Shreyas582/WraithRun

# Wraith 运行 WraithRun 是一个面向防御者的实时优先事件分诊 CLI。 使用您自己的 ONNX 模型在本地运行调查，保持证据的可审计性，并在实时推理失败时通过确定性回退避免工作流停滞。 ## 为什么选择 WraithRun 进行实时分诊 - 实用的实时分诊：自带模型和分词器，在您的基础设施上运行。 - 运行可靠性：预检、诊断程序以及 `dry-run-on-error` 回退机制。 - 自动化就绪的输出：结构化 JSON、发现适配器、证据包以及校验和验证。 - 开箱即用的有效主机覆盖：日志、监听器、文件哈希、权限指示器、持久性漂移、账户漂移以及进程网络风险。 ## 适用对象 / 不适用对象 适用对象： - 需要通过可审计输出进行快速主机级分诊的事件响应和 SOC 团队。 - 需要本地执行和数据控制的安全工程团队。 - 正在将分诊结果集成到 SIEM/SOAR 或 CI 工作流的团队。 不适用对象： - 期望在没有分析师监督下进行自主修复的团队。 - 无法为实时模式提供本地模型/分词器的环境。 - 专注于广泛互联网扫描而非以主机为中心的调查工作流。 ## 实时模式快速入门（推荐） 这些步骤是评估实际操作价值的最快途径。 ### 1. 安装 从 [Releases](https://github.com/Shreyas582/WraithRun/releases) 下载发布二进制文件。 - Windows: `.msi` 或 `.zip` - Linux: `.deb`、`.rpm` 或 `.tar.gz` - macOS: `.pkg` 或 `.tar.gz` 如果您从源码运行 (Rust stable)： ``` git clone https://github.com/Shreyas582/WraithRun.git cd WraithRun ``` ### 2. 验证实时就绪状态 ``` wraithrun --doctor --live --model C:/models/llm.onnx --tokenizer C:/models/tokenizer.json --introspection-format json ``` 针对常见设置问题的可选修复方案： ``` wraithrun --doctor --live --fix --model C:/models/llm.onnx --introspection-format json ``` ### 3. 运行您的首次实时调查 ``` wraithrun --task "Investigate unauthorized SSH keys" --live --model C:/models/llm.onnx --tokenizer C:/models/tokenizer.json --live-fallback-policy dry-run-on-error --automation-adapter findings-v1 ``` ### 4. 导出并验证证据 ``` wraithrun --task "Investigate unauthorized SSH keys" --case-id CASE-2026-IR-0042 --live --model C:/models/llm.onnx --tokenizer C:/models/tokenizer.json --evidence-bundle-dir .\evidence\CASE-2026-IR-0042 wraithrun --verify-bundle .\evidence\CASE-2026-IR-0042 --introspection-format json ``` 如果您从源码运行，请将 `wraithrun ...` 替换为： ``` cargo run -p wraithrun -- ... ``` 对于源码构建中的实时推理支持，请启用该功能： ``` cargo run -p wraithrun --features inference_bridge/vitis -- --task "Investigate unauthorized SSH keys" --live --model C:/models/llm.onnx --tokenizer C:/models/tokenizer.json ``` ## 您将获得什么 每次运行都会发出对分析师和自动化有用的结构化输出： - `findings`：具有严重性评分和证据指针的可操作观察结果。 - `live_fallback_decision`：触发回退时的机器可读原因代码。 - `run_timing` 和 `live_run_metrics`：用于运维的延迟和可靠性遥测数据。 - `case_id` 和证据包构件，用于案例追踪和可审计性。 ## 常用操作命令 ``` wraithrun --list-tools wraithrun --task-template listener-risk --format summary wraithrun models list --introspection-format json wraithrun models validate --introspection-format json wraithrun models benchmark --introspection-format json wraithrun --list-profiles ``` 需要先走纯离线路径？使用 dry-run 模式： ``` wraithrun --task "Check suspicious listener ports and summarize risk" --dry-run --format summary ``` ## 高级功能 - 运行时路径中的实时预检验证，可在缺少模型或分词器资产时快速失败。 - 具有 `--live-fallback-policy` 和机器可读回退原因代码的确定性回退控制。 - 模型包生命周期操作：发现、验证和对候选实时包进行基准测试。 - 证据处理：具有包导出、确定性存档创建和校验和验证功能。 - 具有 `findings-v1` 适配器输出和严重性阈值退出策略的自动化契约。 - 针对持久性、账户更改和进程网络风险评分的基线感知漂移工作流。 - 有效配置内省 (`--print-effective-config` 和 `--explain-effective-config`)。 ## 文档导航 - 托管文档：https://wraithrun.readthedocs.io/en/latest/ - 入门指南：[docs/getting-started.md](docs/getting-started.md) - 实时模式操作：[docs/live-mode-operations.md](docs/live-mode-operations.md) - CLI 参考：[docs/cli-reference.md](docs/cli-reference.md) - 工具参考：[docs/tool-reference.md](docs/tool-reference.md) - 使用示例：[docs/USAGE_EXAMPLES.md](docs/USAGE_EXAMPLES.md) - 自动化契约和模式：[docs/automation-contracts.md](docs/automation-contracts.md) - 故障排除：[docs/troubleshooting.md](docs/troubleshooting.md) - 安全沙箱控制：[docs/security-sandbox.md](docs/security-sandbox.md) ## 项目状态 处于早期阶段，但针对受控防御工作流具备生产级别的考量。 正在进行中： - KV-cache 和流式解码支持 - 更广泛的端到端测试覆盖 - 针对已发布二进制文件/安装程序的代码签名和平台信任强化 ## 负责任的使用 仅在您拥有或获得明确授权评估的系统与网络上使用。 ## 贡献与治理 - 贡献指南：[CONTRIBUTING.md](CONTRIBUTING.md) - 行为准则：[CODE_OF_CONDUCT.md](CODE_OF_CONDUCT.md) - 安全策略：[SECURITY.md](SECURITY.md) - 更新日志：[CHANGELOG.md](CHANGELOG.md) - 发布计划：[docs/RELEASE_PLAN.md](docs/RELEASE_PLAN.md) - CI/CD 详情：[docs/CI_CD.md](docs/CI_CD.md) ## 许可证 MIT。参见 [LICENSE](LICENSE)。

标签：Apex, CI/CD安全, CNCF毕业项目, Conpot, Llama, macOS安全, ONNX, Rust, SOAR, Windows安全, 主机取证, 事件分诊, 可审计性, 可视化界面, 子域名变形, 安全合规, 安全运营, 库, 应急响应, 扫描框架, 数据校验, 文档结构分析, 无线安全, 本地优先, 本地推理, 机器学习, 模型自带, 确定性回退, 端点安全, 网络代理, 网络安全, 网络安全审计, 网络流量审计, 网络调试, 自动化, 补丁管理, 通知系统, 隐私保护