wlmzz/ARGOS-SECURITY
GitHub: wlmzz/ARGOS-SECURITY
开源AI驱动网络安全平台,整合威胁检测、自动响应、渗透测试与威胁情报,让个人和中小企业无需企业级预算即可获得全面安全防护能力。
Stars: 0 | Forks: 0
# ARGOS — 开源 AI 安全平台
[](LICENSE)
[]()
[]()
[]()
[]()
[]()
ARGOS 是一个免费、开源、AI 驱动的网络安全平台,可以保护任何设备或基础设施——从单台笔记本电脑到复杂的服务器网络——无需企业级预算或云厂商锁定。
ARGOS 以希腊神话中的百眼巨人 Argos Panoptes 命名,他从不睡觉,注视着一切;ARGOS 监视一切,实时对威胁进行推理,并自主响应,让你无需操心。
## 目录
- [为什么选择 ARGOS](#why-argos)
- [功能特性](#features)
- [系统架构](#architecture)
- [Agent 架构](#agent-architecture)
- [部署模式](#deployment-modes)
- [硬件要求](#hardware-requirements)
- [安装说明](#installation)
- [运行 Agent](#running-the-agent)
- [配置说明](#configuration)
- [AI 引擎](#the-ai-engine)
- [威胁检测](#threat-detection)
- [自主响应](#autonomous-response)
- [实时防御](#realtime-defense)
- [蜜罐系统](#honeypot-system)
- [内置工具 (37)](#built-in-tools)
- [插件系统 (84 插件, 332 工具)](#plugin-system)
- [子智能体编排](#subagent-orchestration)
- [完整渗透测试流程](#complete-pentest-workflow)
- [仪表盘](#dashboard)
- [移动应用](#mobile-app)
- [社区情报](#community-intelligence)
- [开发路线图](#development-roadmap)
- [项目结构](#project-structure)
- [技术栈](#tech-stack)
- [贡献指南](#contributing)
- [许可证](#license)
- [宣言](#manifesto)
## 为什么选择 ARGOS
网络安全行业是破碎的。企业级保护——那种真正能有效抵御现代威胁的方案——每年花费数万欧元。CrowdStrike、Darktrace、Palo Alto Networks:这些工具确实优秀,但定价专供大型组织。
其他所有人——小企业、自由职业者、记者、活动家、非营利组织、个人——只能使用基础的反病毒软件,仅能匹配已知签名,而遗漏其他所有威胁。
ARGOS 的存在是为了永久消除这一差距。
- **永久免费。** 软件零成本。无订阅、无分级、无付费墙。
- **开源。** 每一行代码都公开。审计它、改进它、复刻它。
- **可自托管。** 无强制云服务。你的数据留在你的硬件上。
- **AI 驱动。** 推理,不仅仅是模式匹配。能检测签名无法识别的威胁。
- **跨平台。** 一个 Agent 在 Linux、macOS 和 Windows 上运行一致。
## 功能特性
### 检测
- 实时网络流量分析和异常检测
- 端口扫描检测与自动蜜罐部署
- 暴力破解和凭证填充检测
- DDoS 识别与缓解
- 进程监控——勒索软件、挖矿程序、Rootkit、权限提升
- 文件系统完整性监控
- 横向移动检测
- 行为分析——即使没有已知签名也能检测威胁
- 跨会话惯犯追踪
- 攻击源的地理位置和 ASN 归属分析
### 响应(自主)
- 通过原生 OS 防火墙立即封锁 IP(iptables / pf / Windows Firewall)
- 实时监控器——数秒内封锁,7x24 小时运行(systemd 服务)
- 夜间分析——汇总报告 + 凌晨 2:00 通过 cron 封锁
- 在受攻击端口动态部署蜜罐
- 进程挂起和隔离
- 证据收集(取证级,随时可提交执法机关)
- 正式执法报告(Polizia Postale、CSIRT-IT、Europol、FBI IC3)
- 自动化事件报告保存在 `/opt/argos/reports/`
### 情报(共 282 个工具)
- **37 个内置工具**:nmap、masscan、nuclei、CVE lookup、Shodan、AbuseIPDB、theHarvester、Sherlock、Lynis、UFW、fail2ban、蜜罐引擎、日志分析、归属报告
- **241 个插件工具,分布在 76 个热加载插件中**:VirusTotal、GreyNoise、AlienVault OTX、Censys、Hybrid Analysis、SpiderFoot 等等
- WHOIS、RDAP、ASN 归属 + 滥用投诉联系方式
- 社区威胁共享(可选加入)
### 渗透测试(仅限授权使用)
- **自主 84 阶段渗透测试流水线**:白盒代码分析 → 侦察 → 5 个并行漏洞专家 → 5 个并行利用 Agent → 执行报告(灵感来自 Shannon/Keygraph)
- AI 渗透测试 Agent:PentestGPT、PentAGI、Pentest Copilot、Nebula AI、Pentest-Swarm(5 个 AI Agent)
- 攻击性 CLI:Sn1per、NetExec (SMB/SSH/LDAP/WinRM)、Gobuster、Nettacker(200+ 模块)
- Web 侦察:rapidscan、Vaile、Astra REST API、skipfish(10,000+ 检查项)
- Payload 库:XSS/SQLi/CMDi/XXE、反向 Shell(11 种类型)、LFI/RFI、SSTI(8 种引擎)
- 红队基础设施:C2 框架(emp3r0r)、钓鱼基础设施(Overlord + Terraform)
- MITRE ATT&CK 模拟:Red Canary Atomic Red Team
- DoS 韧性测试:MHDDoS(57 种方法)、Impulse、DDoS-Ripper、Kraken
- 社会工程学测试:seeker、Storm-Breaker、maskphish
- WordPress 扫描:WPScan(漏洞、用户枚举、暴力破解)
- IoT 渗透测试:MQTT、CoAP、Modbus、BACnet、默认凭证测试
### AI 引擎
- **Seneca-Cybersecurity-LLM-x-QwQ-32B**——通过 llama.cpp 运行的定制微调模型
- 分析期间无威胁数据离开你的网络
- 如果 AI 离线,自动回退到基于规则的引擎
- 将前所未有的威胁上报给 Claude API(可选)
- 定制微调流水线:8 个教授模型生成训练样本
- 模型通过事件反馈持续改进
### 接口
- **CLI**——从终端完全控制
- **Telegram Bot**——远程访问、实时警报、随时随地发送指令
- **Discord Bot**——WebSocket 网关 + HTTP 回退
- **Webhook**——带速率限制和认证的 HTTP 服务器
- **React Web 仪表盘**——实时监控、威胁历史、设备管理、WebSocket
## 系统架构
ARGOS 采用三层防御架构。每一层各司其职,每一个未解决的事件都会升级到下一层。
```
┌─────────────────────────────────────────────────────────┐
│ PROTECTED DEVICES │
│ Windows · macOS · Linux · Servers │
└──────────────────────┬──────────────────────────────────┘
│
┌──────────────────────▼──────────────────────────────────┐
│ LAYER 1 — AGENT │
│ │
│ • Network traffic monitor (psutil + Scapy) │
│ • Process monitor │
│ • Filesystem monitor │
│ • Authentication log parser │
│ • Instant response to known/simple threats │
│ • Evidence collection │
│ • Realtime watcher (systemd, 24/7) │
└──────────────────────┬──────────────────────────────────┘
│ Complex or unknown threats
┌──────────────────────▼──────────────────────────────────┐
│ LAYER 2 — AI CORE (LOCAL) │
│ │
│ • Seneca-Cybersecurity-LLM-x-QwQ-32B via llama.cpp │
│ • Behavioral analysis and contextual reasoning │
│ • Honeypot orchestration │
│ • Multi-device correlation │
│ • Continuous fine-tuning on your environment │
│ • 254 tools + 76 hot-loadable plugins │
└──────────────────────┬──────────────────────────────────┘
│ Unprecedented / high-stakes cases
┌──────────────────────▼──────────────────────────────────┐
│ LAYER 84 — ESCALATION │
│ │
│ • Telegram / Discord → human decision │
│ • Claude API → advanced reasoning on complex threats │
│ • All decisions returned as training data to Layer 2 │
└─────────────────────────────────────────────────────────┘
│
┌──────────────────────▼──────────────────────────────────┐
│ FEEDBACK & INTELLIGENCE │
│ │
│ • Every resolved incident improves the local model │
│ • Community threat sharing (opt-in) │
│ • Incident reports generated for authorities │
└─────────────────────────────────────────────────────────┘
```
## Agent 架构
```
main.py
├── channels/telegram.py ← remote access via Telegram bot
├── channels/discord.py ← Discord bot (WebSocket gateway + HTTP fallback)
├── channels/webhook.py ← HTTP webhook server with rate limiting + auth
├── orchestrator.py ← parallel subagent execution (ThreadPoolExecutor)
├── plugin_loader.py ← dynamic plugin discovery + hot-reload
├── audit.py ← tamper-evident audit log (SHA256 chain)
└── agent.py ← core agentic loop (tool-calling)
├── session.py ← conversation history + compaction
├── tools/
│ ├── network.py ← nmap, masscan, ping, DNS, WHOIS
│ ├── osint.py ← CVE lookup, IP rep, Shodan, hash check, IOC extraction
│ ├── osint_advanced.py← theHarvester, Sherlock, ipwhois, subdomain enum
│ ├── analysis.py ← log analysis, threat detection, report generation, ban_ip
│ ├── vuln.py ← nuclei vulnerability scan, whatweb, SSL check
│ ├── attribution.py ← AbuseIPDB, attacker dossier, law enforcement report
