Turbo31150/find-evil-jarvis
GitHub: Turbo31150/find-evil-jarvis
基于 FastAPI 的多 Agent 并行网络安全威胁检测平台,可对文本、URL、代码和日志进行快速 IOC 提取、钓鱼识别、恶意软件模式匹配及日志异常分析。
Stars: 0 | Forks: 0
# FIND EVIL! — AI 威胁检测系统
[](https://opensource.org/licenses/MIT)
多 Agent 网络安全平台。四个专业 Agent **并行**运行,可在 100 毫秒内检测 IOC、网络钓鱼、恶意软件模式和日志异常。
## 架构
```
Suspicious content
│
▼
POST /analyze ──────────────────────────────────── asyncio.gather()
│ │ │ │
▼ ▼ ▼ ▼
ioc_extractor phishing_detector malware_pattern log_anomaly
│ │ │ │
└──────────────┴───────────────┴────────────────────┘
│
Overall verdict + risk score
```
## Agent
| Agent | 检测内容 |
|---|---|
| `ioc_extractor` | 从任何文本中提取 IP、域名、哈希、URL、电子邮件 |
| `phishing_detector` | 品牌同形字、紧急性语言、凭证收集 |
| `malware_pattern` | C2 通信、进程注入、勒索软件、键盘记录器 |
| `log_anomaly` | 暴力破解、注入尝试、路径遍历、扫描器活动 |
## 快速入门
```
pip install fastapi uvicorn httpx pydantic
uvicorn main:app --reload --port 8000
```
### 分析 URL 或文本
```
curl -X POST http://localhost:8000/analyze \
-H "Content-Type: application/json" \
-d '{"content":"Click here: http://paypa1.com/verify-account?urgent=1","analysis_type":"url"}'
```
### 从威胁报告中提取 IOC
```
curl -X POST http://localhost:8000/ioc/extract \
-H "Content-Type: application/json" \
-d '{"text":"C2 server at 185.220.101.45 using domain evil-c2.xyz, hash: d41d8cd98f00b204e9800998ecf8427e"}'
```
### 扫描代码查找恶意软件
```
curl -X POST http://localhost:8000/code/scan \
-H "Content-Type: application/json" \
-d '{"code_snippet":"import base64; exec(base64.b64decode(payload))"}'
```
### 分析日志文件
```
curl -X POST http://localhost:8000/logs/analyze \
-H "Content-Type: application/json" \
-d '{"log_lines":["192.168.1.1 - - [21/Apr/2026] \"GET /etc/passwd HTTP/1.1\" 404","Failed login from 185.220.101.45"]}'
```
## 响应示例
```
{
"overall_verdict": "malicious",
"overall_risk_score": 0.9,
"agents_run": ["ioc_extractor", "phishing_detector"],
"analysis_time_ms": 42.5,
"agent_results": {
"phishing_detector": {
"verdict": "phishing",
"risk_score": 0.9,
"signals": [{"type": "brand_homoglyph", "weight": 0.9}]
}
}
}
```
## 技术栈
- **FastAPI** — 异步 REST,自动生成 OpenAPI 文档
- **Python asyncio** — 并行执行 Agent
- **Pydantic v2** — 严格的 schema 验证
- **基于正则表达式的检测** — 零 ML 训练开销,可离线工作
- **可选的 LLM 洞察** — Ollama gemma3:4b / LM Studio qwen3.5-9b
## API 文档
`http://localhost:8000/docs`
## 团队
**Turbo31150** — 网络安全 + 多 Agent 系统工程师。
GitHub: https://github.com/Turbo31150
标签:AI风险缓解, AMSI绕过, asyncio, ATT&CK 框架, AV绕过, C2通信, CISA项目, DAST, FastAPI, FIND EVIL, IOC提取, IP 地址批量处理, PoC, Pydantic, PyRIT, Python, RESTful API, SSH蜜罐, Uvicorn, Web安全, 人工智能, 勒索软件, 多智能体系统, 威胁情报, 威胁检测, 安全运营, 开发者工具, 异步编程, 恶意软件分析, 扫描框架, 提示词优化, 无后门, 日志异常检测, 暴力破解, 注入攻击, 用户模式Hook绕过, 端点检测与响应(EDR), 结构化查询, 网络安全, 网络钓鱼检测, 自动化安全, 蓝队分析, 计算机取证, 路径遍历, 进程注入, 逆向工具, 键盘记录器, 隐私保护, 黑客马拉松