Widom 边缘 | NVD, CISA KEV, OFAC, OpenSanctions, GitHub, HN | 通过时间因果模式进行活动归因 |
| `analyze_attack_graph` | 超图文法 + Floyd-Warshall | Censys, DNS, SSL, WHOIS, Tech Stack, IP Geo, NVD | 攻击路径分析和关键资产识别 |
| `simulate_vulnerability_propagation` | SIS 接触过程 + Barabasi-Albert | NVD, CISA KEV, Censys, Tech Stack | 流行病阈值和 Hub 感染建模 |
| `evolve_detection_network` | NEAT 神经进化 | NVD, CISA KEV, GitHub, Hacker News | 进化最优检测网络架构 |
| `compute_attack_surface` | 离散 Morse 理论 + CW 复形 | Censys, DNS, SSL, WHOIS, Tech Stack, IP Geo | 拓扑攻击面量化 |
| `assess_threat_actor_dynamics` | 种群博弈 ESS + 复制子 | OFAC, OpenSanctions, NVD, CISA KEV, Bluesky, Wayback | 威胁行为者策略演化预测 |
| `forecast_exploit_emergence` | Le Cam 缺陷距离 | NVD, CISA KEV, GitHub, Hacker News, Change Monitor, Bluesky | 检测极限和监控充分性 |
## 工具参数
### `detect_spiking_anomalies`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `target` | string | 是 | — | 要分析的域名、IP 或关键词 |
| `simulation_time` | number | 否 | 500 | LIF 模拟持续时间,单位 ms (100–2000) |
| `sp_threshold` | number | 否 | 1.0 | 神经元脉冲阈值 theta (0.5–2.0);越低 = 越敏感 |
| `max_results` | number | 否 | 20 | 每个数据源的最大结果数 (5–50) |
### `attribute_threat_campaign`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `campaign_keywords` | string[] | 是 | — | 1–10 个标识活动的关键词 |
| `tau_plus` | number | 否 | 20 | STDP 增强时间常数,单位 ms (5–100) |
| `tau_minus` | number | 否 | 20 | STDP 抑制时间常数,单位 ms (5–100) |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### `analyze_attack_graph`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `target_domain` | string | 是 | — | 为其构建攻击图的域名 |
| `max_derivation_depth` | number | 否 | 10 | 文法推导深度 (3–20) |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### `simulate_vulnerability_propagation`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `target` | string | 是 | — | 用于漏洞上下文的域名或技术 |
| `network_size` | number | 否 | 500 | 模拟网络节点数 (50–2000) |
| `infection_rate` | number | 否 | 0.1 | 每次接触的感染概率 (0.01–0.5);由 CVE 严重性校准 |
| `recovery_rate` | number | 否 | 0.05 | 每个时间步的恢复概率 (0.01–0.5) |
| `initial_infected` | number | 否 | 5 | 初始感染节点数 (1–50) |
| `time_steps` | number | 否 | 200 | 模拟时间步 (50–500) |
### `evolve_detection_network`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `threat_domain` | string | 是 | — | 为其进化检测器的威胁域 |
| `population_size` | number | 否 | 100 | NEAT 种群大小 (20–200) |
| `generations` | number | 否 | 50 | 进化代数 (10–100) |