│ ├── hardening.py ← Lynis audit, SSH hardening, UFW firewall, auto-harden
│ └── honeypot.py ← deploy/manage honeypots, read attacker captures
└── plugins/ ← hot-loadable plugin modules (84 plugins, 332 tools)
├── example_virustotal.py ← VirusTotal hash/URL/IP scans
├── greynoise.py ← GreyNoise noise vs. targeted threat classification
├── alienvault_otx.py ← AlienVault OTX — 20M+ threat indicators
├── urlscan.py ← URLScan.io URL sandbox analysis
├── threatfox_urlhaus.py ← ThreatFox IOCs + URLHaus malware URLs (abuse.ch)
├── hibp.py ← Have I Been Pwned (passwords + email breaches)
├── censys.py ← Censys internet scan data (ports, certs, banners)
├── hybrid_analysis.py ← Falcon Sandbox malware analysis
├── ipinfo.py ← IPInfo geo/ASN/abuse/VPN/TOR detection
├── ssl_labs.py ← Qualys SSL Labs deep TLS analysis (grade A-F)
├── emailrep.py ← EmailRep + Pulsedive threat enrichment
├── sn1per.py ← Sn1per automated attack surface management
├── netexec.py ← NetExec: SMB/SSH/LDAP/WinRM pentest (authorized)
├── gobuster.py ← Gobuster dir/DNS brute-force
├── tpot.py ← T-Pot honeypot Elasticsearch queries
├── ip2location.py ← IP2Location: ISP/usage type/VPN/TOR detection
├── opencti.py ← OpenCTI threat intelligence platform
├── pentestgpt.py ← PentestGPT autonomous AI pentest agent (USENIX 2024)
├── pentagi.py ← PentAGI multi-agent pentest platform (REST/GraphQL)
├── offensive_payloads.py ← Payload library for WAF testing (XSS/SQLi/CMDi/XXE)
├── reverse_shells.py ← Reverse shell generator (PHP obfuscated, bash, Python, PS)
├── pentest_copilot.py ← Pentest Copilot AI agent (real Kali + Burp Suite)
├── pentest_report.py ← Professional pentest report generator (HTML/Markdown/JSON)
├── stress_test.py ← DoS resilience: MHDDoS (57 methods) + Impulse + Kraken
├── power_pwn.py ← Microsoft 365 / Power Platform pentesting
├── cloakify.py ← DLP evasion testing: data exfil obfuscation
├── llm_redteam.py ← LLM adversarial: jailbreaks, prompt injection, L1B3RT4S
├── pentest_swarm.py ← Pentest-Swarm-AI: 5-agent swarm (subfinder/httpx/nuclei)
├── emp3r0r.py ← emp3r0r C2 framework: Linux/Windows implants
├── nettacker.py ← OWASP Nettacker: 200+ scan modules, REST API
├── web_recon.py ← rapidscan + Vaile + Astra REST API + skipfish
├── overlord.py ← Red team infra: C2/redirectors/phishing via Terraform
├── pentest_frameworks.py ← fsociety + DarkSpiritz + KaliIntelligenceSuite
├── iot_pentest.py ← IoT: MQTT/CoAP/Modbus/BACnet + default creds
├── atomic_red_team.py ← MITRE ATT&CK atomic test execution (Red Canary)
├── spiderfoot.py ← SpiderFoot OSINT: 400+ modules
├── hak5_payloads.py ← Hak5: OMG Cable, BashBunny, KeyCroc, SharkJack
├── username_osint.py ← Username recon across 200+ platforms + Instagram
├── wordpress_scan.py ← WPScan: WordPress vuln scanner
├── social_engineering.py ← seeker + Storm-Breaker + maskphish
├── nebula.py ← Nebula AI pentesting assistant (natural language)
└── hacktools.py ← LFI/RFI, SSTI (8 engines), encoders, headers
```
## 部署模式
ARGOS 支持三种部署模式。你可以在安装时选择,也可以随时切换。
### 独立模式
所有组件都在受保护的设备上运行。无外部连接。无需账户。适合注重隐私的个人和物理隔离环境。
- AI 模型在本地设备上运行
- 数据永远不会离开机器
- 完全离线工作
### 自托管(推荐)
你在自己的基础设施上运行 ARGOS 服务器。你的所有设备都连接到它。繁重的 AI 计算在你的服务器上进行,保持设备端 Agent 轻量化。
- 完全控制所有数据
- 一台服务器保护无限设备
- 在你自己的网络内共享情报
- 最佳性能——服务器处理所有 AI 工作负载
- 适合企业、家庭实验室、多设备环境
### 云模式
设备连接到社区 ARGOS 服务器。你只需支付真实的基础设施成本——无加价、无利润。
- 设备硬件要求极低
- 社区驱动的威胁情报
- 仅按需支付基础设施费用
## 硬件要求
### Agent(受保护设备)
任何能够运行 Python 3.10+ 的设备。Agent 设计得非常轻量。
| 组件 | 最低配置 | 推荐配置 |
|-----------|---------|-------------|
| CPU | 任意双核 | 任意现代 CPU |
| RAM | 256 MB 可用空间 | 512 MB 可用空间 |
| 磁盘 | 100 MB | 500 MB(用于日志) |
| OS | Linux / macOS / Windows | Linux(防火墙支持最佳) |
### 服务器(自托管模式)
| 组件 | 最低配置 (8B 模型) | 推荐配置 (32B 模型) | 高配 (70B+) |
|-----------|--------------------|------------------------|-----------------|
| CPU | 8 核 | 16 核 (EPYC/Threadripper) | 32+ 核 |
| RAM | 32 GB | 64–128 GB | 256 GB |
| 存储 | 100 GB SSD | 500 GB NVMe | 1 TB NVMe |
| GPU | 非必须 | 可选(加速推理) | NVIDIA 24+ GB VRAM |
**参考测试硬件:** AMD EPYC 7302P, 128 GB DDR4 ECC, 960 GB NVMe。在无 GPU 情况下,以实时分析速度运行量化后的 Seneca-Cybersecurity-LLM-x-QwQ-32B。
### 模型大小参考
| 模型 | RAM (量化后) | 质量 | 备注 |
|-------|-----------------|---------|-------|
| LLaMA 3.2 8B | ~6 GB | 良好 | 轻量级选项 |
| Phi-4 14B | ~10 GB | 良好 | 快速,低资源消耗 |
| Seneca-32B (QwQ) | ~20 GB | **优秀** | **默认选择——专为网络安全微调** |
| LLaMA 3.1 70B | ~45 GB | 优秀 | 高准确率 |
| LLaMA 3.1 405B | ~200 GB | 最高 | 研究/高端用途 |
## 安装说明
### 快速开始——即插即用 (Ubuntu 24.04)
在你的服务器上克隆并运行安装程序:
```
git clone https://github.com/argos-security/argos.git /opt/argos/app
cd /opt/argos/app
sudo bash installer/install.sh # base system + realtime watcher
sudo bash install_tools.sh # all security CLI tools
```
启动所有服务(重启后通过 systemd 自动重启):
```
systemctl start argos-llama # Seneca-32B LLM :8080
systemctl start argos-server # FastAPI API :7070 (proxied → :80)
systemctl start argos-watcher # Realtime watcher
systemctl start bloodhound-ce # BloodHound CE :8890
```
**完成。** 将任何设备连接到 `http://YOUR_SERVER_IP` ——无需额外配置。
### 从任何设备连接
| 端点 | URL | 描述 |
|---|---|---|
| **ARGOS API** | `http://YOUR_SERVER_IP/` | FastAPI——聊天、事件、设备 |
| **ARGOS API (直连)** | `http://YOUR_SERVER_IP:7070/` | 直接连接,绕过代理 |
| **健康检查** | `http://YOUR_SERVER_IP/health` | `{"status":"ok"}` |
| **WebSocket** | `ws://YOUR_SERVER_IP/ws/{client_id}` | 实时事件流 |
| **BloodHound CE** | `http://YOUR_SERVER_IP:8890/` | AD 攻击路径分析 |
| **Qdrant** | `http://YOUR_SERVER_IP:6333` | 向量数据库 |
| **SearXNG** | `http://YOUR_SERVER_IP:8888` | 私有搜索 |
| **LLM (Seneca)** | `http://YOUR_SERVER_IP:8080/v1` | OpenAI 兼容 API |
### 安装所有安全 CLI 工具
```
# 安装:semgrep, bandit, trivy, yara, clamav, zeek, suricata,
# volatility3, ffuf, sqlmap, nikto, osv-scanner, impacket, garak
sudo bash install_tools.sh
# 跳过 Metasploit (~2 GB):
sudo bash install_tools.sh --skip-heavy
```
### 手动设置(自定义服务器)
```
# 1. LLM — llama.cpp 配合 Seneca-32B
/opt/llama.cpp/build/bin/llama-server \\
--model /opt/argos/models/argos-current.gguf \\
--threads 28 --ctx-size 8192 --port 8080
# 2. API server
cd /opt/argos/app
