voidd0/tracelock-find-evil

# TraceLock TraceLock 是一个防御性的 FIND EVIL! 构建版本：一个只读的应急响应 agent 框架，它将案例事件转化为有证据支撑的发现，捕获薄弱的断言，并在首次分析留有空白时重新运行针对性的二次扫描。 它刻意保持小巧、可复现且审计严密。每项发现都包含： - 源事件 ID - 工具名称 - 置信度 - SHA-256 证据哈希值 - 自检备注 - 最终状态（已确认、需佐证或已驳回） 公开支持演示：https://voiddo.com/devpost/find-evil/ 公开仓库：https://github.com/voidd0/tracelock-find-evil ## 为什么这符合 FIND EVIL! FIND EVIL! 要求自主防御分析的行为更像资深分析师，而不是一个聊天机器人。TraceLock 侧重于三个特性： 1. **证据完整性：** 该框架绝不会写入案例文件，并记录每个带有哈希值的工具结果。 2. **自我纠错：** 如果发现缺乏佐证事件，agent 会启动针对性的二次扫描，而不是假装首次回答就已经足够。 3. **审计追踪质量：** 输出结果可以从摘要追溯到发现，再到确切的输入事件。 ## 本地运行 ``` python3 tracelock.py --case cases/demo_case.json --out output/latest.json ``` 然后打开 `index.html` 或启动服务： ``` python3 -m http.server 8098 ``` ## 当前范围 首个软件包使用结构化的演示案例数据和确定性的本地 agent 循环。下一个 FIND EVIL! 必经步骤是针对 SIFT/Protocol SIFT 案例材料运行，并附加终端视频证据。 ## splunk-ops — TraceLock Ops (Splunk Agentic Ops 扩展) `splunk-ops/` 子目录为 Splunk 团队扩展了 TraceLock。 TraceLock Ops 接收 Splunk 风格的告警包（ESCU 告警事件 + 原始事件）并生成： - 关联证据的发现，每项均引用确切的事件 ID 和 SHA-256 哈希值 - 明确标出的矛盾和缺乏证据的警告 - 下一步 SPL/MCP 搜索提议作为计划行动，而非实际执行的操作 - 面向响应人员的交接摘要 **三案例准确率测试套件（全部完美）：** - 账户接管 — P=1.0, R=1.0 - 勒索软件暂存 — P=1.0, R=1.0 - 内部人员数据窃取 — P=1.0, R=1.0 公开演示：https://voiddo.com/devpost/splunk-agentic-ops/ ``` cd splunk-ops python3 run_suite.py # runs all 3 cases, writes output/accuracy_report.json ``` MCP 集成：当设置了 `SPLUNK_URL` 和 `SPLUNK_TOKEN` 时，`splunk_mcp.py` 会调用官方的 Splunk MCP Server 进行实时搜索。如果未提供凭证，响应将被标记为 `stub_no_auth`，而不是静默伪造成功。 由 vøiddo 构建 —— 一个小型工作室，致力于发布带有 AI 色彩的产品、免费开发工具、Chrome 扩展程序和奇特的浏览器游戏。

标签：Agent, ESCU, FIND EVIL, Homebrew安装, IP 地址批量处理, Python, SHA-256, SIFT工作站, SPL查询, 只读分析, 告警研判, 哈希校验, 多模态安全, 子域名变形, 安全运营, 审计追踪, 库, 应急响应, 扫描框架, 无后门, 无线安全, 网络安全审计, 自动化分析, 自动化复核, 自我纠正, 证据溯源, 跨站脚本, 逆向工具, 闭环验证