| `target_accuracy` | number | 否 | 0.85 | 目标检测准确率 (0.6–0.99) |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### `compute_attack_surface`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `target_domain` | string | 是 | — | 用于 Morse 理论攻击面分析的域名 |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### `assess_threat_actor_dynamics`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `threat_context` | string | 是 | — | 上下文字符串(例如 "financial sector", "healthcare") |
| `time_steps` | number | 否 | 500 | 复制子动力学时间步 (100–2000) |
| `mutation_rate` | number | 否 | 0.01 | 策略突变率 (0.001–0.1) |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### `forecast_exploit_emergence`
| 参数 | 类型 | 必需 | 默认值 | 描述 |
|---|---|---|---|---|
| `threat_domain` | string | 是 | — | 用于检测极限预测的威胁域 |
| `monitoring_budget` | number | 否 | 100 | 监控样本大小 / 传感器计数 (10–10000) |
| `baseline_variance` | number | 否 | 1.0 | 基线噪声方差 (0.01–10) |
| `max_results` | number | 否 | 15 | 每个源的最大结果数 (5–30) |
### 配置技巧
- **在嘈杂环境中降低 `spike_threshold`** —— 0.7 增加敏感度;对于知名域名,提高到 1.3 以减少误报
- **设置 `tau_plus` = `tau_minus`** 以获得对称的 STDP 学习;如果您想更重地加权因果序列,请设置 `tau_plus` > `tau_minus`
- **仅在需要详尽的攻击路径枚举时将 `max_derivation_depth` 设置为 15+**;对于大多数评估,深度 5–8 就足够了且运行更快
- **在 `forecast_exploit_emergence` 中增加 `monitoring_budget`** 以匹配您的实际传感器计数,从而获得校准的 Le Cam 缺陷估计
- **使用具体的 `threat_context` 字符串**,如 "CVE-2024-4577" 或 "Log4Shell remote code execution",而不是模糊的术语 —— 上游 Actor 按相关性对结果进行排名
## 输出示例
针对目标 `coldfusion.apache.org` 的 `detect_spiking_anomalies` 输出:
```
{
"target": "coldfusion.apache.org",
"parameters": {
"simulation_time": 500,
"spike_threshold": 1.0
},
"network": {
"neurons": [
{ "id": "N_cve", "spikeCount": 47, "firingRate": 0.094, "meanMembrane": 0.8312 },
{ "id": "N_kev", "spikeCount": 31, "firingRate": 0.062, "meanMembrane": 0.6741 },
{ "id": "N_host", "spikeCount": 12, "firingRate": 0.024, "meanMembrane": 0.3108 },
{ "id": "N_dns", "spikeCount": 8, "firingRate": 0.016, "meanMembrane": 0.2894 },
{ "id": "N_ssl", "spikeCount": 15, "firingRate": 0.030, "meanMembrane": 0.3520 },
{ "id": "N_tech", "spikeCount": 22, "firingRate": 0.044, "meanMembrane": 0.5017 }
],
"totalSpikes": 135,
"networkActivity": 0.7842,
"synchronyIndex": 0.6391,
"filippovSwitchingCount": 14
},
"anomalies": [
{ "neuronId": "N_cve", "score": 0.9312, "type": "burst", "timestamp": 1742553600000 },
{ "neuronId": "N_kev", "score": 0.8741, "type": "synchrony", "timestamp": 1742553602441 },
{ "neuronId": "N_tech", "score": 0.7203, "type": "rate_elevation", "timestamp": 1742553605882 },
{ "neuronId": "N_ssl", "score": 0.6891, "type": "burst", "timestamp": 1742553608103 }