pip install -r server/requirements-server.txt
python3 -m uvicorn server.server:app --host 0.0.0.0 --port 7070
# 3. BloodHound CE
cd /opt/bloodhound && docker compose up -d
```
### 环境变量
```
cp .env.example /opt/argos/.env
nano /opt/argos/.env
```
关键变量:
```
LLAMA_SERVER_URL=http://localhost:8080
QDRANT_URL=http://localhost:6333
SEARXNG_URL=http://localhost:8888
BLOODHOUND_HOST=localhost
BLOODHOUND_PORT=8890
# Intel API(均为可选,提供免费额度)
SHODAN_API_KEY=your_key
VIRUSTOTAL_API_KEY=your_key
ABUSEIPDB_API_KEY=your_key
```
## 运行 Agent
```
cd /opt/argos/agent
# CLI 模式(交互式)
python3 main.py --mode cli
# Telegram 机器人模式
python3 main.py --mode telegram --token YOUR_BOT_TOKEN --allowed-ids 123456789
# Discord 机器人模式
python3 main.py --mode discord --token YOUR_DISCORD_TOKEN
# Webhook 模式(HTTP API)
python3 main.py --mode webhook --port 9090 --auth-token YOUR_SECRET
```
### Telegram 设置
1. 通过 @BotFather 创建 Bot → 获取 token
2. 获取你的 chat ID:给 @userinfobot 发送消息
3. 运行:`python3 main.py --mode telegram --token TOKEN --allowed-ids YOUR_CHAT_ID`
运行后,你可以通过 Telegram 发送任何自然语言指令,ARGOS 会执行它——扫描端口、查询 CVE、分析日志、运行渗透测试、生成报告。
## 配置说明
### 环境变量
```
# 添加到 /etc/environment
ARGOS_LLM_URL=http://localhost:8080/v1/chat/completions
ARGOS_LLM_KEY=your_api_key # if llama.cpp requires auth
# Intelligence API(均为可选,提供免费额度)
SHODAN_API_KEY=your_key # shodan.io/account — free
ABUSEIPDB_API_KEY=your_key # abuseipdb.com/register — 1000 checks/day free
VIRUSTOTAL_API_KEY=your_key # virustotal.com/gui/join-us — free
GREYNOISE_API_KEY=your_key # greynoise.io — optional (community works without)
OTX_API_KEY=your_key # otx.alienvault.com — free
URLSCAN_API_KEY=your_key # urlscan.io — 100/day free
CENSYS_API_ID=your_id # censys.io — 250/month free
CENSYS_API_SECRET=your_secret
HYBRID_ANALYSIS_API_KEY=your_key # hybrid-analysis.com — free
IPINFO_TOKEN=your_token # ipinfo.io — 50K/month free
IP2LOCATION_API_KEY=your_key # ip2location.io — 30K/month free
HIBP_API_KEY=your_key # haveibeenpwned.com (~$3.50/month)
EMAILREP_API_KEY=your_key # emailrep.io — optional
PULSEDIVE_API_KEY=your_key # pulsedive.com — optional
OPENCTI_URL=http://your-opencti:4000
OPENCTI_TOKEN=your-api-token
TPOT_HOST=your-tpot-ip # T-Pot server IP
# Pentest 工具
WPSCAN_API_TOKEN=your_token # wpscan.com/register — free, full CVE data
SPIDERFOOT_URL=http://localhost:5001 # if running SpiderFoot as server
NEBULA_MODEL=llama3 # Ollama model for Nebula AI
POWERPWN_AUTH_TOKEN=your_token # Microsoft 365 auth token
PENTAGI_URL=http://localhost:8090
PENTAGI_TOKEN=your_token
PENTEST_COPILOT_URL=http://localhost:8888
```
### AbuseIPDB 设置(免费——每天 1000 次检查)
1. 在 [abuseipdb.com/register](https://www.abuseipdb.com/register) 注册
2. 进入 Account → API → 创建一个密钥
3. 将其添加到服务器:
echo 'ABUSEIPDB_API_KEY=your_key_here' >> /etc/environmentsource /etc/environment
激活密钥后,ARGOS 可以:
- 检查每个攻击 IP 的滥用评分(0-100)
- 查看全球 700,000+ 组织报告的攻击历史
- 每次封禁后**自动报告**攻击者到全球数据库
- 将评分包含在执法档案中
### 自主等级
| 等级 | 行为 |
|-------|----------|
| `full` | 对所有威胁立即行动,无需询问。最高保护级别,无人工监督。 |
| `semi` | 对高置信度威胁(>0.7)自动行动。将模糊情况上报到 Telegram。**默认设置。** |
| `supervised` | 永不独自行动。记录所有建议操作并发送等待批准。 |
## AI 引擎
### Seneca-Cybersecurity-LLM-x-QwQ-32B
ARGOS 使用基于 QwQ-32B 的定制微调模型,专门针对网络安全任务训练:
- 由 8 个专门的“教授”模型训练,每个都是安全领域的专家
- 训练数据:攻击性安全、防御性分析、威胁情报、MITRE ATT&CK
- 通过 llama.cpp OpenAI 兼容 API 在端口 8080 上运行
- 无需 GPU——可在纯 CPU 服务器上运行
- 上下文窗口:8192 tokens
AI 引擎接收每个威胁事件的结构化描述并返回 JSON 决策:
```
{
"severity_confirmed": true,
"action": "deploy_honeypot",
"reasoning": "Port scan pattern from known-bad ASN. Honeypot will collect attacker TTPs.",
"confidence": 0.94,
"escalate_to_human": false
}
```
可用操作:`block_ip`、`deploy_honeypot`、`isolate_process`、`close_port`、`alert_human`、`monitor`。
### 回退链
```
Threat detected
↓
llama.cpp available?
↙ ↘
Yes No
AI analysis Rule-based fallback
↓
Confidence < 0.7 or escalate_to_human?
↙ ↘
Telegram/Discord notification Execute action autonomously
↓
Human decides
↓
Decision → training data
↓
Model fine-tuning (weekly via RunPod)
```
### Claude API 上报(可选)
对于本地模型无法确信分类的威胁,ARGOS 可以调用 Claude API:
- 仅针对真正前所未有的事件触发
- 消耗极少的 API 额度(通常每月几次调用)
- 每个 Claude 响应都保存为本地模型的微调数据
- 随着时间推移,本地模型学会独立处理这些情况
```
# 在 config 中启用
CLAUDE_API_KEY=sk-ant-...
```
### 微调流水线
模型通过 RunPod 在积累的事件数据上进行微调:
1. 8 个教授模型生成训练样本(每个都是安全领域专家)
2. 从服务器数据库收集已解决的事件
3. 格式化为指令微调对
4. 在 QwQ-32B 基座上运行 LoRA 微调(低内存开销)
5. 在保留验证集上评估准确率
6. 在生产服务器上进行原子模型替换(零停机)
## 威胁检测
### 网络威胁
| 威胁 | 检测方法 | 默认操作 |
|--------|-----------------|----------------|
| 端口扫描 | 同一 IP 在 60 秒内探测 >10 个不同端口 | 部署蜜罐 |
| 暴力破解 | 30 秒内 >5 次认证失败 | 封锁 IP |
| DDoS | 流量峰值 + 数据包分析 | 速率限制 + 过滤 |
| C2 通信 | 出站流量中的信标模式检测 | 封锁 + 警报 |
| 数据渗出 | 到新外部 IP 的异常出站流量 | 警报 + 限速 |
| 惯犯 | IP 匹配先前事件历史 | 立即封锁 |
### 进程威胁
| 威胁 | 检测方法 | 默认操作 |
|--------|-----------------|----------------|
| 挖矿程序 | CPU 持续 >85%,名称/命令行匹配 | 挂起 + 警报 |
| 勒索软件 | 批量文件修改模式 | 挂起 + 隔离 |
| Rootkit | 可疑系统调用、隐藏进程 | 警报人工 |
| 权限提升 | 意外的权限变更 | 警报 + 日志 |
| 反向 Shell | 来自系统进程的可疑出站连接 | 封锁 + 警报 |
### 行为分析
除了基于规则的检测,AI 引擎还分析行为上下文:
- 在异常时间使用有效凭据登录 → 监控 + 限制
- 内部网络出现新设备 → 隔离直至验证
- 进程首次打开网络连接 → 日志 + 警报
- 文件访问模式匹配已知渗出行为 → 警报
## 自主响应
### IP 封锁
ARGOS 在每个平台上与 OS 防火墙原生集成:
**Linux (iptables/fail2ban)**
```
iptables -A INPUT -s
-j DROP
iptables -A OUTPUT -d -j DROP
```
**macOS (pf)**
```
pfctl -t argos_blocked -T add
```
**Windows (netsh)**
```
netsh advfirewall firewall add rule name=ARGOS_BLOCK_ dir=in action=block remoteip=
```
### 进程控制
可疑进程被挂起(默认不杀死)以保留证据。进程可以恢复、终止或提交进行更深入的分析。
### 网络隔离
在危急情况下(确认的勒索软件、活跃数据渗出),ARGOS 可以将设备完全从网络隔离,同时保持其可从管理 VLAN 访问以便调查。
## 实时防御
### 自动威胁富化
当实时监控器封禁一个 IP 时,它会在后台线程自动运行威胁情报富化:
1. **地理位置 + ASN**——国家、城市、ISP、ASN (ip-api.com,无需密钥)
2. **WHOIS**——网络名称、组织、滥用联系人
3. **ThreatFox**——检查 IP 是否为已知恶意软件 C2 或 IOC (abuse.ch,无需密钥)
4. **档案保存**到 `/opt/argos/logs/ip_profiles.jsonl`
5. **富化 Telegram 警报**(如已配置),包含国家、组织、威胁标记
因此每个被封禁的 IP 会立即获得如下档案:
```
PROFILE 116.99.172.210 | Vietnam (VN) / Huế | Viettel Group | AS24086
PROFILE 195.178.110.218 | Andorra (AD) | Techoff SRV Limited | AS48090 | VPS/hosting
```
### 让 ARGOS 进行调查
`ip-investigator` 插件赋予 ARGOS 相同的调查能力:
```
You: "chi ci ha attaccato stanotte?"
