Nicholas-Kloster/cortex-framework

# Cortex — 授权上下文分析器 Cortex 帮助您描述某事物——一段软件、一封诈骗邮件，或任何 行为 —— 分为三个部分：**它做了什么**，**它未请求就拿走了什么**， 以及**这为什么重要**。 您撰写注释。Cortex 会将其格式化为整洁报告，评估严重性， 并允许您并排比较示例。 请参阅 [`framework.md`](framework.md) 获取完整方法论、违规分类 和参考分析。 ## 快速开始 ``` python3 analyzer.py analyze examples/iloveyou.md python3 analyzer.py analyze examples/xz_utils_backdoor.md --html python3 analyzer.py validate examples/stuxnet.md python3 analyzer.py compare examples/iloveyou.md examples/conficker.md ``` 输出默认位于 `output/reports/`： - `.json` — 结构化数据 - `_report.md` — 人类可读的 Markdown - `_report.html` — 可选 HTML（深色主题） ## 命令 ### analyze ``` python3 analyzer.py analyze [--json PATH] [--report PATH] [--html [PATH]] [--output-dir DIR] [--force] ``` - `--html` 会同时生成 HTML 报告以及 JSON + Markdown。路径可选。 - `--force` 即使验证失败（缺少部分字段）也会写入输出。 ### validate ``` python3 analyzer.py validate ``` 如果三个部分都存在且非空，则退出 0。显示解析警告。 ### compare ``` python3 analyzer.py compare ``` 根据终端宽度进行并排比较，涵盖所有三个部分，并额外提供 一个汇总行，显示严重性、统计数量，以及骨架 → 违规缺口。 ## 输入格式 ``` # 主题 - 授权上下文分析 ## SKELETON - functional operation 1 - functional operation 2 ## 违规行为（或者“## 授权违规”） - Assumes right to X without authorization - Zero checks before Y ## 使情况变糟的上下文（或者“## 上下文”） - Impact on owner/system - Deception involved ## 参考文献（可选，建议用于可引用的分析） - Primary source 1 - Primary source 2 ``` 标题不区分大小写，并且支持别名。 ## 严重性 ``` if violations ≤ 1: severity = informational else: score = violations + (context × 0.5) score ≥ 10 → critical score ≥ 6 → high score ≥ 3 → medium otherwise → low ``` 存在“违规数 ≤ 1”的上限，因为边界测试样本（如 Mimikatz 或 mgeeky/red-teaming） 的 CONTEXT 部分密集，属于 *框架评论*，而非 *授权伤害*。若没有该上限， 这些样本会从它们不配称的上下文权重中继承虚高的严重性。 报告还会打印 **骨架 → 违规缺口**（`violations − operations`）。 正缺口表示社会工程 / 认知层攻击（攻击者声称的权利多于其可见执行的操作）。 深度负缺口表示 LOTL、供应链或边界测试样本（操作多但明确的权利主张少）。 ## 语料库 `examples/` 包含 14 份参考分析，覆盖四种交付媒介： | 类别 | 样本 | |---|---| | 历史蠕虫 / APT | ILOVEYOU、Conficker、Stuxnet、WannaCry、NotPetya、SUNBURST、Volt Typhoon、xz-utils、3CX 连锁 | | 工业控制系统 / 安全系统攻击 | Triton / TRISIS | | 社会工程 | 钓鱼 / 419 预付诈骗 | | 大语言模型层攻击 | 提示注入 / 越狱链 | | 边界测试（零违规样本） | gentilkiwi/mimikatz、mgeeky/Penetration-Testing-Tools | 请参阅 `framework.md` § *参考分析* 获取完整指标表 （操作、违规、上下文、缺口、严重性）涵盖全部 14 个样本。 ## 项目结构 ``` cortex-framework/ ├── analyzer.py # CLI + parser + renderers ├── framework.md # Methodology, violation classes, corpus findings ├── examples/ # 14 reference analyses ├── output/reports/ # Generated JSON / MD / HTML artifacts ├── templates/ # HTML template stub ├── README.md └── LICENSE ``` ## 依赖 仅使用 Python 3.10+ 标准库。无需 `pip install`。 ## 贡献 框架与语料库由 **Nicholas Kloster** 提供 ([@Nicholas-Kloster](https://github.com/Nicholas-Kloster))。 工具扩展与语料库更新由 Nuclide 协作开发 （详见 `framework.md` § *版本管理*）。 MIT 许可 —— 参见 [`LICENSE`](LICENSE)。

标签：API安全, DAST, ESC8, HTML报告, JSON输出, Markdown报告, Python, SEO, SQL, 关键词, 后端开发, 威胁建模, 安全分析框架, 安全报告, 对比分析, 工业控制系统安全, 恶意软件分析, 授权上下文分析, 提示注入, 无后门, 权限评估, 样本分析, 社会工程学, 系统审计, 结构化报告, 违规检测, 逆向工具, 集群管理, 验证框架