iffystrayer/find-evil-agent

# 🔍 查找 Evil Agent **用于 SANS SIFT Workstation 的自主 AI 事件响应 Agent** [](https://www.python.org/downloads/) [](https://opensource.org/licenses/MIT) [](https://findevil.devpost.com) ## 🏆 黑客马拉松提交 - **活动**: [FIND EVIL! Hackathon](https://findevil.devpost.com) - **时间线**: 2026 年 4 月 15 日 - 6 月 15 日 - **奖金池**: $22,000 ## 🚀 核心差异化优势 与现有解决方案不同，Find Evil Agent 实现了 **多智能体 LangGraph 工作流**，并设有强制性工具置信度阈值以最大限度减少幻觉： | Agent | Purpose | Key Feature | |-------|---------|-------------| | **Orchestrator** | Workflow entry point | Workflow path selection | | **Tool Selector** | SIFT tool selection | Semantic search + confidence threshold (≥0.7) | | **Executor** | Safe tool execution | Path validation + subprocess sandbox | | **Analyzer** | Result interpretation | Anomaly detection + IOC matching | | **Reporter** | Report generation | Structured IOC + timeline | | **Memory** | Context management | LangGraph state persistence | ## 📁 架构 ``` find-evil-agent/ ├── src/find_evil_agent/ │ ├── agents/ # Multi-agent orchestration │ │ ├── orchestrator.py # Workflow entry │ │ ├── tool_selector.py # Semantic tool selection (CRITICAL) │ │ ├── executor.py # Safe subprocess execution │ │ ├── analyzer.py # Pattern detection │ │ ├── reporter.py # Report generation │ │ └── memory.py # State management │ ├── tools/ # SIFT tool integration │ │ ├── registry.py # Tool catalog │ │ ├── wrapper.py # Safe execution │ │ └── parser.py # Output parsing │ ├── mcp/ # Model Context Protocol │ │ ├── server.py # MCP server │ │ └── client.py # MCP client │ ├── graph/ # LangGraph workflow │ │ ├── workflow.py # Graph definition │ │ ├── state.py # Shared state │ │ ├── conditions.py # Routing logic │ │ └── checkpoint.py # Persistence │ ├── cli/ # Command-line interface │ ├── config/ # Configuration management │ └── telemetry/ # Observability ├── tests/ # Comprehensive test suite │ ├── unit/ │ ├── integration/ │ └── benchmark/ └── docs/ # Documentation ``` ## 🔧 快速开始 ### 前置条件 - Python 3.11+ - SANS SIFT Workstation (OVA ~15GB) - 兼容 MCP 的 LLM (OpenAI, Anthropic, 等) ### 安装 ``` # 克隆 repository git clone https://github.com/iffystrayer/find-evil-agent.git cd find-evil-agent # 创建 virtual environment python -m venv .venv source .venv/bin/activate # Linux/Mac # 或：.venv\Scripts\activate # Windows # 安装 dependencies pip install -e ".[dev]" # 配置 environment cp .env.example .env # 编辑 .env 并填入您的 API keys ``` ### 使用 ``` # 启动 interactive CLI find-evil # 分析特定 evidence find-evil analyze --evidence /mnt/evidence/disk.raw --memory-only # 启动 MCP server 以进行集成 find-evil mcp-server --port 8080 ``` ## 🛡️ 安全特性 | 威胁 | 缓解措施 | |--------|------------| | Shell Injection | NEVER use `shell=True`, pass args as list | | Path Traversal | Whitelist allowed directories before execution | | Evidence Corruption | Always work on copies, never originals | | Tool Hallucination | Confidence threshold + semantic validation | | Timeout Handling | Configurable timeouts with progress callbacks | ## 🧪 开发 ### 测试 ``` # 运行所有 tests pytest tests/ -q # 运行 with coverage pytest --cov=src/find_evil_agent --cov-report=html # 运行 benchmarks pytest tests/benchmark/ -v ``` ### Linting ``` black src/ tests/ ruff check src/ tests/ mypy src/find_evil_agent ``` ## 📊 路线图 - [x] 第 0 阶段：项目结构和依赖项 - [ ] 第 1 阶段：基础（预计 4 月 15 日集成初始代码） - [ ] 第 2 阶段：MCP 桥接和工具发现 - [ ] 第 3 阶段：Agent 实现 - [ ] 第 4 阶段：CLI 和工作流 - [ ] 第 5 阶段：测试和文档 - [ ] 第 6 阶段：演示视频准备 ## 📚 资源 - [Protocol SIFT](https://github.com/teamdfir/protocol-sift) - 参考实现 - [Valhuntir](https://github.com/AppliedIR/Valhuntir) - Valhalla 集成子项目 - [SIFT Workstation](https://sans.org/tools/sift-workstation) - SANS DFIR 工具 ## 📝 许可证 MIT License - 详情请参阅 [LICENSE](LICENSE)。 ## 🙏 致谢 - SANS Institute 提供的 SIFT Workstation 平台 - Sublte 提供的 FIND EVIL! 黑客马拉松机会 - 开源 DFIR 社区提供的工具文档 **⚠️ 重要提示**：本项目正处于为 FIND EVIL! 黑客马拉松进行的活跃开发中。预计将于 2026 年 4 月 15 日集成初始代码。

标签：DAST, DLL 劫持, IOC提取, LangGraph, PE 加载器, PyRIT, Python, SANS SIFT, 人工智能, 多智能体系统, 大语言模型, 安全智能体, 异常检测, 恶意软件分析, 搜索语句（dork）, 数字取证, 数据集, 无后门, 用户模式Hook绕过, 编排与自动化, 网络安全, 自动化脚本, 自动化运维, 逆向工具, 隐私保护, 黑客马拉松