ARGOS → investigate_attackers(hours=12) + analyze_attack_patterns()
→ geo, ASN, WHOIS, ThreatFox per ogni IP
→ identifica campagne coordinate per ASN/subnet
→ categorizza username (crypto targeting, generic, service)
```
ARGOS 有两个同时运行的主动防御层:
| | 实时监控器 | 夜间分析 |
|---|---|---|
| **文件** | `realtime_watcher.py` | `nightly_analysis.py` |
| **时间** | 始终,7x24 | Cron 定于 02:00 |
| **方式** | `systemd` 服务(启动时自动运行) | crontab |
| **封禁触发** | 120 秒内 5 次命中,或 1 次 CRITICAL 命中 | ≥10 次攻击或 ≥3 次来自托管/代理 |
| **警报** | 即时 Telegram 通知 | `/opt/argos/reports/` 中的 JSON 报告 |
| **日志** | `/opt/argos/logs/watcher.log` | `/opt/argos/logs/nightly.log` |
**CRITICAL 模式 → 立即封禁(1 次命中):**
`SQL_INJECTION`、`CMD_INJECTION`、`REVERSE_SHELL`、`CREDENTIAL_DUMP`、`DOWNLOAD_EXEC`
**HIGH/MEDIUM 模式 → 120 秒内 5 次命中后封禁:**
`BRUTE_FORCE`、`PATH_TRAVERSAL`、`XSS`
## 蜜罐系统
ARGOS 蜜罐引擎部署上下文感知的诱饵,镜像你的真实基础设施。
### 工作原理
当在端口 X 检测到端口扫描时,ARGOS:
1. 在端口 X 上打开监听器
2. 展示逼真的服务 Banner(SSH、MySQL、HTTP、FTP 等,基于端口)
3. 记录攻击者发送和接收的每一个字节
4. 尽可能长时间地与攻击者周旋
5. 将取证证据保存到 `/opt/argos/evidence/`
6. 5 分钟后或攻击者断开连接时自动关闭
### 上下文诱饵
| 如果你运行 | ARGOS 部署 |
|------------|---------------|
| MySQL 在端口 3306 | 假 MySQL,接受凭证并返回假数据 |
| SSH 在端口 22 | 假 SSH,记录所有认证尝试和命令 |
| Web 服务器在 80/443 | 带有逼真登录页面的假管理面板 |
| Redis | 假 Redis,接受命令并记录 |
### 证据格式
```
ARGOS Honeypot Evidence
Port: 22
Target attacker: 198.51.100.47
Started: 2025-03-19T03:42:11
[03:42:13] Connection from 198.51.100.47:54821
Data: b'SSH-2.0-OpenSSH_7.4\r\n'
[03:42:14] Auth attempt: user=root password=password123
[03:42:15] Auth attempt: user=root password=admin
...
```
证据文件适用于执法提交。
### T-Pot 集成
如果你运行 T-Pot 蜜罐,`tpot.py` 插件连接到其 Elasticsearch 后端以进行高级攻击者分析——攻击统计、 harvested 凭证、IP 历史。
## 内置工具
**37 个内置工具**始终可用,无需任何插件。
### 网络侦察
| 工具 | 描述 |
|------|-------------|
| `nmap_scan` | 带服务检测的端口扫描 (-sV)。仅限授权目标。 |
| `masscan_scan` | 超快端口发现——每秒扫描数千个端口。 |
| `ping_host` | ICMP 可达性检查 |
| `dns_lookup` | DNS 记录查询 (A, MX, TXT, NS, CNAME, SOA) |
| `whois_lookup` | 域名或 IP 的 WHOIS 查询 |
| `reverse_dns` | 反向 DNS——IP 到主机名 |
### OSINT 与威胁情报
| 工具 | 描述 |
|------|-------------|
| `cve_lookup` | NVD CVE 数据库——描述、CVSS 评分、严重性、参考链接 |
| `ip_reputation` | IP 地理位置 + ASN + 代理/托管/移动检测 (ip-api.com) |
| `shodan_host` | Shodan InternetDB——某 IP 的开放端口、已知 CVE、标签(免费) |
| `shodan_search` | Shodan 搜索查询——按服务/端口/组织/漏洞查找暴露的主机 |
| `hash_lookup` | MalwareBazaar 恶意软件哈希检查 (MD84/SHA1/SHA256) |
| `extract_iocs` | 从文本中提取 IOC:IP、域名、URL、哈希、CVE ID |
### 漏洞扫描
| 工具 | 描述 |
|------|-------------|
| `nuclei_scan` | 使用 10,000+ Nuclei 模板扫描 URL/IP:CVE、暴露的管理面板、错误配置 |
| `whatweb_scan` | 指纹识别 Web 技术:CMS、服务器软件、JS 库、版本 |
| `ssl_check` | SSL/TLS 证书检查:过期时间、颁发者、协议、密码套件、自签名 |
### 高级 OSINT 与归属
| 工具 | 描述 |
|------|-------------|
| `theharvester_scan` | 从 Google、Bing、LinkedIn、Shodan 收集邮箱、子域名、主机 |
| `sherlock_search` | 在 400+ 社交网络上查找用户名——绘制攻击者身份 |
| `ipwhois_lookup` | IP 的完整 RDAP/WHOIS:组织、网络范围、ASN、滥用联系邮箱 |
| `subdomain_enum` | 通过 crt.sh + hackertarget 进行被动子域名枚举 |
| `abuseipdb_check` | 检查 IP 滥用评分 (0-100)、攻击类别、700k+ 组织报告 |
| `abuseipdb_report` | 向全球 AbuseIPDB 数据库报告攻击者 IP |
| `build_attacker_dossier` | 完整攻击者档案:地理位置、ASN、Shodan、CVE、滥用历史、联系方式 |
| `generate_leo_report` | **面向执法机关的正式报告**(Polizia Postale、CSIRT-IT、Europol、FBI IC3),含 MITRE ATT&CK 映射、证据 SHA256 哈希、ISP 滥用联系方式 |
### 蜜罐
| 工具 | 描述 |
|------|-------------|
| `deploy_honeypot` | 部署假 SSH、HTTP、FTP、MySQL 服务以捕获攻击者凭证 |
| `honeypot_status` | 检查蜜罐状态、总捕获量、唯一攻击者 IP |
| `read_honeypot_logs` | 读取攻击者活动:IP、尝试的凭证、执行的命令 |
| `stop_honeypot` | 停止蜜罐 |
### 自动加固
| 工具 | 描述 |
|------|-------------|
| `lynis_audit` | 安全审计,包含加固评分 (0-100)、警告和建议 |
| `harden_ssh` | 加固 sshd_config:禁用密码认证、限制重试、设置超时 |
| `setup_ufw` | 配置 UFW 防火墙:拒绝所有入站,仅允许指定端口 |
| `auto_harden` | **全自动加固**:UFW + 内核 sysctl + fail2ban + 禁用未使用服务 |
### 日志分析与防御
| 工具 | 描述 |
|------|-------------|
| `analyze_log` | 分析原始日志内容中的威胁:暴力破解、SQLi、XSS、勒索软件、C2 |
| `read_log_file` | 从服务器文件系统读取并分析日志文件 |
| `generate_report` | 生成结构化 JSON 安全报告,保存到 `/opt/argos/reports/` |
| `ban_ip` | 通过 fail2ban 永久封禁 IP。白名单:127.0.0.1、localhost、服务器 IP |
| `unban_ip` | 移除 IP 封禁(误报修正) |
| `list_banned_ips` |列出所有当前被封禁的 IP |
## 插件系统
**76 个热加载插件,84 个工具。** 将 `.py` 文件放入 `agent/plugins/` 即可立即可用——无需重启。将 `.py` 文件放入 `agent/plugins/` 即可立即可用——无需重启。将 `.py` 文件放入 `agent/plugins/` 即可立即可用——无需重启。
### 威胁情报(免费 API)
| 插件 | 工具 | 需要密钥 | 免费额度 |
|--------|-------|-------------|-----------|
| `threat_intel_feeds.py` | `update_feeds`, `check_ip`, `check_ips_bulk`, `get_feed_stats`, `apply_blocklist_to_firewall`, `search_blocklist` | 无 | malicious-ip (84+ 来源) + ShadowWhisperer 蜜罐 + Ipsum + EmergingThreats + Spamhaus DROP |
| `ip_investigator.py` | `investigate_ip`, `investigate_attackers`, `analyze_attack_patterns`, `get_ip_profiles`, `enrich_banned_ips` | 无 | 100% 免费——ip-api, ThreatFox, URLHaus, WHOIS |
| `example_virustotal.py` | `vt_hash_scan`, `vt_url_scan`, `vt_ip_scan` | `VIRUSTOTAL_API_KEY` | virustotal.com/gui/join-us |
| `greynoise.py` | `greynoise_ip` | 可选 `GREYNOISE_API_KEY` | Community API:无需密钥 |
| `alienvault_otx.py` | `otx_ip`, `otx_domain`, `otx_hash`, `otx_url` | `OTX_API_KEY` | 在 otx.alienvault.com 免费获取 |
| `threatfox_urlhaus.py` | `threatfox_ioc`, `threatfox_hash`, `urlhaus_lookup_url`, `urlhaus_lookup_host` | 无 | 100% 免费,无需密钥 |
| `opencti.py` | `opencti_search_ioc`, `opencti_get_threats` | `OPENCTI_URL` + `OPENCTI_TOKEN` | 自托管或 Filigran 云 |
### URL 与文件分析
| 插件 | 工具 | 需要密钥 | 免费额度 |
|--------|-------|-------------|-----------|
| `urlscan.py` | `urlscan_submit`, `urlscan_search` | `URLSCAN_API_KEY` | 每天 100 次扫描 |
| `hybrid_analysis.py` | `ha_hash_search`, `ha_url_submit`, `ha_get_report` | `HYBRID_ANALYSIS_API_KEY` | 在 hybrid-analysis.com 免费获取 |
| `ssl_labs.py` | `ssllabs_analyze` | 无 | 100% 免费,无需密钥 |
### IP 与邮件情报
| 插件 | 工具 | 需要密钥 | 免费额度 |
|--------|-------|-------------|-----------|
| `censys.py` | `censys_host`, `censys_search` | `CENSYS_API_ID` + `CENSYS_API_SECRET` | 每月 250 次查询 |
| `ipinfo.py` | `ipinfo_lookup`, `ipinfo_batch` | 可选 `IPINFO_TOKEN` | 带令牌 50K/月 |
| `ip2location.py` | `ip2location_lookup` | 可选 `IP2LOCATION_API_KEY` | 匿名 500/天,带密钥 30K/月 |
| `emailrep.py` | `emailrep_check`, `pulsedive_lookup` | 可选密钥 | 有免费额度 |
| `hibp.py` | `hibp_password_check`, `hibp_email_check` | `HIBP_API_KEY` 用于邮件 | 密码检查始终免费 |
### IOC 提取与 OSINT 工具
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `datasurgeon.py` | `extract_iocs_from_text`, `extract_iocs_from_file`, `scan_dir_for_iocs`, `extract_credentials` | 纯 Python IOC 提取器:IPv4/IPv6、域名、URL、邮箱、MD5/SHA1/SHA256/SHA512、CVE、JWT、API 密钥、AWS 密钥、私钥、信用卡。无需依赖。 |
| `ip_investigator.py` | `investigate_ip`, `investigate_attackers`, `analyze_attack_patterns`, `get_ip_profiles`, `enrich_banned_ips` | 深度 IP 富化:地理位置、WHOIS、ThreatFox、URLHaus、AbuseIPDB、VirusTotal。读取自动富化的封禁档案。 |
### 快速侦察
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `fast_recon.py` | `fast_port_scan`, `deep_service_scan`, `masscan_sweep`, `sn0int_recon`, `full_recon_pipeline` | 完整侦察流水线:RustScan → nmap -sV -sC → sn0int OSINT。自动回退到 masscan/nmap。 |
