ajx17/agentic-aws-soar-pipeline

# AWS 代理自动修复管道 (SOAR) ### 目标 一个半自动化的安全编排、自动化和响应 (SOAR) 管道，旨在使用带有 Human-in-the-Loop (HITL) 授权的自定义 Python AI 代理，检测、审计并自主修复存在漏洞的 AWS 基础设施。 ### 为什么构建这个项目 我构建这个管道是为了更好地理解并弥合传统云安全与代理式 AI 之间的鸿沟。我的核心目标是： * **学习 AWS 基础设施即代码：** 通过实践经验掌握 AWS，以及使用 Terraform 以编程方式部署和销毁云环境 * **理解云错误配置：** 通过实际构建和利用常见的 AWS 漏洞（暴露的 S3 存储桶、开放的安全组），超越理论学习 * **开发代理式 AI 工具：** 使用 Boto3 编写自定义 Python 自动化脚本，证明安全编排、自动化和响应 (SOAR) 可以自主处理，而不是通过手动控制台点击（当然，是在一个安全且受控的环境中） ## 📁 仓库结构 * `main.tf` ** Terraform 配置文件，用于部署故意设置为易受攻击的 AWS 环境（VPC、安全组、S3 存储桶） * `prox_hitl.py` ** Python 代理。它负责接收安全遥测数据，解析其中的关键漏洞，触发 Telegram Human-in-the-Loop (HITL) 提示，并执行 Boto3 修复命令 * `prowler_report.json` ** 由 Prowler 审计生成的原始 JSON 输出的脱敏片段。我包含此文件是为了展示 AI 代理在做出修复决策之前被编程为接收和解析的确切数据结构 ## 架构与流程 1. **基础设施即代码：** 使用 Terraform 部署一个故意设置为易受攻击的 AWS 环境（暴露的 S3 存储桶、开放的 SSH 安全组）。 2. **云安全审计：** 针对该环境执行 Prowler，以 CIS 基金会为基准进行评估，并生成漏洞遥测数据 (JSON)。 3. **代理编排：** 构建了一个利用 Boto3 的自定义 Python 代理，用于接收 Prowler 的遥测数据，解析关键的 `FAIL` 状态，并将其映射到对应的 AWS 资源。 4. **Human-in-the-Loop (HITL)：** 代理暂停执行，并通过 Telegram API 向移动设备推送警报，详细说明 CVE 并请求部署修复程序的授权。 5. **自主修复：** 在人类批准 (`Y`) 后，代理动态执行精确的 AWS CLI/Boto3 命令，以隔离 S3 存储桶并撤销 `0.0.0.0/0` SSH 入口规则，从而实现零接触云修复。 ## 我的技术栈 * **云与 IaC：** AWS (EC2, S3, IAM), Terraform * **安全与审计：** Prowler, Pacu (模拟) * **自动化与脚本：** Python 3, Boto3 (AWS SDK) * **API 集成：** 连接到 OpenClaw (HITL 端点) 的 Telegram Bot API * **环境：** Proxmox VE, Kali Linux (红队), Ubuntu Server (蓝队) ## 执行日志 **漏洞 (Terraform)：** 部署基础设施时使用了 `BlockPublicPolicy = false` 且入口端口 22 对 `0.0.0.0/0` 开放 **审计：** 识别出的严重错误配置： - `s3_bucket_level_public_access_block` -> FAIL - `ec2_securitygroup_allow_ingress_from_internet_to_tcp_port_22` -> FAIL **修复：** ``` [BOT] Prox AI: Reading Prowler telemetry... 📲 Approval request sent to Telegram. Waiting for human authorization... ⚡ Authorization received. Patching cloud infrastructure... [PASS] Success: Port 22 locked on sg-0149b5aa85f07646f [PASS] Success: S3 Bucket agentic-lab-exposed-bucket isolated. Mission accomplished. Exiting. ``` #### ⚠️ 免责声明 这是一个受控的实验室环境。Terraform 脚本部署了本质上不安全的架构，在没有严格网络隔离的情况下，绝不应在生产 AWS 账户中运行。

标签：Agentic AI, Anthropic, Auto-Remediation, AWS, Boto3, CIS基准, CSPM, DevSecOps, DPI, ECS, Human-in-the-Loop, Prowler, Python, S3安全, SOAR, Telegram机器人, Terraform, TinkerPop, 上游代理, 云基础设施安全, 云安全态势管理, 人工智能代理, 人机协同, 前端应用, 安全组, 无后门, 网络安全, 自动修复, 逆向工具, 隐私保护