],
"burstEvents": [
{ "time": 82, "neuronCount": 4, "severity": 0.8841 },
{ "time": 241, "neuronCount": 3, "severity": 0.7120 },
{ "time": 388, "neuronCount": 5, "severity": 0.9203 }
],
"synapses": [
{ "pre": "N_cve", "post": "N_kev", "weight": 0.3841, "potentiated": true },
{ "pre": "N_kev", "post": "N_tech", "weight": 0.2917, "potentiated": true }
],
"interpretation": "CRITICAL: 4 anomalous neurons detected. Network synchrony 0.6391 indicates correlated threat activity. 3 burst events observed. 14 Filippov switching events at threshold boundaries.",
"dataSources": {
"cve": 20,
"kev": 14,
"hosts": 18,
"dns": 7,
"ssl": 11,
"tech": 15
}
}
```
## 输出字段
每个工具响应都包含一个 `interpretation` 字符串(通俗语言结论)、一个 `dataSources` 对象(每个源的记录计数)以及下面列出的特定工具字段。
| 字段 | 工具 | 类型 | 描述 |
|---|---|---|---|
| `network.neurons[].spikeCount` | spiking | number | 模拟期间每个神经元的总脉冲数 |
| `network.synchronyIndex` | spiking | number | 成对神经元同步度 0–1 |
| `network.filippovSwitchingCount` | spiking | number | 阈值边界穿越事件 |
| `anomalies[].score` | spiking | number | 异常分数 0–1 |
| `anomalies[].type` | spiking | string | burst / synchrony / rate_elevation |
| `burstEvents[].severity` | spiking | number | 脉冲事件严重性 0–1 |
| `stdpResults.spectralRadius` | attribution | number | 最大权重矩阵特征值 |
| `stdpResults.tracyWidomEdge` | attribution | number | 随机矩阵噪声边界 |
| `stdpResults.learningConverged` | attribution | boolean | STDP 权重是否稳定 |
| `hebbianAssemblies[].coherence` | attribution | number | 威胁集群的时间一致性 0–1 |
| `attackGraph.compromisedAssets` | attack graph | number | 可通过文法推导到达的资产 |
| `attackGraph.attackPaths[].probability` | attack graph | number | 路径遍历概率 |
| `attackGraph.criticalNodes[].centrality` | attack graph | number | 中介中心性分数 |
| `epidemiology.basicReproductionNumber` | propagation | number | R0 —— 每个病例的继发感染数 |
| `epidemiology.epidemicThreshold` | propagation | boolean | R0 是否超过临界阈值 |
| `hubInfectionOrder[].infectedAt` | propagation | number | Hub 节点被感染的时间步 |
| `performance.detectionAccuracy` | NEAT | number | 进化网络的检测准确率 |
| `performance.falsePositiveRate` | NEAT | number | 最佳进化基因组的 FPR |
| `bestNetwork.hiddenNodes` | NEAT | number | 最佳拓扑中的隐藏节点 |
| `morseComplex.criticalCells` | attack surface | number | 未配对(不可约)单元计数 |
| `morseComplex.eulerCharacteristic` | attack surface | number | 拓扑不变量 χ |
| `morseComplex.bettiNumbers` | attack surface | number[] | Betti 数 [β0, β1, β2] |
| `ecosystem.strategies[].isESS` | dynamics | boolean | 策略的进化稳定性 |