### SIGMA / 日志分析
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `zircolite_sigma.py` | `sigma_analyze_evtx`, `sigma_analyze_sysmon`, `sigma_analyze_linux`, `sigma_update_rules`, `sigma_full_analysis` | Zircolite SIGMA 引擎分析 Windows EVTX / Sysmon / Linux 审计日志。MITRE ATT&CK 映射,自动下载 Zircolite 仓库的最新规则集。 |
### DFIR 取证
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `dfir_forensics.py` | `evtx_analyze`, `evtx_to_timeline`, `registry_forensics`, `prefetch_analyze`, `ir_collect_artifacts` | dfir-toolkit (Rust):EVTX 解析、注册表蜂巢分析、预取执行历史、bodyfile 时间线。Linux IR 工件收集:cron、SUID、Shell 历史、最近修改的文件。 |
### 移动取证
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `mobile_forensics.py` | `mvt_update_iocs`, `mvt_ios_scan_backup`, `mvt_android_scan_apk`, `mvt_check_iocs`, `mvt_generate_report` | MVT (Amnesty International):iOS 备份和 Android APK 上的 Pegasus、Predator、跟踪软件 IOC 扫描。STIX2 IOC 源自动更新。 |
### 网络捕获与流分析
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `network_capture.py` | `capture_start`, `capture_stop`, `analyze_pcap`, `flowmeter_analyze`, `capture_summary` | 带 Session 管理的 tcpdump/tshark 捕获。PCAP 分析:主要通信者、DNS 查询、HTTP 请求、明文凭据。FlowMeter ML 流量分类。 |
### Favicon OSINT
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `favicon_osint.py` | `favicon_hash`, `favicon_search_shodan`, `favicon_search_zoomeye`, `favicon_search_fofa`, `favicon_full_hunt` | MurmurHash3 Favicon 指纹 + 多平台搜索 (Shodan/ZoomEye/Fofa)。C2 基础设施发现、钓鱼克隆检测。哈希计算无需任何 API 密钥。 |
### EXIF 与文件元数据取证
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `exif_forensics.py` | `exif_extract`, `exif_gps_hunt`, `exif_author_hunt`, `exif_scan_dir`, `exif_steganography_hints` | ExifTool:GPS 坐标、作者归属、设备指纹、隐写提示。支持 200+ 文件格式。 |
### 文档分析
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `tika_extractor.py` | `tika_extract_text`, `tika_extract_metadata`, `tika_scan_dir`, `tika_detect_language`, `tika_malware_triage` | Apache Tika:从 1000+ 文件类型提取文本/元数据。带风险评分的恶意软件分诊。用于 APT 归属的语言检测。 |
### Web 侦察与爬取
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `browser_recon.py` | `web_crawl`, `browser_screenshot`, `form_analyzer`, `js_recon`, `firecrawl_scrape` | 站点地图 + 管理面板查找器 + 表单 CSRF 分析 + JS API 端点提取 + Firecrawl 爬取 (SDK 或 REST)。针对 JS 密集型站点的 Playwright 回退。 |
### 多智能体渗透测试
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `crewai_pentest.py` | `crewai_recon_crew`, `crewai_vuln_crew`, `crewai_threat_hunt_crew`, `crewai_incident_response_crew` | CrewAI 编排:3-Agent 侦察组、漏洞分析组、威胁搜索组、IR Playbook 生成器。默认使用本地 Seneca-32B。 |
### 用户名 OSINT
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `username_osint.py` | `userrecon_search`, `instagram_recon`, `extract_urls_from_page`, `sherlock_rs_search` | 跨 200-400+ 平台的用户名 (userrecon + sherlock-rs)、Instagram 公开资料、URL 提取 |
### 渗透测试报告生成
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `pentest_report.py` | `generate_pentest_report` | HTML + Markdown + JSON 输出、CVSS 评分、MITRE ATT&CK、执行摘要 |
### AI 渗透测试 Agent(仅限授权使用)
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `pentest_pipeline.py` | `run_pentest_pipeline`, `get_pentest_status`, `list_pentest_workspaces`, `get_pentest_report`, `run_external_scan` | `pyyaml`,可选:`playwright`, `schemathesis` | **自主 5 阶段白盒流水线** (Shannon 灵感):代码分析 → 侦察 → 5 漏洞专家 → 5 利用 Agent → 执行报告。"无利用,无报告"质量门。 |
| `pentestgpt.py` | `pentestgpt_run` | `pip install pentestgpt` | 使用 ARGOS 本地 LLM 或 Claude |
| `pentagi.py` | `pentagi_start_flow`, `pentagi_get_flow`, `pentagi_list_flows` | `PENTAGI_URL` + `PENTAGI_TOKEN` | 自托管 Docker |
| `pentest_copilot.py` | `pentest_copilot_start`, `pentest_copilot_status`, `pentest_copilot_consent` | `PENTEST_COPILOT_URL` + token | 真实 Kali + Burp Suite 集成 |
| `nebula.py` | `nebula_query`, `nebula_docker`, `nebula_list_capabilities` | `pip install nebula-ai` + Ollama 或 OpenAI | 自然语言:"! scan 192.168.1.1 for open ports" |
### 攻击性 / 渗透测试 CLI(仅限授权使用)
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `sn1per.py` | `sn1per_scan` | `sniper` CLI | `bash <(curl -sL install-sniper.sh)` |
| `netexec.py` | `netexec_smb`, `netexec_ssh`, `netexec_ldap`, `netexec_winrm` | `nxc` CLI | `pipx install NetExec` |
| `gobuster.py` | `gobuster_dir`, `gobuster_dns` | `gobuster` + SecLists | `apt install gobuster seclists` |
| `offensive_payloads.py` | `get_payloads`, `list_payload_categories` | 无 | 离线:`/opt/argos/payloads`(由安装程序克隆) |
| `reverse_shells.py` | `generate_reverse_shell`, `list_shell_types` | 无 | PHP 混淆 + 10 种其他类型 |
### 蜜罐平台
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `tpot.py` | `tpot_stats`, `tpot_credentials`, `tpot_search_ip` | `TPOT_HOST` 环境变量 | T-Pot Elasticsearch 后端 |
### DoS 韧性测试(仅限授权渗透测试)
| 插件 | 具 | 备注 |
|--------|-------|-------|
| `stress_test.py` | `http_load_test`, `tcp_flood_test`, `bandwidth_test`, `slowhttp_test`, `stress_report` | 授权负载测试:wrk/ab HTTP 基准、hping3 TCP、iperf3 带宽、Slowloris 韧性测试。 |
### AI 红队与 LLM 安全
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `llm_redteam.py` | `llm_jailbreak_test`, `llm_prompt_injection_test`, `l1b3rt4s_test`, `list_llm_redteam_categories` | 测试任何 OpenAI 兼容端点。自动克隆 L1B3RT4S 越狱集合。 |
### Microsoft 365 / Power Platform
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `power_pwn.py` | `power_pwn_recon`, `power_pwn_dump_resources`, `power_pwn_copilot_hunter`, `power_pwn_llm_hound`, `power_pwn_tenant_mcp_recon`, `power_pwn_full_assessment` | `POWERPWN_AUTH_TOKEN` | `pip install power-pwn` |
### 高级渗透测试平台
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `pentest_swarm.py` | `pentest_swarm_start`, `pentest_swarm_status`, `pentest_swarm_findings`, `pentest_swarm_list_campaigns` | `PENTESTSWARM_ORCHESTRATOR_API_KEY` | 5 个 AI Agent,7 个原生 Go 工具 |
| `emp3r0r.py` | `emp3r0r_build`, `emp3r0r_start_cc`, `emp3r0r_gen_agent`, `emp3r0r_list_modules` | Go >= 1.21 | Linux/Windows C2,带隐蔽通道、Tor、SSHd 植入 |
| `overlord.py` | `overlord_list_modules`, `overlord_deploy`, `overlord_destroy`, `overlord_status` | Terraform + Ansible | 红队基础设施:C2、重定向器、钓鱼、攻击机 |
### Web 与 API 安全
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `nettacker.py` | `nettacker_scan`, `nettacker_vuln_scan`, `nettacker_subdomain_enum`, `nettacker_list_modules` | `pip install owasp-nettacker`。200+ 扫描模块,REST API。 |
| `web_recon.py` | `rapidscan`, `vaile_recon`, `astra_api_scan`, `skipfish_scan`, `web_recon_full` | rapidscan 多工具扫描、Vaile Web 侦察、Astra REST API OWASP Top 10、skipfish 10K+ 检查 |
### DLP 规避测试
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `cloakify.py` | `cloakify_encode`, `cloakify_decode`, `list_cloakify_ciphers` | 将数据编码为表情符号/LOTR/运动队以测试 DLP 控制。 |
### 渗透测试框架
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `pentest_frameworks.py` | `fsociety_run_tool`, `fsociety_list_tools`, `darkspiritz_run_module`, `darkspiritz_list_modules`, `kis_collect`, `kis_report` | fsociety 一体化、DarkSpiritz Metasploit 风格、KaliIntelligenceSuite OSINT |
### IoT 渗透测试
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `iot_pentest.py` | `iot_scan_ports`, `iot_banner_grab`, `iot_default_creds_test`, `peniot_mqtt_test` | MQTT、CoAP、Modbus、BACnet、S7comm 检测 + 默认凭证测试 |
