IRsoctierDT/ai-operator-cyber-command-center
GitHub: IRsoctierDT/ai-operator-cyber-command-center
一个基于本地LLM与多Agent协作的防御性网络安全指挥中心,提供SOC自动化、RAG知识检索、MITRE映射与事件报告生成能力。
Stars: 1 | Forks: 0
# AI Operator 网络指挥中心
一个**达到作品集级别、本地优先的指挥中心**,专为 AI 运营、网络安全自动化、RAG 知识系统和智能体工作流而构建 —— 采用默认安全的设计(最小权限、可审计、纵深防御、对每一项不可逆操作均采用 human-in-the-loop)。
每个组件的设计都旨在展示可重复、有文档记录、可测试且可审查的工程实践 —— 适用于作品集展示、客户项目交付或生产级安全运营。
## 已构建内容
| 组件 | 层级 | 状态 |
|---|---|---|
| **SOC Analyst Agent v0.2** — JSON/文本日志分类、严重性评分 (0-100)、证据表、MITRE 映射、事件报告([案例研究](./docs/case-studies/soc-analyst-v0.2.md)) | Agent | 完成 |
| **Incident Report Agent** — 根据结构化的 SOC + MITRE 输出生成 Markdown 事件报告 | Agent | 完成 |
| **MITRE Mapper Agent** — 带有置信度评分的 ATT&CK 战术/技术映射 | Agent | 完成 |
| **Threat Intel Agent** — IOC 富化与指标汇总 | Agent | 完成 |
| **Vulnerability Assessment Agent** — 将授权扫描发现的结果排序为修复优先级顺序([文档](./docs/agents/VULNERABILITY_ASSESSMENT_AGENT.md)) | Agent | 完成 |
| **Knowledge Base Agent** — 将事件报告基于引用的网络安全知识库进行夯实 | Agent | 完成 |
| **Business Proposal Agent** — 将客户需求结构化为可审查的提案 / SOW 草案([文档](./docs/agents/BUSINESS_PROPOSAL_AGENT.md)) | Agent | 完成 |
| **Legal/Compliance Research Agent** — 将法律咨询分类为“验证而非断言”的权限清单([文档](./docs/agents/LEGAL_COMPLIANCE_AGENT.md)) | Agent | 完成 |
| **Knowledge Curator Agent** — 将原始笔记整理为可检索的 KB 条目([文档](./docs/agents/KNOWLEDGE_CURATOR_AGENT.md)) | Agent | 完成 |
| **Portfolio Documentation Agent** — 起草适配 GitHub 的 README/案例研究(遵循 AGENTS.md §9 结构)([文档](./docs/agents/PORTFOLIO_DOCUMENTATION_AGENT.md)) | Agent | 完成 |
| **Executive Assistant Agent** — 将任务/笔记按优先级整理为包含阻碍项和决策记录的可审查计划([文档](./docs/agents/EXECUTIVE_ASSISTANT_AGENT.md)) | Agent | 完成 |
| **Orchestrator Agent** — 多 Agent 工作流协调 | Agent | 完成 |
| **RAG Pipeline** — 本地文档摄取 → 分块 → Ollama embeddings → 内存检索 | RAG | 完成 |
| **MCP Server** — 模型上下文协议服务器 (stdio JSON-RPC),配备白名单机制和经过校验的工具 | MCP | 完成 |
| **Governance system** — `AGENTS.md` 运营章程,集成 bandit + gitleaks + pip-audit + mypy 的 CI/CD,以及最小权限作业权限 | Governance | 活跃 |
| **Dashboard** — Streamlit 指挥中心:SOC 工作流(严重性 + KB 夯实)、批处理、KB 搜索、系统健康、报告 | Dashboard | 完成 |
**所有八个 Agent 蓝图均已构建完成。** 后续工作是功能增强,而非新增功能接口。
### 案例研究
- [SOC Analyst Agent v0.2](./docs/case-studies/soc-analyst-v0.2.md) — 原始日志行 → 经过分类、MITRE 映射、可供 human-reviewable 的事件报告,全流程本地完成。
## 架构
十层指挥中心模型(完整信任边界和决策记录请参见 [`DESIGN.md`](./DESIGN.md)):
```
Human (approves gates, owns secrets)
│
▼
Orchestrator (agents/)
├── Local LLM (Ollama, loopback-only)
├── RAG pipeline (rag/) ──► Vector store
├── MCP tools (mcp/) ──────► Filesystem / lab data