| `ecosystem.lyapunovExponent` | dynamics | number | 正 = 混沌,负 = 稳定 |
| `ecosystem.dominantStrategy` | dynamics | string | 具有最高均衡份额的策略 |
| `detectionTheory.deficiency` | forecast | number | Le Cam 缺陷 0(无损失)到 1(完全损失) |
| `detectionTheory.detectionLimit` | forecast | number | 最小可检测漏洞严重性 |
| `detectionTheory.sampleComplexity` | forecast | number | 达到 80% 检测功效所需的样本 |
| `rocCurve` | forecast | array | 假阳性率 vs. 真阳性率对 |
## 运行神经形态威胁分析需要多少成本?
此 MCP Server 使用**按次付费定价** —— 您支付**每次工具调用 $0.04**。每次调用并行编排 4–7 个上游 Actor 运行;平台计算成本包含在每次调用的价格中。
| 场景 | 工具调用 | 单次调用成本 | 总成本 |
|---|---|---|---|
| 单次调查 | 1 | $0.04 | $0.04 |
| 域名审计(全部 8 个工具) | 8 | $0.04 | $0.32 |
| 每日威胁扫描(10 个目标) | 10 | $0.04 | $0.40 |
| 每周 SOC 工作流(50 次查询) | 50 | $0.04 | $2.00 |
| 持续监控(500 次/月) | 500 | $0.04 | $20.00 |
Apify 免费计划包含**每月 $5 的额度** —— 足够进行 125 次工具调用,无需订阅。
您可以为每次运行设置**最高消费限额**以控制成本。当达到预算时,Actor 会停止并返回清晰的错误消息,而不是静默截断结果。
相比之下,商业威胁情报平台的多源关联收费为 $300–1,500/月,且算法输出要少得多。此 MCP Server 的大多数用户每月花费 $2–20 即可获得更丰富、更定量的分析。
## Neuromorphic Threat Intelligence MCP Server 的工作原理
### 阶段 1 —— 并行数据收集
每次工具调用识别其所需的数据源(4–7 个,取决于工具),并使用 `Promise.all` 通过 `runActorsParallel` 同时调度所有 Actor 调用。每个上游调用有 180 秒超时和 256 MB 内存分配。如果上游 Actor 失败或未返回数据集,客户端会记录警告并返回空数组 —— 算法仍在收集到的任何数据上运行。
### 阶段 2 —— 严重性归一化和指标组装
来自异构源的原始结果被归一化为统一的 `ThreatIndicator` 格式。严重性从存在的任何字段中提取:`cvssScore`(除以 10)、严重性字符串枚举(`critical`→0.95, `high`→0.80, `medium`→0.50, `low`→0.20)、数字 `score` 或源类型默认值(`kev`→0.85,因为 CISA KEV 条目根据定义是被积极利用的)。时间戳按优先级顺序从 `publishedDate`、`dateAdded`、`timestamp`、`date`、`createdAt` 或 `created` 字段解析。
### 阶段 3 —— 算法执行
组装的指标被传递给 `scoring.ts` 中选定的算法。确定性种子 PRNG(从指标 ID 的哈希初始化的 `mulberry32`)确保相同输入数据的可重现结果。关键实现细节:
- **LIF 模拟** 以 `dt=1.0` ms 步长运行指定的 `simulation_time`。全连接突触,随机初始权重 0.1–0.4,轴突延迟 1–5 步。Filippov 切换检测使用阈值周围 0.05 的边界容差。
- **STDP 权重矩阵** 由 500 分钟窗口内的时间脉冲对构建。Tracy-Widom 边缘计算为 `2 * sqrt(n)`,其中 n 是神经元计数,与 GUE 随机矩阵最大特征值的标准结果相匹配。
- **超图文法** 使用从资产类型种子的上下文无关产生式规则。Floyd-Warshall 以 O(n³) 计算所有对可达性。中介中心性通过计算每个节点在最短路径中出现的频率来近似。
- **接触过程** 使用 Barabasi-Albert 偏好依附生成网络,然后运行离散时间 SIS 动力学,感染率由来自真实 N 数据的平均 CVE 严重性校准。
- **NEAT** 将 6 特征输入向量(严重性、cve/kev/sanction 的类型标志、指标年龄、元数据丰富度)朝向二元的威胁/噪声分类输出进化。物种形成使用兼容性阈值,不相交基因权重贡献为 1.0,权重差异为 0.4。
- **离散 Morse** 为每个单元分配 Morse 函数值,并通过配对相邻维度的单元来计算离散梯度矢量场。未配对的单元变为临界单元并计入攻击面。
- **种群博弈** 从实时数据中提取的制裁密度和漏洞密度信号校准支付矩阵条目。复制子方程在每个时间步使用 Euler 方法积分,并注入突变。
- **Le Cam 缺陷** 计算两个实验的似然比分布之间的全变差距离,然后从高斯近似推导功效函数、Minimax 风险和样本复杂度。
### 阶段 4 —— 解释和结构化输出
每个算法都产生原始数值字段和通俗语言的 `interpretation` 字符串。解释使用基于阈值的分类(例如,异常计数 > 3 → CRITICAL,> 0 → ELEVATED,0 → NORMAL),为 AI Agent 提供其可以采取行动的清晰信号,而无需它解释数学。