### MITRE ATT&CK 模拟
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `atomic_red_team.py` | `art_list_techniques`, `art_get_technique`, `art_execute_test`, `art_simulate_tactic` | 映射到 MITRE ATT&CK 的 Red Canary 原子测试。解析 YAML,执行 bash/powershell/python。 |
### OSINT 平台
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `spiderfoot.py` | `spiderfoot_scan`, `spiderfoot_scan_results`, `spiderfoot_list_modules` | 400+ OSINT 模块:IP、域名、邮箱、用户名、电话。Shodan/VT/HaveIBeenPwned/Censys。 |
| `username_osint.py` | `userrecon_search`, `instagram_recon`, `extract_urls_from_page` | 跨 200+ 平台的用户名侦察、Instagram 公开资料 OSINT |
### Hak5 硬件 Payload
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `hak5_payloads.py` | `hak5_list_devices`, `hak5_list_payloads`, `hak5_get_payload`, `hak5_search_payloads` | OMG Cable、BashBunny、KeyCroc、SharkJack、USB Rubber Ducky 的 Payload 库 |
### WordPress 安全
| 插件 | 工具 | 依赖 | 备注 |
|--------|-------|---------|-------|
| `wordpress_scan.py` | `wpscan_vuln_scan`, `wpscan_user_enum`, `wpscan_password_attack` | `gem install wpscan` 或 Docker | `WPSCAN_API_TOKEN` 用于完整 CVE 数据 |
### 社会工程学测试(仅限授权红队)
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `social_engineering.py` | `maskphish_create`, `seeker_list_templates`, `seeker_start`, `stormbreaker_start` | maskphish URL 混淆、seeker 地理位置捕获、Storm-Breaker 摄像头/麦克风测试。**需要书面授权同意。** |
### Payload 扩展 (LFI / SSTI / 编码器)
| 插件 | 工具 | 备注 |
|--------|-------|-------|
| `hacktools.py` | `hacktools_lfi_payloads`, `hacktools_ssti_payloads`, `hacktools_encode`, `hacktools_headers_cheatsheet` | LFI/RFI Payload (PHP wrappers、遍历、/proc)、8 种引擎的 SSTI (Jinja2/Twig/Freemarker/Mako/ERB)、WAF 绕过编码器、HTTP 头速查表 |
### 评估但未集成的仓库
| 仓库 | 原因 |
|------|--------|
| `wlmzz/Yuan3.0` | 40B MoE 语言模型 —— 不是安全工具,无 CLI |
| `M4cs/BabySploit` | 初学者工具——功能已被现有插件覆盖 |
| `Technowlogy-Pushpender/hackerpro` | 一体化包装器——它调用的每个工具都已单独集成 |
| `JGrotex/AutoPentestX` | 自动化框架——已被 pentest_swarm + pentest_copilot 取代 |
| `m84ll0k/pentesting-framework` | 范围有限——已被现有渗透测试工具覆盖 |
| `OpenSourcePentest/tools` | 文档/链接集合,无可执行代码 |
| `cyberguideme/Tools` | 仅文档/链接,无可执行代码 |
| `A-poc/RedTeam-Tools` | MITRE ATT&CK 参考列表,无代码 |
| `enaqx/awesome-pentest` | 精选链接列表,无代码 |
| `paralax/awesome-honeypots` | 精选链接列表,无代码 |
| `rajkumardusad/IP-Tracer` | 未维护的 ip-api.com CLI 包装器——已在 `ip_reputation` 中 |
| `ip2location-com/ip2location-nginx` | Nginx C 模块(不可包装)——通过 `ip2location.py` 使用 REST API |
| `syztem4our666/zsh-pentester` | 薄 zsh 包装层——底层工具已集成 |
| `anthropics/claude-code-security-review` | GitHub Actions action,非子进程 |
| `pluginagentmarketplace/custom-plugin-cyber-security` | Claude Code IDE 插件,不同运行时 |
| `lucasjacks0n/EggShell` | macOS/iOS RAT——麦克风录制、位置跟踪、USB 注入——未经授权的监视风险 |
| `Lomasterrrr/HackWebTool` | CloudFlare 绕过 + 凭证暴力破解,无授权框架——作者已关闭仓库 |
| `mrprogrammer2938/Black-Tool` | 一体化包装器——它调用的每个工具都已单独集成 |
| `x11-repo/hack-tools-en` | 工具聚合启动器——所有底层工具已单独集成 |
| `TianWen-Lab/TranSec` | 用于汽车安全的完整 Linux OS 发行版——不可作为插件包装 |
## 子智能体编排
使用 `spawn_subagents` 并行运行多个 ARGOS 任务:
```
spawn_subagents([
{"task": "Port scan 10.0.0.1", "label": "portscan",
"tools": ["nmap_scan", "masscan_scan"]},
{"task": "Full OSINT on 10.0.0.1", "label": "osint",
"tools": ["shodan_host", "greynoise_ip", "otx_ip", "abuseipdb_check", "ipinfo_lookup"]},
{"task": "Check TLS of site.com", "label": "tls",
"tools": ["ssllabs_analyze", "ssl_check"]},
{"task": "Scan for vulns on site.com", "label": "vulns",
"tools": ["nuclei_scan", "whatweb_scan", "gobuster_dir"]},
])
```
所有 4 个任务同时运行。全部完成后聚合结果。
## 完整渗透测试流程
ARGOS 支持两种互补的渗透测试模式。
### 模式 1——自主白盒流水线
`pentest_pipeline` 插件针对可访问源代码的 Web 应用程序运行结构化的 5 阶段自主渗透测试。灵感来自 Shannon 框架(Keygraph,AGPL-3.0)。
```
Phase 1 — Pre-Recon
├── Source code analysis (white-box: auth flows, injection sinks, attack surface)
└── External scans (nmap, subfinder, whatweb)
↓ code_analysis_deliverable.md
Phase 2 — Recon (Attack Surface Mapping)
├── Live browser exploration (authenticated)
├── API endpoint inventory with auth requirements
├── Role/privilege architecture mapping
└── IDOR & privilege escalation candidates
↓ recon_deliverable.md
Phase 3 — Vulnerability Analysis (5 parallel specialists)
├── Injection analyst → SQLi, CMDi, LFI, SSTI, Path Traversal
├── XSS analyst → Reflected, Stored, DOM-based + CSP analysis
├── Auth analyst → Broken auth, JWT, session management, MFA bypass
├── SSRF analyst → All server-side request sinks + cloud metadata
└── Authorization analyst → IDOR, vertical escalation, workflow bypass
↓ exploitation_queue.json (only verified, externally_exploitable vulns)
Phase 4 — Exploitation (5 parallel agents, conditional)
ONLY if exploitation_queue is non-empty ("No Exploit, No Report" policy)
├── Injection exploitation → data exfiltration with OWASP workflow
├── XSS exploitation → session cookie theft, account takeover PoC
├── Auth exploitation → credential attacks, JWT tampering, session fixation
├── SSRF exploitation → cloud metadata (AWS/GCP/Azure), internal service access
└── Authz exploitation → IDOR data access, admin endpoint bypass
↓ *_exploitation_evidence.md (reproducible PoCs only)
Phase 5 — Report
└── Executive security report — verified findings only, clean PoCs, severity ratings
```
**关键特性:**
- 从任意阶段恢复中断的会话
- YAML 目标配置,用于认证流程、范围规则、多角色账户
- 发现自动保存到 Qdrant 用于 RAG + 训练反馈
```
# 通过自然语言(Telegram, Discord, CLI):
"Lancia il pentest pipeline su https://app.target.com con repo /opt/repos/app"
"Mostra lo stato del workspace app_target_20260402"
"Report finale del pentest app_target_20260402"
# 直接 tool call:
run_pentest_pipeline(target_url="https://app.target.com", source_code_path="/opt/repos/app")
run_external_scan(target="192.168.1.100")
```
### 模式 2——网络/基础设施渗透测试
ARGOS 可以自主进行完整的渗透测试并生成专业报告。只需询问:
模型将使用子智能体自主编排这些步骤:
```
Step 1 — Recon (parallel)
├── nmap_scan → open ports, services, banners
├── masscan_scan → fast full-port discovery
├── shodan_host → known CVEs, Shodan tags
├── whatweb_scan → web tech detection (CMS, framework, versions)
└── subdomain_enum → passive subdomains (crt.sh + hackertarget)
Step 2 — Threat Intel (parallel)
├── greynoise_ip → noise vs targeted threat
├── abuseipdb_check → attack history from 700k+ organizations
├── ipinfo_lookup → ASN, geoloc, VPN/proxy detection
└── otx_ip → AlienVault OTX pulse data
Step 3 — Vulnerability Assessment (parallel)
├── nuclei_scan → 10,000+ templates (CVE, admin panels, misconfigs)
├── ssl_check → TLS/SSL certificate analysis
├── ssllabs_analyze → grade A-F + Heartbleed/POODLE check
└── gobuster_dir → hidden directories and files
Step 4 — Deep Analysis
├── theharvester_scan → emails, subdomains, hosts from OSINT sources
├── urlscan_submit → sandbox URL analysis
└── sn1per_scan → full automated recon (if installed)
Step 5 — Report
└── generate_pentest_report → HTML + Markdown + JSON with:
✓ Executive Summary (non-technical, for management)
✓ Findings with CVSS score (Critical/High/Medium/Low/Info)
✓ Proof of Concept / Evidence with SHA256 hash
✓ Specific remediation steps
✓ MITRE ATT&CK mapping
✓ CVE/CWE references
✓ Professional colored HTML report ready for client delivery
```
报告保存到:`/opt/argos/reports/`
### 示例提示词
```
"Do a full pentest of example.com.
