jbatts82/huntkit
GitHub: jbatts82/huntkit
一个为 Claude Code 打造的专业调查工具包,将 OSINT 采集、结构化分析方法论与证据链保全整合为完整的端到端调查工作流。
Stars: 1 | Forks: 0
# huntkit
[](https://opensource.org/licenses/MIT)
[](https://claude.com/claude-code)
[](https://github.com/assafkip/huntkit)
[](https://github.com/topics/osint)
专为 [Claude Code](https://claude.com/claude-code) 打造的调查工具包。提供案例管理、OSINT、结构化分析技术、证据保管链捕获,以及用于基础设施侦察和威胁情报的内置 MCP 服务器。
这不仅仅是一个爬虫封装器。而是一套完整的调查工作流——从案件受理到生成具备证据效力的档案。
**适用场景:** OSINT、尽职调查、威胁情报、应急响应、数字取证、新闻调查、竞争情报、安全研究、CTF 挑战。
## 工作原理
### 调查生命周期
```
flowchart LR
Start([New case]) --> NewCase[/q-new-case/]
NewCase --> Scope[/q-scope/]
Scope --> Begin[/q-begin/]
Begin --> Collect{Collection}
Collect --> Intake[/q-intake
client docs/] Collect --> OSINT[/q-osint
platform-targeted/] Collect --> Sweep[/q-collect
broad sweep/] Collect --> Target[/q-target
profile/] Intake --> Evidence[(EV-NNNN
evidence items
Wayback + archive.today
+ Chrome PDF + SHA-256)] OSINT --> Evidence Sweep --> Evidence Target --> Evidence Evidence --> Analyze{Analysis} Analyze --> Timeline[/q-timeline/] Analyze --> Link[/q-link
graph edges/] Analyze --> ACH[/q-analyze
Heuer's ACH/] Analyze --> Challenge[/q-challenge
red team/] Analyze --> Reality[/q-reality-check/] Timeline --> Report{Report} Link --> Report ACH --> Report Challenge --> Report Reality --> Report Report --> Brief[/q-brief
evidence-cited/] Report --> Debrief[/q-debrief
internal/] Brief --> Export[/q-export/] Debrief --> Export Export --> End([Dossier delivered]) style Evidence fill:#fef3c7,stroke:#d97706,stroke-width:2px style Start fill:#dbeafe,stroke:#2563eb style End fill:#dcfce7,stroke:#16a34a ``` 每个 URL 都会经由 `capture-evidence.sh` 处理。每项发现都会引用 `[EV-NNNN]`。每个论断都带有 A-F 可靠性评级。 ### 架构 ``` graph TB subgraph Claude[Claude Code] CC[/Claude Code session/] end subgraph huntkit[huntkit plugin] direction TB subgraph Skills OSINT_S[osint
6-phase workflow] SA_S[structured-analysis
Heuer's ACH + tradecraft primer] end subgraph Commands[22 commands] CM[case mgmt] CL[collection] AN[analysis] RP[reporting] end subgraph Rules[Enforced rules] EC[evidence-capture-protocol] QI[q-investigation] TD[token-discipline] SY[sycophancy] end subgraph Templates NI[new-investigation] SS[sec-stack-case] end end subgraph MCP[Bundled MCP servers] OI[osint-infra
whois, dns, wayback] TI[threat-intel
VT, URLhaus, ThreatFox, crt.sh] end subgraph External[Optional external APIs] PPL[Perplexity] EXA[Exa] TAV[Tavily] APF[Apify
55+ scrapers] JIN[Jina] BD[Bright Data] end subgraph Case[Case workspace] EVD[(investigations/case/
evidence/ findings/
targets/ timelines/)] end CC --> huntkit huntkit --> MCP huntkit --> External huntkit --> Case Rules -.enforces.-> Commands Commands -.uses.-> Skills style Case fill:#fef3c7,stroke:#d97706 style MCP fill:#e0e7ff,stroke:#6366f1 style Rules fill:#fee2e2,stroke:#dc2626 ``` ## 您将获得 ### 技能 - **`osint`** — 6 阶段调查:工具检查 → 种子收集 → 可选内部情报 → 平台数据提取 → 交叉比对 → 心理画像 → 完整性评分 → 生成档案。 - **`structured-analysis`** — CIA 传统技术入门库(Heuer 的 ACH、关键假设检验、信息质量检验、红队、事前验尸、66 项技术分类法)。Apache 2.0 许可,上游来源 [Blevene/structured-analysis-skill](https://github.com/Blevene/structured-analysis-skill)。 ### 命令 (22) **案例管理:** `/q-new-case`, `/q-scope`, `/q-begin`, `/q-status`, `/q-checkpoint`, `/q-handoff`, `/q-end` **信息收集:** `/q-intake`, `/q-collect`, `/q-osint`, `/q-target`, `/q-screenshots` **分析:** `/q-analyze`, `/q-challenge`, `/q-reality-check`, `/q-client-questions`, `/q-timeline`, `/q-link` **报告:** `/q-brief`, `/q-debrief`, `/q-export` **专业化:** `/q-sec-stack`(SaaS 安全栈情报) ### MCP 服务器(内置) - **`osint-infra`** — WHOIS, DNS, 反向 DNS, Wayback 快照 / 抓取。 - **`threat-intel`** — VirusTotal, URLhaus, ThreatFox, crt.sh 证书透明度。 ### 规则(强制执行) - **`evidence-capture-protocol`** — 每个 URL 都经由 `capture-evidence.sh` 处理(Wayback + archive.today + Chrome PDF + SHA-256 + 元数据)。原子化的 `EV-NNNN-/` 文件夹。报告通过 ID 进行引用。
- **`q-investigation`** — 遇错即停、token 使用规范、状态文件与会话文件的权限分离、来源可靠性 A-F 评级。
- **`token-discipline`** — 停止条件,重试限制。
- **`sycophancy`** — 反 RLHF 漂移,决策来源标记。
### 模板
- **`new-investigation/`** — 完整案例脚手架(`canonical/`, `investigation/evidence|findings|targets|timelines/`, `memory/`, `output/`)。
- **`sec-stack-case/`** — SaaS 安全栈调查模板。
## 安装
```
# 在 Claude Code 中
/plugin install assafkip/huntkit
```
或者克隆:
```
git clone https://github.com/assafkip/huntkit.git
```
## MCP 服务器设置
```
cp .mcp.json.template .mcp.json
```
### `osint-infra`(无需密钥)
```
cd mcp-servers/osint-infra
python3.13 -m venv .venv
source .venv/bin/activate
pip install -r requirements.txt
```
### `threat-intel`
获取免费密钥:
- VirusTotal: https://virustotal.com/gui/join-us (每天 500 次请求)
- abuse.ch (URLhaus + ThreatFox): https://auth.abuse.ch
```
export VT_API_KEY=...
export ABUSE_CH_AUTH_KEY=...
```
## 可选的搜索 / 抓取 API
所有均为可选项——该技能会优雅降级。运行 `bash skills/osint/scripts/diagnose.sh` 查看哪些服务处于激活状态。
| 环境变量 | 服务 | 获取密钥 |
|---|---|---|
| `PERPLEXITY_API_KEY` | Perplexity Sonar / Deep | https://perplexity.ai |
| `EXA_API_KEY` | Exa 语义搜索 | https://exa.ai |
| `TAVILY_API_KEY` | Tavily 智能体搜索 | https://tavily.com |
| `APIFY_TOKEN` | Apify 抓取器(LinkedIn, IG, TikTok, YouTube, FB 页面) | https://apify.com |
| `JINA_API_KEY` | Jina 阅读器 / 深度搜索 | https://jina.ai |
| `PARALLEL_API_KEY` | Parallel AI 搜索 | https://parallel.ai |
| `BRIGHTDATA_MCP_URL` | Bright Data MCP(Facebook, LinkedIn, 存在地理限制的内容) | https://brightdata.com |
## 可选:Telegram 侦察
未内置——如需要请单独安装:
```
git clone https://github.com/Darksight-Analytics/tgspyder.git
cd tgspyder && pip install -r requirements.txt && pip install -e .
```
## 典型工作流
```
/q-new-case acme-breach
/q-scope # define question, targets, constraints
/q-begin # resume session
/q-intake # ingest client-provided docs
/q-osint linkedin https://linkedin.com/in/someone
/q-collect domain acme.com
/q-target acme-ceo
/q-timeline # reconstruct event sequence
/q-analyze ach # analysis of competing hypotheses
/q-challenge # red team own conclusions
/q-brief # generate evidence-grounded report
/q-export # final package
```
捕获的每个 URL 都会经过证据协议处理。每份报告都会引用 `[EV-NNNN]`。每个论断都带有 A-F 可靠性评级。
## 伦理规范
适用于:
- 授权的安全测试和尽职调查
- 针对公众人物的新闻和学术研究
- 防御性威胁情报和应急响应
- CTF / 教育场景
不得在未经同意的情况下针对私人个体使用,严禁用于骚扰、人肉搜索或跟踪。您有责任遵守当地法律法规及平台的服务条款。
## 致 LLM 智能体
请参阅 [`llms.txt`](llms.txt) 获取机器可读的功能摘要,其中包含关于何时使用各项技能、命令和 MCP 服务器的决策矩阵。
## 许可证
MIT 许可证。详情请见 [LICENSE](LICENSE)。
`skills/structured-analysis/` 子目录采用 Apache 2.0 许可证(参见 `skills/structured-analysis/LICENSE` 和 `NOTICE.md`)。
client docs/] Collect --> OSINT[/q-osint
platform-targeted/] Collect --> Sweep[/q-collect
broad sweep/] Collect --> Target[/q-target