## 获得最佳结果的技巧
1. **使用具体目标而非宽泛关键词。** 使用目标 `"CVE-2024-4577"` 的 `detect_spiking_anomalies` 会检索高度相关的 CVE 和 KEV 条目。像 `"web"` 这样的宽泛关键词将返回稀释严重性信号的通用结果。
2. **对高价值目标运行完整的 8 工具套件。** 每个工具照亮不同的维度。`detect_spiking_anomalies` 捕获相关的多源异常;`analyze_attack_graph` 映射基础设施;`compute_attack_surface` 量化不可约暴露。它们共同提供完整的图景。
3. **降低 `spike_threshold` 以进行早期预警。** 默认值 1.0 针对通用用途进行了校准。对于关键基础设施的持续监控,0.7–0.8 会以更多误报为代价捕获较弱的信号。
4. **将 `evolve_detection_network` 与特定威胁域结合使用。** NEAT 算法在从您的查询中提取的指标数据上进行训练。使用精确的域字符串如 `"ransomware healthcare"` 而不是 `"malware"` 来获得专门针对您上下文的检测器。
5. **在扩展监控之前使用 `forecast_exploit_emergence`。** Le Cam 缺陷输出定量地告诉您加倍传感器数量是否以及能在多大程度上改善检测。使用 `sampleComplexity` 字段来证明监控预算请求的合理性。
6. **结合 `anomalies` 计数解释 `synchronyIndex`。** 高同步指数(>0.6)且零异常表明边界活动,其中源相关但尚未跨越各个阈值 —— 值得关注的领先指标。
7. **每季度使用 `assess_threat_actor_dynamics`。** 进化博弈输出反映了查询时真实制裁活动和漏洞数据的平衡。每季度运行它可以跟踪哪些威胁行为者策略在您的行业中占据优势的转变。
8. **为自动化工作流设置消费限额。** 如果您在循环的 Claude Agent 中运行此 MCP Server,请添加每次运行的预算限额,以防止意外递归导致的失控成本。
## 与其他 Apify Actor 结合
| Actor | 如何结合 |
|---|---|
| [Website Contact Scraper](https://apify.com/ryanclinton/website-contact-scraper) | 用人类联系数据丰富攻击图节点 —— 将来自 `analyze_attack_graph` 的基础设施暴露与负责的披露联系人配对 |
| [Website Tech Stack Detector](https://apify.com/ryanclinton/website-tech-stack-detector) | 预先运行技术栈检测以构建更丰富的技术清单,然后再运行带有特定技术 CVE 的 `simulate_vulnerability_propagation` |
| [WHOIS Domain Lookup](https://apify.com/ryanclinton/whois-domain-lookup) | 在将每个域名通过 `detect_spiking_anomalies` 进行组织范围威胁扫描之前,对域名组合进行批量 WHOIS 查询 |
| [Website Change Monitor](https://apify.com/ryanclinton/website-change-monitor) | 将变更事件作为输入提供给 `detect_spiking_anomalies` —— 篡改、重定向注入或新脚本标签是高严重性指标 |
| [Company Deep Research](https://apify.com/ryanclinton/company-deep-research) | 将公司情报叠加在威胁行为者动力学上 —— 对行业使用 `assess_threat_actor_dynamics`,然后与特定公司的暴露进行交叉引用 |
| [B2B Lead Qualifier](https://apify.com/ryanclinton/b2b-lead-qualifier) | 对于 MSSP 销售团队:通过首先在其域名上运行 `compute_attack_surface` 以在接触前量化其暴露来筛选潜在客户 |
| [Trustpilot Review Analyzer](https://apify.com/ryanclinton/trustpilot-review-analyzer) | 将公共声誉信号与品牌攻击和网络攻击共发的行业中的威胁行为者动力学相关联 |
## 限制
- **仅被动数据** —— 所有来源均公开可用。服务器不向目标基础设施发送探测、数据包或主动扫描请求。覆盖范围限于公开索引的内容。
- **上游 Actor 可用性** —— 如果 NVD、Censys 或其他上游源暂时不可用或未返回结果,则省略该源的指标。算法在收集到的任何数据上运行;输入不完整时结果可能不太精确。
- **LIF 对阈值参数的敏感性** —— 默认脉冲阈值 1.0 是一个起点。具有固有高 CVE 计数的域(例如 Linux 内核)无论威胁状态如何都会产生更多神经元放电;对于知名的高容量目标,请向上调整阈值。
- **STDP 并不意味着因果关系** —— 威胁源之间的时间相关性是一种信号,而不是协同活动的证明。Tracy-Widom 边缘显著减少误报,但无法消除它们。