Check: open ports, web vulnerabilities, subdomains, TLS issues.
At the end generate a professional HTML report with all findings."
```
```
"Analyze the security of 192.168.1.0/24.
Identify active hosts, exposed services, known CVEs.
Generate a client report with executive summary and remediation steps."
```
## 仪表盘
ARGOS Web 仪表盘是由中央服务器提供的 React 应用程序。
**运行方式:** `cd dashboard && npm run build`(或开发时使用 `npm run dev`)
### 视图
**概览**——系统健康、活跃威胁、最近事件、已封锁 IP 计数、在线设备。
**威胁 Feed**——所有设备上所有事件的实时流。按严重性、类型、设备、时间范围过滤。
**设备**——所有已连接的 Agent。状态、最后在线时间、每设备威胁数、快捷操作。
**情报**——已封锁 IP 列表、威胁统计、攻击者地理位置图、主要威胁类型。
**蜜罐**——活跃蜜罐、交互日志、可下载的证据文件。
**AI**——模型状态、置信度趋势、训练历史、手动微调触发器。
**设置**——自主等级、通知偏好、社区情报、API 密钥。
WebSocket 事件流:通过 `dashboard/src/ws.ts` 从 `server/api/` 推送的实时更新。
## 移动应用
计划中的 ARGOS 移动应用(iOS 和 Android)将提供:
- 所有受保护设备的实时仪表盘
- 每个重要威胁事件的推送通知
- 一键批准/封禁待定的 AI 决策
- 攻击来源的地理可视化
- 紧急操作——隔离设备、封锁 IP,随时随地
## 社区情报
社区情报**仅限选择加入**。未经明确同意不会共享任何内容。
启用后,ARGOS 向共享网络贡献匿名化的威胁指标:
- 确认为恶意的 IP 地址
- 攻击模式和 TTP
- 蜜罐交互签名
**永不共享**的内容:
- 你的 IP 地址或设备标识符
- 内部网络拓扑
- 日志内容或证据文件
- 任何个人身份信息
社区数据库让所有用户受益:当一个 IP 攻击一个节点并被标记时,其他所有节点在它到达之前就已知悉。
### MCP 集成 + Hook 中间件
受 [Claw Code](https://github.com/sigjin/claw-code) 架构启发:
| 插件 | 工具 | 功能 |
|--------|-------|----------|
| | C2 框架(2026 年 3 月归档)——已有 emp3r0r;功能重叠 |
| | Windows 进程终止器——对于防御平台太小众 |
| | Shellcode 打包器/AV 规避——恶意软件投递工具,超出防御范围 |
| | MCP 协议调试器——太小众;非安全工具 |
| | 文档/链接集合——无可包装代码 |
| | 仅 GUI 取证应用——无头运行 |
| | 资源列表/仅文档 |
| |意大利数字取证文档 |
| | PortSwigger 实验室解决方案——无可执行工具 |
| | 已被 dfir_forensics.py 取代(更全面) |
| | 薄包装层——底层工具已单独集成 |
| | 5 | 连接到任何 MCP 服务器。工具自动发现 |
| | Pre/Post Hook 中间件:自动审计日志、速率限制器、危险工具门控、自定义 Hook 运行时 |
| | 每会话 Token 追踪、会话压缩、权限模式(readonly/workspace_write/danger_full_access)、奇偶校验审计、成本估算 |
**权限模式:**
- `readonly`——仅被动 OSINT/查询
- `workspace_write`——文件操作 + 渗透测试,无加固
- `danger_full_access`——完全访问
### SAST、恶意软件、取证、AI 安全与云 (v2.0)
新增 10 个插件:
| 插件 | 工具 | 类别 |
|--------|-------|-----------|
| | 3 | SAST——Semgrep 30+ 语言 + Bandit Python |
| | 5 | 容器/IaC——Docker、包、SBOM、Terraform |
| | 5 | 恶意软件——YARA 规则 + ClamAV 扫描 |
| | 6 | 内存取证——pslist、malfind、hashdump、netscan |
| | 4 | 网络 IDS——Zeek、Suricata、IOC 提取 |
| | 5 | 利用框架——msfrpc 集成 |
| | 5 | SQL 注入——扫描、转储、OS Shell |
| | 5 | HTTP 模糊测试——目录、vhost、参数、字典 |
| | 5 | AI 安全——LLM 漏洞扫描器、红队、基准测试 |
| | 5 | 云——ScoutSuite、Prowler、IAM 分析器 |
## 开发路线图
### 第一阶段——核心
- [x] 跨平台 Agent(Linux、macOS、Windows)
- [x] 网络监控和威胁检测
- [x] 进程监控
- [x] 带 llama.cpp 的 AI 引擎
- [x] 基于规则的回退
- [x] 通过原生 OS 防火墙 + fail2ban 封锁 IP
- [x] 蜜罐 TCP 引擎
- [x] 进程挂起
- [x] SQLite 威胁数据库
- [x] CLI 界面
- [x] Telegram + Discord + Webhook 通道
- [x] 实时监控器(systemd,7x24)
- [x] 夜间分析(cron,02:00)
- [x] 防篡改审计日志(SHA256 链)
- [x] 插件系统(84 插件,332 工具,热重载)
### 第二阶段——服务器与情报
- [x] FastAPI 中央服务器(`server/server.py`)
- [x] 多设备协调(`server/api/devices.py`)
- [ ] 跨设备威胁关联
- [x] 公共威胁源集成——AbuseIPDB、VirusTotal、Shodan(`server/intelligence/feeds.py`)
- [x] 攻击者归属报告(`server/intelligence/attribution.py`)
- [x] Docker 部署(`server/Dockerfile` + `server/docker-compose.yml`)
- [ ] 全局 TLS
### 第三阶段——AI 与学习
- [x] 微调流水线——RunPod 上的 Seneca-32B(`server/training/train_gpu.py`)
- [x] 网络安全训练数据集——8 个教授模型,自定义对齐(`server/training/`)
- [x] Shannon 渗透测试方法训练数据——5 阶段流水线示例(`training/datasets/foundational/shannon_pentest_training.jsonl`)
- [ ] 从事件中持续学习(自动化,无手动触发)
- [x] Claude API 上报(`server/ai_engine/escalation.py`)
- [x] 渗透测试发现 → Qdrant RAG 记忆(每次流水线运行后自动)
- [ ] 每设备行为基线建模
### 第四阶段——接口
- [x] React Web 仪表盘(`dashboard/src/`)
- [ ] React Native 移动应用(iOS + Android)
- [ ] 推送通知
- [x] 实时 WebSocket 事件流(`dashboard/src/ws.ts`)
### 第五阶段——高级防御
- [ ] 上下文蜜罐生成器(每服务诱饵)
- [ ] 动态端口管理
- [ ] 网络段隔离
- [ ] 凭证轮换触发器
- [ ] 勒索软件专用响应链
- [ ] DDoS 缓解模块
### 第六阶段——社区与规模
- [ ] 可选加入的社区威胁共享
- [ ] 一键安装程序(Linux .deb/.rpm、macOS .pkg、Windows .exe)
- [ ] 自动更新系统
- [ ] 文档站点
- [x] 自定义检测器插件系统(84 插件,332 工具)
## 项目结构
```
argos/
│
├── README.md
├── LICENSE
├── requirements.txt # Agent Python dependencies
├── argos_agent.py # Legacy entry point
├── setup_model.py # llama.cpp model setup helper
├── simulate.py # Threat simulation for testing
│
├── agent/ # Agentic AI core
│ ├── main.py # Entry point (CLI / Telegram / Discord / Webhook)
│ ├── agent.py # Core agentic loop (tool-calling LLM)
│ ├── session.py # Conversation history + compaction
│ ├── orchestrator.py # Parallel subagent execution (ThreadPoolExecutor)
│ ├── plugin_loader.py # Dynamic plugin discovery + hot-reload
│ ├── audit.py # Tamper-evident audit log (SHA256 chain)
│ ├── channels/
│ │ ├── telegram.py # Telegram bot
│ │ ├── discord.py # Discord bot (WebSocket + HTTP fallback)
│ │ └── webhook.py # HTTP webhook server with rate limiting
│ ├── tools/
│ │ ├── network.py # nmap, masscan, ping, DNS, WHOIS
│ │ ├── osint.py # CVE lookup, IP rep, Shodan, hash check, IOC extraction
│ │ ├── osint_advanced.py # theHarvester, Sherlock, ipwhois, subdomain enum
│ │ ├── analysis.py # log analysis, threat detection, report generation, ban_ip
│ │ ├── vuln.py # nuclei, whatweb, SSL check
│ │ ├── attribution.py # AbuseIPDB, attacker dossier, law enforcement report
│ │ ├── hardening.py # Lynis, SSH hardening, UFW, auto-harden
│ │ └── honeypot.py # deploy/manage honeypots, read attacker captures
│ ├── plugins/ # 84 hot-loadable plugins (see Plugin System above)