profile/] Intake --> Evidence[(EV-NNNN
evidence items
Wayback + archive.today
+ Chrome PDF + SHA-256)] OSINT --> Evidence Sweep --> Evidence Target --> Evidence Evidence --> Analyze{Analysis} Analyze --> Timeline[/q-timeline/] Analyze --> Link[/q-link
graph edges/] Analyze --> ACH[/q-analyze
Heuer's ACH/] Analyze --> Challenge[/q-challenge
red team/] Analyze --> Reality[/q-reality-check/] Timeline --> Report{Report} Link --> Report ACH --> Report Challenge --> Report Reality --> Report Report --> Brief[/q-brief
evidence-cited/] Report --> Debrief[/q-debrief
internal/] Brief --> Export[/q-export/] Debrief --> Export Export --> End([Dossier delivered]) style Evidence fill:#fef3c7,stroke:#d97706,stroke-width:2px style Start fill:#dbeafe,stroke:#2563eb style End fill:#dcfce7,stroke:#16a34a ``` 每个 URL 都会经由 `capture-evidence.sh` 处理。每项发现都会引用 `[EV-NNNN]`。每个论断都带有 A-F 可靠性评级。 ### 架构 ``` graph TB subgraph Claude[Claude Code] CC[/Claude Code session/] end subgraph huntkit[huntkit plugin] direction TB subgraph Skills OSINT_S[osint
6-phase workflow] SA_S[structured-analysis
Heuer's ACH + tradecraft primer] end subgraph Commands[22 commands] CM[case mgmt] CL[collection] AN[analysis] RP[reporting] end subgraph Rules[Enforced rules] EC[evidence-capture-protocol] QI[q-investigation] TD[token-discipline] SY[sycophancy] end subgraph Templates NI[new-investigation] SS[sec-stack-case] end end subgraph MCP[Bundled MCP servers] OI[osint-infra
whois, dns, wayback] TI[threat-intel
VT, URLhaus, ThreatFox, crt.sh] end subgraph External[Optional external APIs] PPL[Perplexity] EXA[Exa] TAV[Tavily] APF[Apify
55+ scrapers] JIN[Jina] BD[Bright Data] end subgraph Case[Case workspace] EVD[(investigations/case/
evidence/ findings/
targets/ timelines/)] end CC --> huntkit huntkit --> MCP huntkit --> External huntkit --> Case Rules -.enforces.-> Commands Commands -.uses.-> Skills style Case fill:#fef3c7,stroke:#d97706 style MCP fill:#e0e7ff,stroke:#6366f1 style Rules fill:#fee2e2,stroke:#dc2626 ``` ## 您将获得 ### 技能 - **`osint`** — 6 阶段调查:工具检查 → 种子收集 → 可选内部情报 → 平台数据提取 → 交叉比对 → 心理画像 → 完整性评分 → 生成档案。 - **`structured-analysis`** — CIA 传统技术入门库(Heuer 的 ACH、关键假设检验、信息质量检验、红队、事前验尸、66 项技术分类法)。Apache 2.0 许可,上游来源 [Blevene/structured-analysis-skill](https://github.com/Blevene/structured-analysis-skill)。 ### 命令 (22) **案例管理:** `/q-new-case`, `/q-scope`, `/q-begin`, `/q-status`, `/q-checkpoint`, `/q-handoff`, `/q-end` **信息收集:** `/q-intake`, `/q-collect`, `/q-osint`, `/q-target`, `/q-screenshots` **分析:** `/q-analyze`, `/q-challenge`, `/q-reality-check`, `/q-client-questions`, `/q-timeline`, `/q-link` **报告:** `/q-brief`, `/q-debrief`, `/q-export` **专业化:** `/q-sec-stack`(SaaS 安全栈情报) ### MCP 服务器(内置) - **`osint-infra`** — WHOIS, DNS, 反向 DNS, Wayback 快照 / 抓取。 - **`threat-intel`** — VirusTotal, URLhaus, ThreatFox, crt.sh 证书透明度。 ### 规则(强制执行) - **`evidence-capture-protocol`** — 每个 URL 都经由 `capture-evidence.sh` 处理(Wayback + archive.today + Chrome PDF + SHA-256 + 元数据)。原子化的 `EV-NNNN-
标签:AI安全, AI插件, Chat Copilot, Claude, Claude Code, CVE检测, ESC4, ESC漏洞, GitHub, journalists, MCP, MCP服务器, OSINT, SHA-256, 分析技术, 基础设施侦察, 威胁情报, 安全调查, 实时处理, 尽职调查, 开发者工具, 插件, 数字取证, 新闻调查, 案件管理, 竞争情报, 网络安全, 自动化脚本, 证据收集, 证据链, 调查工具, 逆向工具, 隐私保护, 黑客松