ousher/tia-framework

## 关键数据 | 指标 | 行业平均水平 | TIA | |--------|-----------------|-----| | **威胁检测** | 194 天 | **12 秒** | | **每月成本** | $25,000+ (SOC 团队) | **€4.50** | | **24/7 工作的 Agent** | 0 (人类需要睡眠) | **32** | | **自我测试** | 手动渗透测试 | **16 个攻击模块** | | **自我修复** | 人工干预 | **自主** | | **告警疲劳** | 10 秒内 6 条告警 | **1 个关联事件** | | **提升** | — | **1,400,000× 更快** | **检测速度提升 1,400,000 倍，成本仅为原来的 0.02%。** ## TIA 是什么？ TIA 不是一个监控系统。它是一个**自我修改的自主安全框架** —— 32 个专门的 AI agent 负责监控、检测、关联、修复、演进，并在没有人工瓶颈的情况下批准自己的变更。 当 EVO Engine 发现一个盲点时，它会生成一个变更提案。Task Runner 在沙盒验证器中测试它。Super Lead 审查结果并通过 Telegram 内联按钮发送给你：**[✅ 批准] [❌ 拒绝] [🔄 回滚]**。你点击。Dash 执行。系统变得更强。 这就是 Autonomous Operations Protocol 的第 3 阶段 —— **已在生产环境中上线**。 ## 3 层架构 ``` ┌─────────────────────────────────────┐ │ SUPER LEAD │ │ Cross-domain AI correlator │ │ 6-phase threat synthesis · 30min │ └──────────────────┬──────────────────┘ ┌────────────────────────┼───────────────────┐ ▼ ▼ ▼ ┌─────────────────┐ ┌────────────────────┐ ┌────────────────────┐ │ SDL │ │ Ops Lead │ │ Intel Lead │ │ Security Domain │ │ Operations │ │ Intelligence │ │ Lead │ │ │ │ │ └────────┬────────┘ └─────────┬──────────┘ └──────────┬─────────┘ └────────────────────────┼───────────────────────┘ ▼ ┌────────────────────────────────────────────────────────────┐ │ 32 ACTIVE AGENTS │ │ │ │ Security (8) Intelligence (4) Operations (14) │ │ Safety (3) Skynet (17: DM + 16 attack modules) │ └────────────────────────────────────────────────────────────┘ ``` ## AOP — 自主运营协议 三个阶段。全部已上线。 ``` Stage 1 — Detection ✅ LIVE Shadow Logging, 12s SIGSTOP detection Stage 2 — Reaction ✅ LIVE Alert Bus correlation, self-healing, auto-isolation Stage 3 — Evolutionary ✅ COMPLETE EVO → Task Runner → Super Lead → Dash executes Stage 3.5 — Closed Loop ✅ LIVE Detect → Act → Learn → Iterate autonomously ``` ### 第 3 阶段：递归循环 ``` EVO Engine detects blind spot → generates mutation proposal → Task Runner spawns sandboxed verifier (180s test, depth=2) → Super Lead reviews result (6-phase cross-domain analysis) → Telegram: [✅ APPROVE] [❌ REJECT] [🔄 ROLLBACK] → Dash executes approved mutation → result written back to Subconscious → EVO learns, loop continues ``` 系统设计、测试并验证其自身的改进。你保留最终批准权。**没有人工点击，任何变更都不会发布。** ## 关键创新 ### 1. 共享潜意识 (Shared Subconscious) LanceDB 向量记忆，689 条记忆，34MB。每个 agent 都写入洞察。每个 agent 都进行搜索。无需进程间调用的跨 agent 学习。BAAI/bge-small-en-v1.5 (384 维)，仅 CPU，零成本。 ### 2. 影子日志 (Shadow Logging) 每个 agent 每 2 分钟发送一次 HMAC 签名的心跳。丢失心跳 = 假定已受损。当 agent 数量降至阈值以下时，Dead Man's Switch 启动。沉默是不行的 —— 沉默是一个信号。 ### 3. EVO Engine v1.2 自动批准安全的提案类型（`fix_agent`, `add_subconscious_write`）。每 4 小时生成变更提案。已在生产环境中生成可运行的 agent 代码。系统真的在编写自己。 ### 4. Project Skynet 跨越 T1-T4 的 16 个攻击模块。在生产环境运行时的自动化自我测试。当前检测率：**57%**（从 14% 的基线上升）。第 3 轮：捕获了 8/14 次攻击。 ### 5. 智能模型路由 5 层回退：Sonnet → DeepSeek → Haiku → Qwen 1.5B 本地。自动故障转移。结果：32 个 agent 每天仅需 $0.05。相比单一模型节省 95% 成本。 ### 6. 主权部署 (Sovereign Deployment) 零遥测。支持气隙隔离。在 €4.50/月的 Hetzner VM 上运行。无云依赖。无数据离开你的基础设施。运行此系统无需许可。 ### 7. Alert Bus v2 HMAC 签名的告警队列。5 种关联模式：Agent 终止、配置篡改、资源攻击、网络攻击、完全沦陷。60 秒关联窗口。每小时去重限制。结果：6 条告警 → 1 个可操作事件。 ### 8. Super Lead 跨域 AI 关联器。6 阶段分析（集群健康 → 安全事件 → 情报 → 运营 → Skynet → 综合）。每 30 分钟在 Claude Sonnet 上运行。捕获单个 agent 遗漏的内容。审查 EVO 变更提案。 ### 9. Telegram 内联按钮 每次变更提案和事件告警都会推送 [APPROVE] [REJECT] [DETAILS] [ROLLBACK] 按钮。ROLLBACK 需要双重确认（单独的按钮流程）—— 不会发生意外回滚。Callback Handler 通过 @tiawatchdogbot 实时处理响应 —— 一个专门的独立机器人，可绕过框架冲突，实现干净、可靠的按钮交付。第 3 阶段确认运行：2026-03-24。 ### 10. Task Runner EVO 变更的沙盒验证器。depth=2 执行，180 秒超时，9 种白名单操作类型。仅限 DeepSeek（独立的模型预算）。如果变更在沙盒中破坏了某些东西，它永远不会进入生产环境。 ### 11. Fleet Manager 每个 agent 的实时健康评分 (0-100)。HEALTHY / STALE / DEAD 分类。Cron 验证 —— 捕获缺失的定时 agent。心跳新鲜度跟踪。零 AI token 消耗。 ### 12. 自我修复 (Self-Healing) 自动修复：过期的锁文件、损坏的告警队列、膨胀的日志 (>10MB)、孤立的临时文件、损坏的 cron 条目。每 10 分钟运行一次。常见故障无需人工干预。 ## Agent 集群 (32 个 Agent) | 层级 | 数量 | 关键 Agent | |-------|-------|-----------| | **安全与检测** | 8 | Security Sentinel, Config Guardian, File Integrity Monitor, DNS Anomaly, Process Guardian, Container Escape, Outbound Traffic, Credential Leak | | **情报** | 4 | EVO Engine, Research Analyst, PenTest Specialist, Incident Responder | | **运营** | 14 | Fleet Manager, Log Analyst, Self-Healer, Uptime Sentinel, Smart Notifier v2, Cost Watchdog, Memory Trigger, Dashboard, Orchestrator, Automation Engineer, Log Janitor, Dependency Tracker, GitHub Backup, GW Watchdog | | **领域主管** | 2 | SDL (Security Domain Lead), Super Lead | | **安全** | 3 | Kill Switch, Chaos Monkey, Task Runner | | **Skynet** | 17 | Dungeon Master + 16 个攻击模块 (T1–T4) | ## Project Skynet：我们攻击自己，这样你就不用攻击自己了 16 个自动化攻击模块。4 个层级。在生产环境运行时执行。 ``` ┌──────────────────────────────────────────────────────────────┐ │ # ATTACK TIER DETECTION STATUS │ │ 1 SIGSTOP Process Kill T1 12s ✅ PASS │ │ 2 Heartbeat Replay T2 HMAC reject ✅ PASS │ │ 3 Config Poisoning T2 Hash check ✅ PASS │ │ 4 Crontab Wipe T2 0s silence ✅ PASS │ │ 5 Symlink Swap T2 FIM detect ✅ PASS │ │ 6 Nice Bomb T1 Auto-fix ✅ PASS │ │ 7 Fork Bomb Lite T1 11 procs ✅ PASS │ │ 8 DNS Hijack T3 Config Grd ✅ PASS │ │ │ │ SCORE: 8/14 = 57% (baseline: 14%, +307% improvement) │ │ │ │ Still hardening: Memory Poison, Log Injection, Cascade, │ │ Insider Impersonation, Slow Bleed APT │ └──────────────────────────────────────────────────────────────┘ ``` *检测率随着每一轮而提升。