│ │ ├── pentest_pipeline.py # Autonomous 84-phase white-box pentest pipeline (Shannon-inspired)
│ │ ├── example_virustotal.py
│ │ ├── greynoise.py
│ │ └── ... (43 total)
│ └── README.md # Detailed agent + plugin documentation
│
├── server/ # Central FastAPI server
│ ├── server.py # FastAPI entry point
│ ├── db.py # Database models
│ ├── dashboard.py # Dashboard data aggregation
│ ├── requirements-server.txt
│ ├── Dockerfile
│ ├── docker-compose.yml
│ ├── api/
│ │ ├── events.py # Event ingestion from agents
│ │ ├── devices.py # Device management + multi-device coordination
│ │ ├── dashboard.py # Dashboard data endpoints
│ │ ├── auth.py # Token management
│ │ ├── ai_chat.py # AI chat endpoint
│ │ └── intelligence.py # Threat intelligence aggregation
│ ├── ai_engine/
│ │ ├── engine.py # llama.cpp / OpenAI-compatible integration
│ │ ├── seneca_engine.py # Seneca-specific engine
│ │ ├── coordinator.py # Multi-agent coordination
│ │ ├── prompts.py # System prompts and templates
│ │ ├── fallback.py # Rule-based fallback logic
│ │ ├── escalation.py # Claude API escalation
│ │ ├── dream.py # Dream mode: proactive threat hunting
│ │ └── tools.py # AI tool definitions
│ ├── training/
│ │ ├── train_gpu.py # LoRA fine-tuning on RunPod
│ │ ├── train_argos.py # ARGOS-specific training pipeline
│ │ ├── generate_professors.py # 8 professor model generators
│ │ ├── generate_training_data.py
│ │ ├── build_alignment_dataset.py
│ │ ├── pipeline.py # Training orchestration
│ │ └── runpod_setup.sh # RunPod GPU environment setup
│ └── intelligence/
│ ├── feeds.py # AbuseIPDB, VirusTotal, Shodan feeds
│ └── attribution.py # IP attribution and WHOIS
│
├── dashboard/ # React web dashboard
│ ├── src/
│ │ ├── App.tsx
│ │ ├── main.tsx
│ │ ├── ws.ts # WebSocket real-time event stream
│ │ ├── api.ts # REST API client
│ │ ├── types.ts # TypeScript type definitions
│ │ ├── components/ # Reusable UI components
│ │ ├── pages/ # Dashboard views
│ │ ├── hooks/ # React hooks (useWebSocket, etc.)
│ │ └── utils/ # Helpers and formatters
│ └── package.json
│
├── installer/
│ └── install.sh # Plug & play installer (Ubuntu/Debian)
│
├── prompts/
│ └── pentest/ # 13 prompt templates for pentest pipeline agents
│ ├── 01_pre_recon.txt # Phase 1: code analysis + external scans
│ ├── 02_recon.txt # Phase 2: attack surface mapping
│ ├── 03_vuln_*.txt # Phase 3: 5 vulnerability analysis specialists
│ ├── 04_exploit_*.txt # Phase 4: 5 exploitation specialists
│ └── 05_report.txt # Phase 5: executive security report
│
├── configs/
│ └── pentest/
│ └── example_target.yaml # Target config template (auth, rules, scope)
│
└── docs/
├── architecture.md
├── api-reference.md
├── training-guide.md
└── deployment-guide.md
```
## 技术栈
| 层 | 技术 | 用途 |
|-------|-----------|---------|
| Agent | Python 3.10+ | 跨平台监控、智能体循环、工具执行 |
| 网络监控 | psutil, Scapy | 连接跟踪、数据包分析 |
| 本地数据库 | SQLite | 威胁历史、已封锁 IP、会话数据 |
| AI 引擎 | llama.cpp (OpenAI 兼容) | 本地推理,无需 GPU |
| AI 模型 | Seneca-Cybersecurity-LLM-x-QwQ-32B | 定制微调网络安全模型 |
| AI 回退 | Python 规则引擎 | 无 AI 离线运行 |
| AI 上报 | Claude API (可选) | 前所未有的威胁分析 |
| 远程访问 | Telegram + Discord + Webhook | 人机回环通道 |
| 中央服务器 | FastAPI + Uvicorn | REST API、WebSocket、设备协调 |
| 服务器数据库 | PostgreSQL | 集中式威胁数据库 |
| 实时缓存 | Redis | 事件流、会话管理 |
| Web 仪表盘 | React + Recharts + Vite | 实时监控界面 |
| WebSocket | `ws.ts` + FastAPI WebSocket | 从服务器到仪表盘的实时事件流 |
| 容器化 | Docker + Docker Compose | 服务器部署 |
| 微调 | RunPod 上的 LoRA (PEFT) | GPU 云上的高效模型适配 |
| 训练数据 | 8 个教授模型 | 自动化网络安全训练数据生成 |
| 插件系统 | Python 热重载 | 84 插件,332 工具,即插即用扩展性 |
## 贡献指南
ARGOS 由社区构建。欢迎所有贡献。
### 如何贡献
1. Fork 本仓库
2. 创建功能分支:`git checkout -b feature/your-feature`
3. 进行更改,代码清晰并有文档
4. 适当添加或更新测试
5. 提交带有清晰描述的 Pull Request
### 编写插件
在 `agent/plugins/` 中创建具有以下结构的 `.py` 文件:
```
MANIFEST = {
"id": "my_plugin",
"name": "My Plugin",
"description": "What it does",
"version": "84.0.0",
"author": "Your Name",
"requires": [], # pip packages auto-installed by installer
}
def my_tool(param: str) -> dict:
"""Tool description shown to the AI model."""
# your code
return {"result": ..., "source": "My Plugin"}
TOOLS = {
"my_tool": {
"fn": my_tool,
"description": "Description for the AI model",
"parameters": {
"type": "object",
"properties": {
"param": {"type": "string", "description": "..."},
},
"required": ["param"]
}
}
}
```
放入 `agent/plugins/`——无需重启。
### 我们需要帮助的领域
- 新威胁检测器(攻击模式、协议解析器)
- 特定平台改进(Windows 和 macOS)
- 移动应用开发
- 仪表盘组件
- AI 模型的训练数据整理
- 文档和翻译
- 低资源设备的性能优化
### 报告漏洞
请勿为 ARGOS 本身的安全漏洞公开 issue。请发送详情至 security@argos-security.io。我们将在 84 小时内回复。
## 许可证
ARGOS 在 MIT 许可证下发布。完整文本见 [LICENSE](LICENSE)。
你可以自由使用、复制、修改、合并、发布、分发、再许可和销售本软件的副本。唯一的要求是保留署名。
## 宣言
谁能负担得起真正的网络安全、谁不能,这之间的差距不是一个技术问题。这是一个选择。工具存在。知识存在。一直缺失的是让所有人都能使用它们的意愿。
ARGOS 就是这种意愿的具象化。
小企业主不应在工资单和保护客户数据之间做出选择。调查腐败的记者不应因为负担不起企业 EDR 而暴露风险。依靠捐款运营的非营利组织不应因为企业安全价格过高而成为容易的目标。
安全是基础设施。像清洁水或电力一样,基线水平的保护不应取决于你有多少钱。
ARGOS 将永远免费。它将永远开源。它将永远变得更好——因为每一个使用它、改进它或仅仅相信它的人,都是实现这一目标的一部分。
*怀着人人皆应受保护的信念而构建。*
*ARGOS——开源 AI 安全平台*标签:Agent架构, AI安全, AMSI绕过, Argos, Chat Copilot, CIDR输入, CISA项目, HTTP/HTTPS抓包, HTTP工具, IP 地址批量处理, Python, SOC工具, WSL, 主机防护, 威胁检测, 密码管理, 底层分析, 开源安全平台, 态势感知, 插件系统, 无后门, 智能防御, 漏洞发现, 端点防护, 网络安全, 网络安全审计, 自动响应, 蜜罐系统, 请求拦截, 逆向工具, 速率限制, 隐私保护