daideguchi/evidence-locked-dfir-agent

# 证据锁定的数字取证与事件响应代理 由 AI 辅助的事件响应，其中每个主张都必须引用证据，并将缺乏依据的确定性视为风险。 实时演示：https://daideguchi.github.io/evidence-locked-dfir-agent/ YouTube 演示：https://www.youtube.com/watch?v=Z0kuG3GabyY 提交包：[提交包.md](SUBMISSION_PACKAGE.md) 架构：[架构.md](ARCHITECTURE.md) 许可证：[MIT](LICENSE) Devpost 字段副本：[findevil/submission/devpost-submit-manual.md](findevil/submission/devpost-submit-manual.md) ## 评委速览 **目标用户是谁？** 安全分析师和事件响应人员。 **它解决什么问题？** AI 可以快速总结安全事件，但快速而自信的总结如果未与证据关联则是危险的。 **如何解决？** 该代理解析一个打包的可疑电子邮件案例，创建主张，附加证据 ID，阻止缺乏依据的恶意软件执行确定性，撰写报告，根据基准真相对自身评分，并将遏制措施置于人工审批关口之后。 **验证了什么？** 本地终端运行、证据包、分析师报告、准确性报告、执行日志、GitHub Pages 演示和带旁白的演示视频。 ## 演示    演示视频： ``` https://www.youtube.com/watch?v=Z0kuG3GabyY findevil/media/evidence-locked-dfir-agent-demo.mp4 ``` 在浏览器中打开： - https://daideguchi.github.io/evidence-locked-dfir-agent/ - https://daideguchi.github.io/evidence-locked-dfir-agent/findevil/prototype/evidence-locked-dfir-report.html - https://daideguchi.github.io/evidence-locked-dfir-agent/findevil/prototype/terminal-session.html ## 本地运行 ``` cd /path/to/evidence-locked-dfir-agent bash findevil/scripts/run_findevil_local_checks.sh ``` 预期证明： ``` findevil_local_checks_ok claims_total=5 exact_status_accuracy=1.0 unsupported_claims_blocked=1 false_confident_supported_claims=0 claim_boundary=verified_local_sift_ready_no_live_sift_execution_claim ``` 仅运行终端代理： ``` python3 findevil/scripts/run_evidence_locked_agent.py ``` ## 展示内容 - 针对可检查的案例文件，终端可执行的数字取证与事件响应工作流。 - 每个受支持主张的证据引用。 - 恶意软件执行假设因当前证据不足而被降级。 - 可见的编辑和人工审批关口。 - 将代理输出与打包的基准真相进行比较的准确性报告。 - 一个提交边界，避免在验证之前声称实时 SIFT 执行。 ## 关键文件 - `findevil/case_data/` - 经过清理的可疑电子邮件案例包。 - `findevil/scripts/run_evidence_locked_agent.py` - 终端工作流。 - `findevil/reports/agent-claims.json` - 主张/状态/证据输出。 - `findevil/reports/accuracy-report.md` - 根据基准真相的评分。 - `findevil/reports/evidence-lock-execution-log.jsonl` - 可重放的执行日志。 - `findevil/prototype/evidence-locked-dfir-report.html` - 分析师报告。 - `findevil/prototype/terminal-session.html` - 终端记录页面。 - `findevil/media/evidence-locked-terminal-session-full.png` - 终端证明截图。 - `findevil/media/architecture-diagram.png` - 用于 Devpost 上传/审核的 PNG 架构图。 - `ARCHITECTURE.md` - 组件和数据流说明。 ## 提交契合度 - 架构模式：替代性智能体 IDE / 确定性本地代理工作流，带有证据锁定防护栏。 - 主要编码代理工作流：Claude Code 风格的本地编码代理开发。 - SIFT 边界：已建模 SANS SIFT 就绪的工件形式，但未声称实时 SANS SIFT 执行。 - 许可证：MIT。 ## 黑客松边界 安全声明： - 一个本地证据锁定的数字取证与事件响应代理针对打包的案例数据运行，并产生证据绑定的主张、分析师报告、准确性报告、执行日志和自然英语演示视频。 尚未声明： - 实时 SANS SIFT 执行。 - 真实的恶意软件归因。 - 自动化端点隔离。 该产品的设计使得这些集成可以在不改变核心规则的情况下添加：证据控制结论。

标签：AI辅助, Apex, DAST, Homebrew安装, 主张验证, 事件响应者, 事件处理, 人工审批, 可疑邮件分析, 多模态安全, 安全分析师, 安全审查, 安全工作流, 安全报告, 安全最佳实践, 恶意软件分析, 数字取证, 机器学习, 真实数据评分, 结构化查询, 网络安全, 自动化安全, 自动化脚本, 证据管理, 证据锁定, 逆向工具, 防御加固, 隐私保护