James-Kabingu/octio

# OCTIO -- 链上威胁情报预言机 一个将Web2攻击面监控与Web3基础设施安全相连接的去中心化框架。由Gemma 4驱动。 **作者：** James Kabingu -- Vektasafe **GitHub：** github.com/vektasafe/octio **作品集：** vektasafe.github.io **许可证：** MIT ## 概述 从Web3项目中被盗资金的80%源自Web2基础设施攻击——钓鱼、DNS劫持、供应链入侵和云配置错误。OCTIO实时监控这些攻击向量，使用Gemma 4进行分析，并将经过验证的威胁情报存储在链上，供DeFi协议在执行敏感操作前查询。 ## OCTIO与现有预言机解决方案的区别 现有的预言机网络如Chainlink、API3、Band Protocol和UMA解决通用预言机问题——将任意链下数据带到链上。OCTIO不是通用预言机。它是一个安全专用的智能原始层，现有解决方案尚未涉及。 | 局限性 | 现有预言机 | OCTIO | |------------|-----------------|-------| | 领域 | 价格馈送、天气、体育、通用数据 | 专用于Web2攻击面指标 | | 情报层 | 数据中继——无分析 | Gemma 4对每个指标进行分类、推理和评估 | | 威胁上下文 | 无 | 将当前指标与已记录的真实世界事件关联 | | 未知威胁 | 无法检测不在馈送中的内容 | Gemma 4标记任何注册表中尚未出现的可疑域名 | | 安全重点 | 非为安全原始层设计 | 专为运行时DeFi协议安全而构建 | | 事件关联 | 无 | 将当前威胁模式映射到历史攻击并量化损失 | | 攻击活动检测 | 无 | 识别跨多个指标的协调攻击模式 | ### 核心区别 Chainlink等网络中继数据——它们可靠地将数字或字符串从链下移至链上。OCTIO对数据进行推理。当新的钓鱼URL进入监控层时，Gemma 4不仅存储它——它识别冒充目标、评估严重程度、解释推理过程，并判断该域名模式是否与已知攻击活动匹配，即使该特定URL从未被见过。 这就是数据馈送与情报层之间的区别。 ### OCTIO直接解决的局限性 **1. 现有预言机不监控Web3的Web2攻击向量** Chainlink没有钓鱼馈送适配器。API3没有DNS劫持监控器。为Web3协议服务的Web2威胁情报整个类别都未被现有预言机基础设施覆盖。 **2. 现有解决方案无法捕获未知威胁** 基于规则的系统和标准预言机馈送只标记已知的恶意行为者。OCTIO的Gemma 4层仅从域名模式就识别出`metamask-security-alert.com`是可疑的——甚至在它出现在任何威胁馈送之前。没有任何现有预言机网络能做到这一点。 **3. 没有预言机提供事件关联** 当DeFi协议查询Chainlink时，它获得一个数据点。当它查询OCTIO时，它获得一个针对6.42亿美元已记录历史损失（来自类似攻击模式）进行关联的威胁评估。这正是协议团队实际需要的上下文。 ## 组件 - `monitor.py` -- 使用Gemma 4威胁分类进行实时钓鱼馈送监控 - `web3_bridge.py` -- 将已验证的指标直接提交到活跃的Sepolia合约 - `registry.py` -- 使用keccak256哈希存储的本地注册表缓存 - `oracle.py` -- 包含Gemma 4风险评估的DeFi协议查询接口 - `correlation.py` -- 针对已记录的真实世界黑客事件进行事件关联 - `dashboard.py` -- 用于实时威胁可视化的终端仪表板 - `contracts/ThreatRegistry.sol` -- 已部署并在Sepolia上验证，地址为`0xb0F4ae6f47eE001804d933dc8AD4b34969C91A69` ## 快速开始 ### 1. 安装依赖项 ``` pip install requests python-dotenv eth-hash[pycryptodome] web3 ``` ### 2. 配置环境 ``` cp .env.example .env ``` 编辑 `.env` 并添加： OPENROUTER_API_KEY="your_openrouter_key" PRIVATE_KEY="your_wallet_private_key" CONTRACT_ADDRESS="0xb0F4ae6f47eE001804d933dc8AD4b34969C91A69" ### 3. 运行完整管道 ``` # 第 1 步：获取实时钓鱼网址并使用 Gemma 4 进行分类 python3 monitor.py # 第 2 步：将验证过的指标提交至实时 Sepolia 合约 python3 web3_bridge.py # 第 3 步：运行 DeFi 协议查询接口 python3 oracle.py # 第 4 步：与记录的真实世界事件进行关联分析 python3 correlation.py # 第 5 步：查看实时终端仪表盘 python3 dashboard.py ``` `monitor.py` 将结果写入 `indicators.json`。`web3_bridge.py` 从 `indicators.json` 读取数据，并将已确认的威胁提交到链上。请按顺序运行它们。 ## 活跃合约 **Sepolia测试网上的ThreatRegistry：** `0xb0F4ae6f47eE001804d933dc8AD4b34969C91A69` - 已在Sourcify上验证（精确匹配） - 在Etherscan上查看：https://sepolia.etherscan.io/address/0xb0F4ae6f47eE001804d933dc8AD4b34969C91A69 - 截至2026年5月19日，已有5个指标提交到链上 ## 架构 OCTIO作为一个四层系统运行： | 层级 | 功能 | 技术 | |-------|----------|------------| | L1：监控 | 扫描公共Web2来源以获取威胁指标 | Python, OpenPhish | | L2：注册表 | 在链上存储已验证的威胁情报 | Solidity, Sepolia测试网 | | L3：预言机接口 | 将威胁数据暴露给查询协议 | Python, web3.py | | L4：仪表板 | 情报可视化的公共界面 | Python终端仪表板 | ## 研究 作为肯雅塔大学计算机科学四年级研究项目构建。 完整的白皮书和研究提案可在项目文档文件夹中找到。 ## 已知限制与路线图 - 单一监控源（OpenPhish）——计划支持Certstream、PassiveDNS、npm审计馈送 - 提交者授权是手动的——治理层（ValidationPool.sol）正在开发中 - 尚无Chainlink适配器——从其他合约进行预言机查询需要外部适配器 - ReputationManager.sol、GovernanceController.sol正在开发中 - 模型字符串为通过OpenRouter访问的google/gemma-3-27b-it

标签：AI安全分析, DeFi安全, DNS安全, Gemma 4, PFX证书, Web3安全, 区块链安全, 去中心化, 威胁情报, 威胁数据, 安全Oracle, 安全协议, 开发者工具, 攻击检测, 智能合约安全, 网络安全, 逆向工具, 钓鱼防护, 链上数据, 隐私保护, 预言机