- **Barabasi-Albert 是一种近似** —— 真实的基础设施拓扑与偏好依附模型不同。接触过程模拟给出方向正确的 R0 估计,但不是特定网络的精确感染计数。
- **NEAT 准确性取决于训练数据量** —— 如果威胁指标少于 10 个,NEAT 适应度评估会有噪声,进化的网络可能无法泛化。使用 20+ 的 `max_results` 进行有意义的神经进化。
- **离散 Morse 攻击面使用采样连接** —— 当不能直接从源数据推断时,基础设施单元之间的边缘以 35% 的概率采样。结果是真实拓扑的近似。
- **种群博弈 ESS 在一般情况下是 coNP 完全的** —— 该实现使用复制子动力学收敛计算近似 ESS;可能存在未被检测到的纯 Nash 均衡。
- **调用之间无持久状态** —— 每次工具调用都从新开始。没有对先前分析的记忆;如果您需要跟踪随时间的变化,请构建您自己的关联层。
- **上游 Actor 的速率限制** —— 同时针对同一目标运行所有 8 个工具将触发 40+ 个上游 Actor 调用。将高容量工作负载分散到不同时间,或联系 Apify 获取企业配额。
## 集成
- [Zapier](https://apify.com/integrations/zapier) —— 按计划触发 `detect_spiking_anomalies` 并将 CRITICAL 结果推送到 Slack 频道或 PagerDuty 事件
- [Make](https://apify.com/integrations/make) —— 构建多步场景,在 Google Sheet 的新域名上运行 `analyze_attack_graph` 并将结果写回第二个表格
- [Google Sheets](https://apify.com/integrations/google-sheets) —— 将来自 `attribute_threat_campaign` 的活动归因结果导出到电子表格以进行手动审查和标记
- [Apify API](https://docs.apify.com/api/v2) —— 通过 HTTP POST 到 `/mcp` 直接从 SIEM 或 SOAR 工作流调用 MCP Server 端点
- [Webhooks](https://docs.apify.com/platform/integrations/webhooks) —— 当运行超过消费阈值时触发 Webhook,将警报路由到您的事件管理工具
- [LangChain / LlamaIndex](https://docs.apify.com/platform/integrations) —— 在 LangChain Agent 中将此 MCP Server 注册为工具提供者,用于自主威胁调查工作流
## 故障排除
**尽管是已知易受攻击的目标,但结果为空或很少** —— 大多数工具每个源最多获取 `max_results` 项,默认为 15–20。如果 NVD 对查询字符串返回很少的 CVE,请尝试更具体的 CVE 标识符或技术名称(例如 `"Apache Log4j"` 而不是 `"java"`)。还要检查您的 Apify Token 是否有足够的额度 —— 上游 Actor 达到预算限制将静默返回空数组。
**对于已知的高风险域名,`interpretation` 显示 NORMAL** —— 对于有许多 CVE 的域名,LIF 脉冲阈值可能太高。将 `spike_threshold` 降低到 0.7 并重新运行。或者,使用带有特定 CVE 关键词的 `attribute_threat_campaign` 检查问题是在数据检索还是在异常检测阈值中。
**STDP 谱半径始终低于 Tracy-Widom 边缘** —— 当威胁指标稀疏或在数月内时间分散时,这是预期的结果。Tracy-Widom 边缘随神经元数量缩放。当不同的指标类型少于 4 个时,测试的统计功效较低。增加 `max_results` 以收集更多时间数据点。
**NEAT 进化未达到 `target_accuracy`** —— 准确率是针对从实时数据中提取的严重性标记训练模式计算的。如果数据严重不平衡(全高严重性或全低严重性),分类器可能没有足够的负例进行良好训练。使用更具体的 `threat_domain` 字符串以获得平衡的组合,或将 `target_accuracy` 降低到 0.75。
**接触过程模拟显示良性域名的流行病** —— 感染率由与查询匹配的 CVE 的平均 CVSS 分数校准。匹配许多关键 CVE 的查询将使校准后的速率提高到流行病阈值以上,即使对于安全的目标也是如此。使用反映您实际目标技术和版本的更具体的查询。
**运行超时错误** —— 每个工具调用对每个上游 Actor 有 180 秒的预算。当 6–7 个 Actor 并行运行时,实际时间受最慢的单个 Actor 限制。如果发生超时,请将 `max_results` 减少到 10 并重试。持续超时可能表明上游服务降级。
## 负责任的使用
- 此 MCP Server 仅访问来自漏洞数据库、证书透明度日志、DNS 记录、互联网扫描数据和公共社交平台的公开可用数据。
- 请勿使用此服务器对您未被授权评估的系统进行侦察。
- 尊重上游数据源的服务条款,包括 NVD、CISA、Censys 和 GitHub。
- 攻击图和漏洞传播输出仅用于防御分析。请勿使用它们来计划未经授权的访问。
- 有关网页抓取和数据访问合法性的指导,请参阅 [Apify 指南](https://blog.apify.com/is-web-scraping-legal/)。
