Hubrisdog/aegis-threat-intel

### 1. SQLite 数据库锁定 (`SQLITE_BUSY: 数据库被锁定`) - **根本原因**：当多个写操作同时运行或一个线程长时间持有打开的写事务时发生。 - **解决路径**： 1. 确认WAL模式已启用： sqlite3 aegis-intel.db "PRAGMA journal_mode;" 应返回 `wal`。如果返回 `delete`，则运行： sqlite3 aegis-intel.db "PRAGMA journal_mode=WAL;" 2. 服务器配置包括一个忙碌超时回退： db.run('PRAGMA busy_timeout = 5000;'); 这指示引擎等待最多5秒钟，以便在引发连接错误之前清除写锁。 3. 确保后台摄取任务在调度器锁定包装器内运行，以防止并发执行。 ### 2. CORS 策略错误 - **根本原因**：当网络浏览器因为客户端和服务器端口不同而阻止请求时发生。 - **解决路径**： 验证 `.env` 配置中的白名单客户端端口： CLIENT_PORT=5174 Aegis 通过将传入请求头与白名单源匹配来动态生成 `Access-Control-Allow-Origin` 值。 ### 3. 本地离线模型不可达 - **根本原因**：当服务器设置为本地模式（`Ollama`）但 Ollama 服务停止或所选模型未下载时发生。 - **解决路径**： 1. 确认 Ollama 服务在主机系统上运行： curl http://localhost:11434/api/tags 应返回已下载模型的列表。 2. 使用命令行界面下载所需的模型： ollama pull llama3.1 3. 在 **系统设置** 仪表板中验证配置的端点和模型设置。 ### 4. CVE MCP 启动失败 - **根本原因**：当服务器设置为 Claude Cloud 模式并尝试启动 Python MCP 客户端，但 Python 路径或目录设置不正确时发生。 - **解决路径**： 1. 验证 `.env` 设置中配置的路径： CVE_MCP_PYTHON=C:\Users\Name\cve-mcp-server\.venv\Scripts\python.exe CVE_MCP_CWD=C:\Users\Name\cve-mcp-server 2. 确保Python虚拟环境已安装所有必需的依赖项： cd C:\Users\Name\cve-mcp-server .venv\Scripts\pip install -r requirements.txt 3. 检查服务器日志以查找进程创建错误，以识别任何特定于操作系统的路径问题。 ## 未来路线图 为了与持续适应和扩展的进化策略保持一致，以下功能计划实现： - **离线 LLM RAG（检索增强生成）**：扩展 Ollama 回退以摄取本地 PDF 智能报告和内部 SOC 日志，允许 AI 在不接触云的情况下查询专有网络历史记录。 - **原生 YARA 规则执行引擎**：超越静态 IOCs（哈希/IP）以扫描本地文件系统有效负载和内存转储，直接从 UI 对社区驱动或自定义 YARA 签名进行扫描。 - **STIX/TAXII 2.1 集成**：升级摄取调度器以原生消费标准 STIX/TAXII 源，确保与政府和企业情报共享平台的互操作性。 - **自动 SOC 报告管道**：一个模块，用于快照当前威胁地图、顶级活跃 CVE 和 AI 分析师摘要，将它们编译成无污染、带时间戳的 PDF，供高管简报使用。 - **多租户 RBAC（基于角色的访问控制）**：细粒度权限将 Tier 1 分析师（只读/查询）与 Tier 3 猎手（webhook 配置、数据库管理）分开。 - **Aegis 诱饵网格（自主蜜罐遥测）**：一个轻量级、低交互的诱饵引擎，在本地网络边界内启动模拟服务（SSH、Redis、HTTP API）。诱饵记录暴力破解和漏洞扫描，实时消除有效负载字符串，提取恶意指标（IP、用户代理、命令行），并将它们直接馈送到 Aegis WAL SQLite 引擎以自动触发防御警报规则。 - **隐私保护 P2P 智报网格（零知识指标）**：一个去中心化的共享框架，旨在在受信任的 SOC 网络之间交换经过验证的威胁遥测数据。利用零知识证明（ZKPs）和点对点 STIX-over-Noise 协议，Aegis 节点共享经过验证的威胁签名，而不会向对等网络暴露主机组织名称、IP 范围或遥测结构。

标签：请求拦截, 逆向工具