└── Detections (detections/)
```
**架构原则:** Agent 负责建议、起草、分类、汇总和结构化。
人类负责批准具有破坏性、对外、法律、财务或安全敏感的操作。
## 治理
| 文档 | 目的 |
|---|---|
| [`AGENTS.md`](./AGENTS.md) | 任何编码 Agent 的运营章程(同时也是 `CLAUDE.md`) |
| [`DESIGN.md`](./DESIGN.md) | 架构、信任边界、决策记录 |
| [`SECURITY.md`](./SECURITY.md) | 漏洞报告与安全政策 |
| [`CONTRIBUTING.md`](./CONTRIBUTING.md) | 人类 + Agent 贡献工作流 |
| [`docs/HARDENING_ROADMAP.md`](./docs/HARDENING_ROADMAP.md) | 计划的纵深防御强化工作流 |
## 快速开始
```
python -m venv .venv && source .venv/bin/activate
pip install -e ".[dev]"
pre-commit install
pre-commit install --hook-type pre-push
detect-secrets scan > .secrets.baseline # one-time, then review & commit
```
**运行 SOC Analyst Agent:**
```
python agents/soc_analyst_agent.py
# 或传入结构化的 JSON:
python -c "
from agents.soc_analyst_agent import SocAnalystAgent
import json, pprint
result = SocAnalystAgent().analyze_log({
'timestamp': '2025-06-15T14:00:00Z',
'host': 'web-01',
'user': 'root',
'src_ip': '10.0.0.5',
'message': 'Accepted password for root from 10.0.0.5 port 22'
})
pprint.pprint(result)
"
```
**单命令 RAG pipeline(摄取 → 嵌入 → 查询):**
```
# Local Ollama embeddings:
python -m scripts.rag_cli --corpus ./corpus --query "zero trust segmentation" --k 3
# 完全离线 / 无 Ollama(确定性 embedder — 适合 CI/air-gapped labs):
python -m scripts.rag_cli --corpus ./corpus --query "ids tuning" --offline
```
**运行 MCP 服务器:**
```
MCP_ROOT=./data python -m mcp.transport
# 使用换行符分隔的 JSON-RPC 2.0;方法:initialize | tools/list | tools/call
```
**运行 Dashboard(Streamlit 指挥中心):**
```
pip install -e ".[dashboard]" # streamlit + qdrant-client + sentence-transformers
streamlit run dashboard/app.py
# 标签页:SOC Workflow · Batch Processing · Knowledge Base Search · System Health · Reports
# 如果 Qdrant/Ollama 未运行,KB 搜索和健康面板会优雅降级。
```
## 质量门禁(必须通过 — [`AGENTS.md`](./AGENTS.md) §7)
```
python -m compileall .
python -m pytest # unit + integration + security; 85% coverage gate
ruff check .
mypy agents scripts tests dashboard
bandit -c pyproject.toml -r agents scripts
```
## 目录结构
```
agents/ orchestration, roles, tools, policies tests/ unit | integration | security
rag/ ingestion → retrieval infra/ IaC / deploy (gated)
mcp/ MCP servers exposed to agents detections/ defensive, lab-scoped content
scripts/ operational & RAG tooling data/ lab data only (gitignored)
cli/ user-facing entry points — run_incident.py, batch_run_incidents.py
```
标签:AI运维平台, AI风险缓解, Cloudflare, Kubernetes, MITRE ATT&CK, RAG, 大模型智能体, 安全运营(SOC), 逆向工具