## 常见问题解答
**神经形态威胁情报在实践中意味着什么?**
传统威胁情报工具应用基于规则的关联:如果 CVE 分数 > 7 且主机面向互联网,则警报。神经形态方法将威胁源映射到神经元,使用脉冲动力学来检测规则遗漏的相关活动,并应用受生物学启发的学习(STDP)来发现时间因果模式。输出是定量的 —— 同步指数、谱半径、Euler 示性数 —— 而不仅仅是二元标志。
**这与 SIEM 或 Recorded Future、Mandiant 等威胁情报平台有何不同?**
Recorded Future 或 Mandiant Advantage 等商业平台专注于精选的分析师报告、指标丰富和与票据系统的集成。此 MCP Server 将数学框架应用于开源数据并返回原始定量输出。它是 AI Agent 的推理层,而不是仪表板。两者是互补的:使用此服务器进行算法分析,将结果输入您现有的 SIEM 进行案例管理。
**每次工具调用查询多少个数据源?**
4 到 7 个,取决于工具。`analyze_attack_graph` 和 `compute_attack_surface` 查询 6–7 个源。`simulate_vulnerability_propagation` 查询 4 个。所有调用都是并行的,因此实际时间受最慢的单个源限制。
**这是主动扫描还是被动情报收集?**
完全被动。服务器查询公开可用的漏洞数据库、证书透明度日志、DNS 记录、已发布的互联网扫描数据(Censys)和公共社交/代码平台。不会向目标基础设施发送任何数据包。
**STDP 活动归因有多准确?**
准确性取决于数据量和时间跨度。Tracy-Widom 边缘测试是来自随机矩阵理论的严格统计测试:谱半径高于边缘意味着相关结构在统计上不太可能是随机的,其显著性水平源自 GUE 分布。它不是归因概率 —— 它是时间结构的证据。
**我可以安排此 MCP Server 运行自动化威胁扫描吗?**
可以。您可以通过任何 HTTP 客户端按计划以编程方式调用 MCP 端点。使用 Apify 内置的调度来触发 Actor 运行,进而调用 MCP Server,或通过 cron 作业或工作流工具中的 Apify API 进行集成。
**`assess_threat_actor_dynamics` 中建模了哪些威胁行为者策略?**
五种策略:国家级 APT、网络犯罪、黑客行动主义、内部威胁和供应链。支付矩阵条目根据 `threat_context` 查询返回的 OFAC/OpenSanctions 条目数量和 CVE/KEV 密度校准,因此相同的策略会针对不同的行业上下文重新加权。
**Le Cam 缺陷数字对我的监控意味着什么?**
接近 0 的缺陷意味着您当前的监控几乎与增强的监控配置(双倍预算)一样提供信息。接近 1 的缺陷意味着您几乎丢失了所有检测信息。`sampleComplexity` 字段给出了 80% 统计功效所需的具体样本计数 —— 一个您可以直接用于预算理由的数字。
**我可以将其与支持 MCP 的本地 AI 助手一起使用吗?**
可以。任何兼容 MCP 的客户端都可以连接。将服务器 URL 和您的 Bearer Token 添加到您客户端的 MCP 配置中。端点使用 `/mcp` 上的标准可流式 HTTP MCP 传输。
**典型的工具调用需要多长时间?**
30 到 120 秒之间,具体取决于需要多少上游 Actor 及其当前的响应时间。查询 6–7 个源的工具比查询 4 个的工具花费更长的时间。将您的 MCP 客户端超时设置为至少 180 秒。
**使用此服务器分析我不拥有的域名合法吗?**
服务器仅使用公开可用的数据 —— 任何人都可以通过 NVD、Censys、DNS 查找或 CISA KEV 网站访问的相同数据。分析关于域名的公开漏洞和证书数据没有法律限制。有关您所在司法管辖区和用例的具体法律建议,请咨询律师。
**当上游 Actor 未返回结果时会发生什么?**
客户端记录警告并为该源返回空数组。算法在剩余的指标上运行。结果可能不太精确,但工具不会失败 —— 您将在输出中看到 `dataSources.{source}: 0`,这告诉您缺口。
## 帮助我们改进
如果您遇到问题,可以通过在 Apify 帐户中启用运行共享来帮助我们更快地调试:
1. 转到 [Account Settings > Privacy](https://console.apify.com/account/privacy)
2. 启用 **Share runs with public Actor creators**
这让我们在出现问题时可以看到您的运行详情,以便我们更快地修复问题。您的数据仅对 Actor 开发者可见,不公开。
## 支持
发现错误或有功能请求?在此 Actor 页面的 [Issues 选项卡](https://console.apify.com/actors/neuromorphic-threat-intelligence-mcp/issues)中提出问题。对于自定义解决方案或企业集成,请通过 Apify 平台联系。
标签:AI 智能体, CISA KEV, Claude Desktop, Cursor, CVE 数据库, HTTP/HTTPS抓包, IP 地理定位, Le Cam 亏量, MCP 服务器, Morse 理论, Python脚本, SSL 证书, STDP 可塑性, WHOIS 查询, Windsurf, 互联网扫描, 代码仓库, 制裁名单, 可视化仪表盘, 多源数据融合, 威胁情报, 实时处理, 密码管理, 开发者工具, 态势感知, 插件系统, 数学模型, 数据统计, 服务指纹, 流行病传播模型, 深度学习, 社会信号, 神经形态计算, 神经进化, 端口扫描, 统计分析, 网络安全, 脑启发计算, 超图攻击语法, 进化博弈, 隐私保护, 集成与发射模型, 风险量化