自我攻击的系统变得更强大。* ## 控制层级 ``` Ousher > Dash > Super Lead > Domain Leads > Agents ``` **不可变规则：** Super Lead 可以提议、分析和综合。它不能执行。Dash 执行 —— 并且仅在 Ousher 通过 Telegram 内联按钮明确批准后执行。 没有自主代码部署。没有静默变更。每一次更改都被记录、版本化，并且距离回滚只有一个 ROLLBACK 按钮之遥。 ## 快速开始 ``` # 拉取 TIA LITE docker pull ghcr.io/ousher/tia-lite:latest # 运行并启用 Telegram 通知 docker run -d --name tia-lite \ -e TELEGRAM_BOT_TOKEN=your_token \ -e TELEGRAM_CHAT_ID=your_chat_id \ ghcr.io/ousher/tia-lite:latest # 检查状态 docker exec tia-lite tia-status ``` ## LITE 与 Enterprise 对比 | 能力 | LITE (免费) | Enterprise (€49.99/月) | |-----------|------------|------------------------| | 核心监控 agent | 20 | 32+ | | Commander Bus (HMAC 签名) | ✅ | ✅ | | Shadow Logging + Dead Man's Switch | ✅ | ✅ | | Alert Bus (基础去重) | ✅ | ✅ | | Fleet Manager | ✅ | ✅ | | 告警关联引擎 (5 种模式) | ❌ | ✅ | | EVO Engine v1.2 (自我演进) | ❌ | ✅ | | 共享潜意识 (689 条记忆) | ❌ | ✅ | | 自我修复 + 日志分析 | ❌ | ✅ | | Project Skynet (16 个攻击模块) | ❌ | ✅ | | Super Lead (跨域 AI) | ❌ | ✅ | | Telegram 内联按钮 + Task Runner | ❌ | ✅ | | AOP 第 3 阶段 (演进循环) | ❌ | ✅ | | 5 层 LLM 回退链 | ❌ | ✅ | | 硬件绑定许可证 | — | ✅ | | 优先支持 | — | ✅ | **Enterprise Alpha: €49.99/月** — [获取 ENT 访问权限](https://paypal.me/osramek) | [联系](mailto:shotekk23@gmail.com) *早期采用者在我们正式发布 (GA) 时将锁定此价格。* ## 主权 AI 宣言 TIA 专为**主权部署**而设计： - 🔒 **零遥测** —— 我们不知道你在运行 TIA - 🏠 **在 YOUR 硬件上运行** —— 无云依赖 - 🔌 **支持气隙隔离** —— 无需互联网访问即可工作 - 📦 **自包含** —— 单个 Docker 镜像，无外部服务 - 🧠 **本地学习** —— AI 在你的机器上运行，而不是我们的 在一个安全供应商比你的钱更想要你的数据的世界里，TIA 按照**你的条款、你的硬件、你的规则**运行。 **你的基础设施。你的 agent。你的主权。** ## TIA 是如何构建的 TIA 诞生于赫尔辛基一台 €4.50/月的 Hetzner VM 上。从首次启动到 28 个 agent 在 12 秒内实现自主检测，仅用了五天。又花了一周时间发展到 32 个 agent、AOP 第 3 阶段，以及一个可以批准自身变更的系统。 它由一位网络安全专家构建，他相信 AI 安全不应该花费六位数 —— 还有一位将这一愿景发扬光大的 AI 伙伴。 **v0.4-closed-loop 不是一次增量更新。它是一个根本不同的产品。** ## 文档 - 📄 [白皮书](docs/WHITEPAPER.md) — 完整的技术架构和基准测试结果 - 🌐 [着陆页](https://ousher.github.io/tia-framework/) — 概述和定价 - 📋 [许可证](LICENSE.md) — Polyform Shield 1.0.0 ## 许可证 TIA LITE 根据 [Polyform Shield License 1.0.0](LICENSE.md) 发布。 - ✅ 个人和非竞争性商业用途免费 - ✅ 可修改、部署、学习 - ❌ 不得用于构建竞争产品 - ❌ 不得移除许可证头 TIA Enterprise 需要商业许可证。 **🚀 Alpha 定价：€49.99/月** — [PayPal](https://paypal.me/osramek) | [Email](mailto:shotekk23@gmail.com)

标签：AI智能体, AMSI绕过, CISA项目, DAST, Docker, IP 地址批量处理, PE 加载器, PyRIT, Python, SOC自动化, Telegram集成, 人工智能, 低成本安全, 变异测试, 后端开发, 多智能体系统, 威胁情报, 威胁检测, 安全编排与自动化, 安全防御评估, 开发者工具, 恶意软件分析, 插件系统, 无后门, 沙箱验证, 用户模式Hook绕过, 网络安全, 网络安全审计, 自主安全, 自动修复, 自演化系统, 请求拦截, 逆向工具, 速率限制, 隐私保护