assafkip/huntkit

GitHub: assafkip/huntkit

一个面向 Claude Code 的调查工作流工具,集成 OSINT、结构化分析与证据捕获,用于规范化的威胁情报与数字取证。

Stars: 46 | Forks: 4

# huntkit [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](https://opensource.org/licenses/MIT) [![Claude Code](https://img.shields.io/badge/Claude_Code-plugin-orange)](https://claude.com/claude-code) [![GitHub stars](https://img.shields.io/github/stars/assafkip/huntkit?style=social)](https://github.com/assafkip/huntkit) [![Topics](https://img.shields.io/badge/topics-osint%20%7C%20threat--intel%20%7C%20investigation-brightgreen)](https://github.com/topics/osint) 专为 [Claude Code](https://claude.com/claude-code) 设计的调查工具包。提供案件管理、OSINT、结构化分析技术、证据监管链捕获,以及用于基础设施侦察和威胁情报的内置 MCP 服务器。 这不仅仅是一个爬虫包装器。它是一个完整的调查工作流——从案件接达到证据级别的档案。 **适用场景:** OSINT、尽职调查、威胁情报、应急响应、数字取证、新闻调查、竞争情报、安全研究、CTF 挑战。 ## 工作原理 ### 调查生命周期 ``` flowchart LR Start([New case]) --> NewCase[/q-new-case/] NewCase --> Scope[/q-scope/] Scope --> Begin[/q-begin/] Begin --> Collect{Collection} Collect --> Intake[/q-intake
client docs/] Collect --> OSINT[/q-osint
platform-targeted/] Collect --> Sweep[/q-collect
broad sweep/] Collect --> Target[/q-target
profile/] Intake --> Evidence[(EV-NNNN
evidence items
Wayback + archive.today
+ Chrome PDF + SHA-256)] OSINT --> Evidence Sweep --> Evidence Target --> Evidence Evidence --> Analyze{Analysis} Analyze --> Timeline[/q-timeline/] Analyze --> Link[/q-link
graph edges/] Analyze --> ACH[/q-analyze
Heuer's ACH/] Analyze --> Challenge[/q-challenge
red team/] Analyze --> Reality[/q-reality-check/] Timeline --> Report{Report} Link --> Report ACH --> Report Challenge --> Report Reality --> Report Report --> Brief[/q-brief
evidence-cited/] Report --> Debrief[/q-debrief
internal/] Brief --> Export[/q-export/] Debrief --> Export Export --> End([Dossier delivered]) style Evidence fill:#fef3c7,stroke:#d97706,stroke-width:2px style Start fill:#dbeafe,stroke:#2563eb style End fill:#dcfce7,stroke:#16a34a ``` 每个 URL 都会通过 `capture-evidence.sh` 进行路由。每项发现都会引用 `[EV-NNNN]`。每个主张都有 A-F 的可靠性评级。 ### 架构 ``` graph TB subgraph Claude[Claude Code] CC[/Claude Code session/] end subgraph huntkit[huntkit plugin] direction TB subgraph Skills OSINT_S[osint
6-phase workflow] SA_S[structured-analysis
Heuer's ACH + tradecraft primer] end subgraph Commands[22 commands] CM[case mgmt] CL[collection] AN[analysis] RP[reporting] end subgraph Rules[Enforced rules] EC[evidence-capture-protocol] QI[q-investigation] TD[token-discipline] SY[sycophancy] end subgraph Templates NI[new-investigation] SS[sec-stack-case] end end subgraph MCP[Bundled MCP servers] OI[osint-infra
whois, dns, wayback] TI[threat-intel
VT, URLhaus, ThreatFox, crt.sh] end subgraph External[Optional external APIs] PPL[Perplexity] EXA[Exa] TAV[Tavily] APF[Apify
55+ scrapers] JIN[Jina] BD[Bright Data] end subgraph Case[Case workspace] EVD[(investigations/case/
evidence/ findings/
targets/ timelines/)] end CC --> huntkit huntkit --> MCP huntkit --> External huntkit --> Case Rules -.enforces.-> Commands Commands -.uses.-> Skills style Case fill:#fef3c7,stroke:#d97706 style MCP fill:#e0e7ff,stroke:#6366f1 style Rules fill:#fee2e2,stroke:#dc2626 ``` ## 您将获得什么 ### 技能 (Skills) - **`osint`** — 6 阶段调查:工具检查 → 种子收集 → 可选的内部情报 → 平台提取 → 交叉比对 → 心理画像 → 完整性评分 → 档案生成。 - **`structured-analysis`** — CIA 情报分析基础库(Heuer 的竞争性假设分析法 (ACH)、关键假设检查、信息质量检查、红队分析、事前剖析、66 种技术分类)。