holeyfield33-art/aletheia-sentinel

## 它的功能 Sentinel 是一个自定义 MCP server，为自主 agent 提供了一个类型化的取证 工具接口——`volatility_pslist`、`volatility_netscan`、`volatility_cmdline`、 `regripper_amcache`、`plaso_log2timeline`、`evtxecmd_security`——而不是原始 shell。一个由三个 agent 组成的循环（Scout 规划，Nitpicker 审查，Judge 综合）对内存或 磁盘映像进行分类处理，并生成一份事件报告，其中每一个主张都有 带有加密收据的工具执行作为支持。 **[观看 5 分钟演示](https://www.youtube.com/watch?v=L9LSUt68fxM)** -- 在真实的 SANS SRL-2018 证据上进行自主的 Scout->Nitpicker->Judge 调查，并带有实时的 HMAC 收据链验证。 已在真实的 SANS SRL-2018 证据上进行了验证，涵盖了通过共享 C2（`172.16.4.10:8080`）连接并具有明确的方向性横向 链接（rd01 -> wkstn-05，通过入站 SMB）的两个主机（rd01, wkstn-05） —— 这是一个记录在案的多主机、 多技术攻击活动。该流水线发现了真实的植入物（位于 `c:\windows\temp\perfmon` 中的 `p.exe`）、rd01 的 WMI->PowerShell->cmd.exe 启动链和 wkstn-05 的 WMI->PowerShell->rundll32 beacon 链，并且 捕获了自身的误报：一个最初被标记为后门的二进制文件，通过其自身的 网络活动和命令行，被正确识别为 rd01 上的 F-Response 取证工具 —— 这是一个在两台主机上反复出现的陷阱， 在存在识别证据的地方被解决，在缺乏证据的地方则被保持为“可疑，等待验证”。两个收据链均验证通过。发现结果已针对 原始 Volatility 输出进行了独立验证。参见 [准确率报告](docs/accuracy-report.md)。 ## 为什么它在架构上是安全的 - **架构护栏，而非 prompt。** 破坏性命令并不在 类型化的工具接口中，因此 agent 在物理层面上无法运行它们。证据路径 在 server 端被固定——agent 无法将工具重定向至任意 文件，并且工具受限于实际提供的证据。 - **基于证据的有限分类。** 身份判定准则分配给了两个 agent：Scout 必须根据证据（命令行，或其网络活动与已知 基础设施的关联）验证被标记进程的身份，然后才能得出结论；Judge 不会将一个进程报告为 恶意的——也不会让它影响最终的感染判定——除非该身份已在 发现结果中确立；否则，它将被视为“可疑，等待验证”。Nitpicker 是一个一致性审查者，而不是证据门控。 - **防篡改审计追踪。** 每次工具执行都会写入一个 HMAC 签名的、 哈希链接的收据（输入和输出的 SHA-256）。更改任何收据都会 破坏验证——发现结果可追溯至具体执行。 - **防止证据损毁。** 只读流水线；分析后源映像哈希保持不变， 与原始获取日志相匹配。 *实验性信号（仅供参考，默认关闭）：* 可选的频谱 置信度分数（通过 Geometric Brain MCP）可以使用 `--spectral` 启用。 一项针对四个模型的校准研究发现它微弱且不具备决定性（ AUROC ~0.5-0.7），并且实时服务在取证长度的样本上返回 `INSUFFICIENT_DATA`， 因此它是可选功能，而不是隐式的外部 依赖项。可靠的证据判定路径是 Scout 的 身份验证规则结合 Judge 基于证据的综合性判断， 并在 orchestrator 中保留了确定性的 STRESSED->重新调查防护作为 纵深防御。我们如实报告这一点，而不是声称拥有数据不支持的 检测器。 详情请见 [准确率报告](docs/accuracy-report.md)。 ## 快速开始（60 秒，无需 API key） ``` pip install -e '.[dev]' sentinel demo # scripted investigation + verifiable receipt chain ``` `sentinel demo` 运行完整的脚本化调查，无需 API key 且无需安装 SIFT 工具，然后写入一个您可以验证的收据链（演示会打印 确切的 `sentinel verify` 命令和链路径）。 ## 在真实证据上运行 ``` export ALETHEIA_RECEIPT_SECRET=$(python -c "import secrets;print(secrets.token_hex(32))") export ANTHROPIC_API_KEY=sk-ant-... # 内存工具需要 Volatility 3 (`pip install volatility3`)。 sentinel run my-case --image /path/to/memory.img sentinel verify audit-logs/.jsonl ``` 工具受限于提供的证据：内存映像启用 Volatility 工具；磁盘映像启用 plaso；注册表配置单元启用 regripper；`.evtx` 日志启用 evtxecmd。永远不会向 agent 提供缺乏对应证据的工具。 ## 架构 ``` graph TD A[Scout Agent
LLM: plans next tool call] -->|ScoutDecision| B[Orchestrator
caps + routing + path pinning] B -->|tool_name + args| C[MCP Server
typed tool surface] C -->|parsed ToolResult| B B -->|append| D[Receipt Chain
HMAC + hash-linked] B -->|ToolResult| E[Nitpicker Agent
LLM: consistency review] E -->|accepted / rejected| B B -.->|reasoning text| F[Spectral Gate
advisory confidence] F -.->|SpectralHealth| B B -->|accepted findings| G[Judge Agent
LLM: synthesize report] G -->|SessionResult| H[Receipt-Sealed Report] subgraph SIFT Workstation C --> I[volatility] C --> J[regripper] C --> K[plaso] C --> L[evtxecmd] end ``` 实线箭头表示强制性的控制流；虚线频谱路径仅供参考。 完整的信任边界表位于 [docs/architecture.md](docs/architecture.md)； 模式概述位于 [architecture.md](architecture.md)。 ## 开发 所有三项检查均在此修订版上通过： ``` ruff check src tests # All checks passed! mypy # Success: no issues found in 43 source files pytest # 153 passed ``` ## Aletheia 生态系统的一部分 Sentinel 将一个理念应用于 数字取证——即从架构上强制实施安全，然后通过防篡改的审计追踪来证明它。Sentinel 可独立 运行（不需要其他 Aletheia 仓库即可安装或运行）。在 其他领域共享相同“强制执行与审计”模式的相关 项目： - [Geometric Brain MCP](https://geometric-brain-mcp.onrender.com) -- 频谱 分析服务器（可选，仅供参考信号）。 - 伴随项目（非必需）：一个在 模块加载时应用该模式的运行时防火墙，以及一个作为攻击这些工具所防御的相同表面的攻击性对手的 red-team kit。 ## 文档 - [准确率报告](docs/accuracy-report.md) -- 真实证据验证、 逐行发现结果验证、证据完整性以及签名路线图。 - [数据集文档](docs/dataset-documentation.md) -- SANS SRL-2018 来源及各主机发现结果。 - [测试夹具基准](docs/fixture-benchmark.md) -- 带有方法 披露的模拟回归基准。 - [架构](docs/architecture.md) -- 组件、信任边界、 护栏。 ## 许可证 Apache 2.0 -- 详见 [LICENSE](LICENSE)。

标签：AI智能体, JARM, MCP服务器, PB级数据处理, PE 加载器, 内存分析, 安全运维, 库, 应急响应, 数字取证, 自动化脚本, 逆向工具