Watchtower-Protocol/Watchtower

# Watchtower Sovereign EDR/NDR (v1.6.9 架构)  [](LICENSE) [](SECURITY.md) [](tools.md) [](mailto:watchtowerprotocol@proton.me) **Watchtower Command** 是一个完全自主、零依赖的网络检测与响应（NDR）平台。它专为最大部署灵活性而设计：您可以手动安装作为**独立主权控制台**（通过 LM Studio 本地连接 LLM），或者将整个仓库交给自主 AI 编排框架（如 OpenClaw、Hercules、SWE-Agent 或 AutoGPT）并指示其自动安装、配置和运行整个网络安全平台。欢迎来到 Watchtower。这是一个商业级、本地托管的主权安全平台，它能将任何主机（Windows 操作系统、Apple Silicon、Linux VPS 或 Raspberry Pi）转变为 AI 驱动的威胁狩猎网关。 ## 🛑 Watchtower 替代了什么？ Watchtower 旨在取代昂贵的、依赖云服务、按端点授权的安全架构。通过运行您自己的开源模型（或按您的条件使用云 API），Watchtower 取代了： * **商业 EDR（如 CrowdStrike、SentinelOne）：** 被 Watchtower 的行为引擎、正则表达式清理器和自动回滚功能取代。 * **网络检测（如 Darktrace、Vectra）：** 被 Watchtower 的 NDR 异常检测、子网映射器和横向移动监控取代。 * **数据防泄漏（如 Varonis、Symantec DLP）：** 被 Watchtower 的文件完整性监控（FIM）、诱饵 USB 陷阱和原生加密防护（种子短语/钱包保护）取代。 * **安全信息与事件管理（如 Splunk、Datadog Security）：** 被 Watchtower 的集中式 Hub 仪表板和 LLM 驱动的日志关联取代。 ## 🦅 主权优势（为何重要） 传统的 EDR 将您公司的全部文件元数据、进程执行和网络遥测流式传输到其专有云服务器。 Watchtower 是一个**主权矩阵**。 1. **零外泄：** 您的遥测数据永远不会离开您的网络。 2. **AI 运营，而非仅 AI 辅助：** 传统工具仅向人类 SOC 分析员提供告警；Watchtower 直接向 LLM 提供原生工具，使 AI 能够自主进行威胁狩猎、隔离和响应。 3. **零依赖：** 节点不需要重型代理、JVM 或复杂依赖。纯粹、轻量级的子进程。 ## ⚙️ 它能做什么？ Watchtower 作为一个完全封闭的、自主的中心系统，跨越多操作系统网络运行。集中式的 **Hub** 承载 AI 驱动的遥测门户和舰队资产追踪器，而分布式的 **Supervisors**（信标）自主执行安全策略、追踪无文件内存行为，并通过 Python 子进程在本地智能地狩猎零日漏洞。 ## 🌐 动态主机组管理 不同于依赖 `.env` 修改或静态 Shell 脚本的传统系统，Watchtower 实现了**集中式组策略**。 1. **仪表板配置**：在 `localhost:8080` 管理仪表板中，您可以动态创建部署伞（例如 `Prod Tier 1`、`Laptops`、`Default`）。 2. **原生子系统切换**：启用 AI 传感器的特定组合（行为引擎、深度预言仪、FIM、正则表达式内存清理器、NDR 引擎、CIS 合规性、自动回滚或审计模式）。 3. **即时阶段式部署**：配置后，Hub 会联系已注册端点并即时无缝切换内部 Python 进程，而不会中断操作系统服务。 4. **OTA 网络升级**：通过导航至 **🚀 部署 OTA** 模块，上传 `core.zip`，即可观察端点通过内部 Tailscale IP 块全局解析您的加密 HMAC 部署载荷。 ## ⚡ 分布式安装向导 Watchtower 配备了为严格 Unix 环境和 Windows 发行版量身打造的智能引导界面。 **[👉 点击此处查看分步安装指南（INSTALL.md）](INSTALL.md)** 安装引擎自主处理： 1. **主 Hub 模式**：自动下载 GUI 框架，设置 Web 仪表板，并将安全的 JSON Web 令牌原生生成到 `.env`。 2. **边缘传感器模式**：仅作为轻量级情报信标部署，移除所有重型 Web 依赖。它会原生向外绑定，安全地连接回您配置的主 Hub。 ## 🧠 硬件集成（Qwen、Llama、OpenAI、Anthropic） Watchtower 在边缘芯片或云接口上运行无差错。它能无缝解码来自大型离线逻辑模型（如 Qwen、Llama 或 Gemma）以及商业云 API 的 API 信号。为了优化 EDR 推理，请确保您的 `max_tokens` 上下文缓冲区评估达到 `4000` 个令牌，以实现对文件熵变异的复杂链式思维隔离。 ## 🛡️ 防御机制 * **加密防护（Web3 DLP）：** 专门设计用于保护加密资产。Watchtower 运行一个 24/7 后台守护进程，持续扫描系统剪贴板以阻止恶意软件在传输过程中交换您的比特币、以太坊或 Solana 钱包地址。它还会自动扫描文件系统以发现意外暴露的 12/24 字 BIP39 明文种子短语，防止钱包被静默盗取。 * **行为引擎：** 阻止 Living-off-the-Land 内存投放。 * **资产应用追踪器：** 实时流式传输完整的 SBOM 使用管道指标到矩阵布局。 * **诱饵/USB-DLP：** 自动应对物理提取向量和横向勒索扫描。 * **零日撤销：** 持续集成 Hacker News 零日报告与本地应用库存，在 CVE 披露前即时隔离二进制文件。 * **内存签名（正则表达式清理器）：** 通过零依赖的纯 Python 正则表达式数组扫描活动磁盘可执行文件，用于 Cobalt Strike 或 Metasploit。 * **自动回滚（快照）：** 生成活动的 VSS/APFS 快照，以免疫节点免受勒索软件加密爆发的影响（需要 Windows 管理员权限）。 * **零信任 CIS 审计器：** 跨操作系统例行断言，检查防火墙、加密和 SSHD 约束，仅通过遥测严格告警。

标签：AI原生架构, AI安全, AMSI绕过, Apple Silicon安全, C2, Chat Copilot, Conpot, DLP, EDR, HTTP/HTTPS抓包, LLM原生, NDR, PB级数据处理, Raspberry Pi安全, Windows安全, x64dbg, 主权安全, 加密防护, 威胁检测, 安全网关, 安全运维, 开源安全平台, 异常检测, 态势感知, 数据丢失防护, 暗网检测, 本地托管, 横向移动监控, 正则清洗, 端点检测与响应, 结构化查询, 网络安全, 网络检测与响应, 脆弱性评估, 脱壳工具, 自主AI, 自动化安全, 自动回滚, 自治AI编排, 行为引擎, 诱饵USB, 逆向工具, 部署灵活性, 隐私保护, 零依赖