dianaloveava/eviltrace-find-evil

# EvilTrace EvilTrace 是一个免费、本地优先的全栈事件响应代理工作台，专为 Devpost **FIND EVIL!** 挑战赛而构建。它展示了一个自主但有边界的防御者工作流：接收安全证据，运行只读检查，创建与证据关联的发现，自我纠正薄弱的声明，并导出便于评委查看的报告。 ## 为什么会有这个项目 提交策略以获奖为导向但保持诚实：EvilTrace 旨在优化打磨出可检查的演示，而无需私人数据或由代理控制的 Devpost/账户/法律操作。参赛者可以选择配置付费的 LLM 端点，但绝不会提交密钥，并且确定性路径仍可用于可重现的本地检查。 ## 功能特性 - 在 `data/fixtures/case_alpha` 中包含合成的安全事件响应测试固件。 - 用于身份验证异常、命令执行、持久性和数据外发信号的确定性只读工具。 - 具有步骤预算和明确自我纠正的有界代理循环。 - 用于查看发现、时间线、证据和纠正的静态 Web 仪表板。 - Markdown/JSON 报告导出。 - 确定性本地路径无需付费 API 密钥或外部服务；可选的 LLM 端点必须由用户提供。 ## 快速开始 ``` python scripts/run_demo.py python -m eviltrace.server ``` 然后打开 并点击 **Run demo investigation**。 ## 运行测试 ``` python -m unittest discover -s tests -v ``` ## 默认安全边界 - 演示数据是合成的，可安全发布。 - 在默认路径中，证据处理是只读的。 - 确定性本地路径不需要付费 API；可选的 LLM API 必须由参赛者配置并记录在日志中。 - 请勿将真实的私人、受监管或敏感证据上传到公开部署中。 - 用户必须亲自处理 Devpost 注册、法律资格、最终提交、奖金支付和税务信息。 ## 提交材料包 - PRD：`docs/prd-eviltrace-find-evil.md` - 测试规范：`docs/test-spec-eviltrace-find-evil.md` - Devpost 故事草稿：`docs/devpost-story.md` - 演示脚本：`docs/demo-script.md` - 架构：`docs/architecture.md` ## 黑客松目标 主要目标：在 Devpost 上的 FIND EVIL! 挑战赛。在最终提交前，请重新核对所有比赛规则。 ## FIND EVIL! 需求追踪 - 需求清单：`docs/requirement-checklist.md` - 数据集文档：`docs/dataset-documentation.md` - 准确性报告：`docs/accuracy-report.md` - 示例执行日志：`docs/sample-agent-execution-log.json` - SIFT Workstation 运行手册：`docs/sift-workstation-runbook.md` 当前状态：EvilTrace 是一个可工作的原型，公开仓库目标为 `https://github.com/dianaloveava/eviltrace-find-evil`。严格的最终 Devpost 提交仍需要用户自有的 Devpost/Slack/资格验证操作、针对官方起始资源运行的 SIFT Workstation / Protocol SIFT、官方真实案例报告/日志工件以及录制的演示视频。之前下载的 11.23GB 起始 zip 包已通过校验和记录在档，但为释放磁盘空间已在本地被删除。 ## SIFT/DFIR 导入路径 规范化 SIFT 风格的导出并运行同样的有界代理： ``` python -m eviltrace.cli import-sift --source data/sift_exports/demo --case sift_demo python -m eviltrace.cli run --case sift_demo --report docs/sift-demo-report.md ``` 检查标准 MCP stdio JSON-RPC 只读工具边界： ``` printf '{"jsonrpc":"2.0","id":1,"method":"initialize","params":{"protocolVersion":"2024-11-05"}}\n{"jsonrpc":"2.0","id":2,"method":"tools/list","params":{}}\n{"jsonrpc":"2.0","id":3,"method":"tools/call","params":{"name":"suspicious_commands","arguments":{"case_id":"sift_demo"}}}\n' | python -m eviltrace.mcp_server ``` 旧版 CLI 包装器仍可用于快速本地检查： ``` python -m eviltrace.tool_server --manifest python -m eviltrace.tool_server --case sift_demo --call suspicious_commands ``` ## 严格官方合规状态 严格的 FIND EVIL / Protocol SIFT 完成情况在 `docs/official-strict-compliance.md` 中追踪。在用户完成自有 Devpost/Slack/SIFT 条款步骤、官方起始资源分析运行以及演示视频之前，当前仓库代码不能声称为最终的官方提交。 ## 原型本地资产 - Devpost 表单草稿：`submission/devpost-form.md` - 最终审查清单：`submission/final-review.md` - 架构图 SVG：`docs/architecture.svg` - 仪表板截图：`docs/screenshots/eviltrace-dashboard.png` - SIFT 运行手册：`docs/sift-workstation-runbook.md` 当前本地状态：代码、启动器、检查、公开仓库元数据、官方数据校验和清单、MCP stdio 服务器和原型文档均可用。仓库 URL：https://github.com/dianaloveava/eviltrace-find-evil。严格的官方完成仍受限于 `docs/official-strict-compliance.md` 中的清单。 ## 公开仓库 https://github.com/dianaloveava/eviltrace-find-evil

标签：AI安全, Chat Copilot, Devpost黑客松, DInvoke, FIND EVIL, Full-stack, Homebrew安装, Python, SOC自动化, 代码示例, 安全事件响应, 安全合规, 安全报告生成, 安全运营, 开源安全工具, 扫描框架, 数据分析, 无后门, 本地部署, 网络代理, 网络安全, 自主智能体, 自我纠错, 证据链分析, 逆向工具, 逆向工程平台, 防御加固, 隐私保护, 静态Web仪表板