基于 Apache 2.0 协议,上游项目为 [Blevene/structured-analysis-skill](https://github.com/Blevene/structured-analysis-skill)。 ### 命令 (22) **案件管理:** `/q-new-case`, `/q-scope`, `/q-begin`, `/q-status`, `/q-checkpoint`, `/q-handoff`, `/q-end` **信息收集:** `/q-intake`, `/q-collect`, `/q-osint`, `/q-target`, `/q-screenshots` **分析:** `/q-analyze`, `/q-challenge`, `/q-reality-check`, `/q-client-questions`, `/q-timeline`, `/q-link` **报告生成:** `/q-brief`, `/q-debrief`, `/q-export` **专项功能:** `/q-sec-stack`(SaaS 安全栈情报) ### MCP 服务器(内置) - **`osint-infra`** — WHOIS、DNS、反向 DNS、Wayback 快照 / 抓取。 - **`threat-intel`** — VirusTotal、URLhaus、ThreatFox、crt.sh 证书透明度。 ### 规则(强制执行) - **`evidence-capture-protocol`** — 每个 URL 都会通过 `capture-evidence.sh` 路由(Wayback + archive.today + Chrome PDF + SHA-256 + 元数据)。生成原子化的 `EV-NNNN-/` 文件夹。报告通过 ID 进行引用。 - **`q-investigation`** — 遇错即停 (fail-stop)、token 节约策略、状态文件优先于会话文件、信息源可靠性 A-F 评级机制。 - **`token-discipline`** — 停止条件、重试限制。 - **`sycophancy`** — 防止 RLHF 漂移、决策来源标记。 ### 模板 - **`new-investigation/`** — 完整的案件脚手架(包含 `canonical/`、`investigation/evidence|findings|targets|timelines/`、`memory/`、`output/`)。 - **`sec-stack-case/`** — SaaS 安全栈调查模板。 ## 安装 ``` # 在 Claude Code 中 /plugin install assafkip/huntkit ``` 或者通过克隆仓库: ``` git clone https://github.com/assafkip/huntkit.git ``` ## MCP 服务器设置 ``` cp .mcp.json.template .mcp.json ``` ### `osint-infra`(无需 API 密钥) ``` cd mcp-servers/osint-infra python3.13 -m venv .venv source .venv/bin/activate pip install -r requirements.txt ``` ### `threat-intel` 获取免费的 API 密钥: - VirusTotal: https://virustotal.com/gui/join-us (每天 500 次请求) - abuse.ch (URLhaus + ThreatFox): https://auth.abuse.ch ``` export VT_API_KEY=... export ABUSE_CH_AUTH_KEY=... ``` ## 可选的搜索 / 爬虫 API 均为可选项——即使不配置,该技能也会优雅降级。运行 `bash skills/osint/scripts/diagnose.sh` 可查看哪些服务处于激活状态。 | 环境变量 | 服务 | 获取密钥 | |---|---|---| | `PERPLEXITY_API_KEY` | Perplexity Sonar / Deep | https://perplexity.ai | | `EXA_API_KEY` | Exa 语义搜索 | https://exa.ai | | `TAVILY_API_KEY` | Tavily 智能体搜索 | https://tavily.com | | `APIFY_TOKEN` | Apify 爬虫 (LinkedIn, IG, TikTok, YouTube, FB 页面) | https://apify.com | | `JINA_API_KEY` | Jina reader / deepsearch | https://jina.ai | | `PARALLEL_API_KEY` | Parallel AI 搜索 | https://parallel.ai | | `BRIGHTDATA_MCP_URL` | Bright Data MCP (Facebook, LinkedIn, 受地理限制的内容) | https://brightdata.com | ## 可选:Telegram 侦察 未内置——如有需要,请单独安装: ``` git clone https://github.com/Darksight-Analytics/tgspyder.git cd tgspyder && pip install -r requirements.txt && pip install -e . ``` ## 典型工作流 ``` /q-new-case acme-breach /q-scope # define question, targets, constraints /q-begin # resume session /q-intake # ingest client-provided docs /q-osint linkedin https://linkedin.com/in/someone /q-collect domain acme.com /q-target acme-ceo /q-timeline # reconstruct event sequence /q-analyze ach # analysis of competing hypotheses /q-challenge # red team own conclusions /q-brief # generate evidence-grounded report /q-export # final package ``` 捕获的每个 URL 都会通过证据协议进行路由。每份报告都会引用 `[EV-NNNN]`。每个主张都有 A-F 的可靠性评级。 ## 伦理规范 适用于: - 授权的安全测试和尽职调查 - 针对公众人物的新闻和学术研究 - 防御性威胁情报和应急响应 - CTF / 教育场景 未经同意,不得将其用于针对普通私人的调查,也不得用于骚扰、人肉搜索或跟踪。您需自行确保遵守当地法律及平台服务条款。 ## 面向 LLM 智能体 请参阅 [`llms.txt`](llms.txt) 获取机器可读的功能摘要,其中包含针对何时使用各项技能、命令和 MCP 服务器的决策矩阵。 ## 许可证 MIT 协议。详见 [LICENSE](LICENSE)。 `skills/structured-analysis/` 子目录采用 Apache 2.0 协议(详见 `skills/structured-analysis/LICENSE` 和 `NOTICE.md`)。
标签:Claude Code 插件, MCP 服务器, 威胁情报, 安全调查, 实时处理, 开发者工具, 开源情报 (OSINT), 数字取证, 案件管理, 自动化脚本