Ronald-PH/caio

## 📌 概述 CAIO 将在整个工作流程中为您提供全面支持。运行侦察和漏洞扫描，投入可疑的 payload 进行 DNA 分析，粘贴原始日志以进行 AI 驱动的威胁狩猎，通过 MITRE ATT&CK 关联分析攻击者特征，生成 SIEM 规则和红队手册，检查供应商的供应链风险，并逐步演练事件响应——所有操作都在一个仪表板中完成，全部由 AI 驱动。不再需要在十个不同的工具之间来回切换。CAIO 是您在战斗每个阶段的得力助手，从首次扫描到最终报告。 **许可证：** MIT **平台：** Windows 11 / Linux / macOS ## 🆕 1.1.0 的新功能 - **MITRE ATT&CK 矩阵** — 一个全新的可视化网格，将您的扫描历史与 MITRE 战术和技术进行关联，让您可以一目了然地查看攻击者的覆盖范围。 - **事件响应手册运行器** — 针对常见事件类型（勒索软件、网络钓鱼、SQL 注入）提供分步交互式检查清单，支持进度跟踪和可导出的报告。 - **调度器已全面接入** — 现在可以从侧边栏访问自动化的、cron 风格的循环扫描，并正确支持逗号列表、步进值 (`*/5`)、范围和月份字段。 - **实时威胁地图** — 仪表板现在显示一个实时世界地图（由 Leaflet 驱动），根据地理位置绘制您实际扫描的目标，带有严重性编码的脉冲和图例。 - **代码库 (.zip) 扫描** — 漏洞评估现在接受整个 `.zip` 压缩包，而不仅仅是单个文件，并会审计项目中的硬编码机密、配置缺陷、代码漏洞和有风险的依赖项。 - **基于打印的 PDF 导出** — PDF 导出（扫描历史和合规报告）现在会渲染一个精美的、适合打印的 HTML 页面，并触发浏览器原生的打印为 PDF 对话框，从而移除了对 `weasyprint`/`pdfkit` 依赖项的要求。合规报告导出也进行了全面的视觉重新设计，包含封面和结构化的部分。 ## ✨ 功能 ### 核心安全模块 | 模块 | 描述 | | ---------------------------- | ---------------------------------------------------------------------------------------------------- | | **侦察 (Reconnaissance)** | DNS 枚举、子域名发现、端口扫描、WHOIS 查询 — 全部由 AI 分析 | | **日志分析 (Log Analysis)** | 粘贴任何日志（Windows Event、Apache、Syslog、防火墙）→ AI 识别 IOC、TTP、攻击模式 | | **漏洞评估** | URL 探测、单个文件或 `.zip` 代码库上传 → AI 驱动的安全审查 | | **IR 聊天** | 具备 DFIR 专业知识的多轮事件响应助手，包含 MITRE ATT&CK 映射和命令参考 | ### 威胁情报 | 模块 | 描述 | | ------------------------- | ------------------------------------------------------------------------------------ | | **OSINT 分析器** | 从 GitHub、证书透明度日志和公开来源构建威胁档案 | | **电子邮件取证** | 解析电子邮件标头，检测欺骗，分析 SPF/DKIM/DMARC，识别网络钓鱼 | | **密码审计器** | 分析密码熵，检测模式，对照泄露字典进行检查 | | **CVE 情报订阅** | 实时 NVD 查询，带有 AI 语境化和补丁优先级评分 | ### 检测与响应 | 模块 | 描述 | | ------------------------ | -------------------------------------------------------------------------------------- | | **SIEM 规则生成器** | 将攻击描述转换为 Sigma、Splunk SPL、KQL (Sentinel) 和 Suricata 规则 | | **供应链风险** | 评估第三方供应商的 CVE、违规历史和信任指标 | | **威胁行为者分析器** | 将 IOC/TTP 与已知的 APT 组织和 MITRE ATT&CK 技术相关联 | | **MITRE ATT&CK 矩阵** | 将扫描历史与 MITRE 战术和技术相关联的可视化网格 | | **手册运行器** | 交互式事件响应检查清单（勒索软件、网络钓鱼、SQLi），可导出 | ### 高级分析 | 模块 | 描述 | | ------------------------ | --------------------------------------------------------------------------------- | | **Payload DNA 分析器** | 对可疑代码进行反混淆和分析（Base64、PowerShell、shellcode、VBA 宏） | | **网络讲述者** | 将网络日志转换为带有时间线的通俗易懂的攻击叙述 | | **蜜罐模拟器** | 生成用于训练和 SIEM 测试的真实攻击日志 | | **红队手册** | 基于目标配置文件生成结构化的对手模拟计划 | ### 运维与分析 | 模块 | 描述 | | --------------------- | ---------------------------------------------------------------------------------- | | **批量扫描器** | 同时对多个目标运行侦察或漏洞扫描 | | **合规报告** | 将发现映射到 NIST 800-53、ISO 27001 或 PCI DSS，并进行差距分析 | | **调度器** | 支持可配置频率和邮件摘要的 cron 风格循环扫描 | | **扫描历史** | 每次扫描都持久化到 SQLite — 可搜索、可过滤、可导出 | | **成本仪表板** | 通过 Chart.js 可视化跟踪每个提供商/模块的 token 使用量和 USD 成本 | | **实时威胁地图** | 根据地理位置绘制您已扫描目标的实时世界地图 | ## 🖥️ AI 提供商支持 | 提供商 | 类型 | 成本跟踪 | 备注 | | -------------------- | ------------ | ------------------------ | --------------------- | | **Ollama** | 本地 (免费) | 仅 token 计数 | 完全离线运行 | | **OpenAI GPT-4o** | 云端 (付费) | 输入/输出 token 成本 | 需要 API key | | **Anthropic Claude** | 云端 (付费) | 输入/输出 token 成本 | 需要 API key | ## 🖼️ 截图 ## 🚀 快速开始 ### 前置条件 - Python 3.10 或更高版本 - Git (可选) - Ollama (用于本地 AI — 推荐) ### Windows 11 安装 **1. 克隆或下载仓库** ``` git clone https://github.com/Ronald-PH/caio.git cd caio ``` **2. 创建虚拟环境** ``` python -m venv venv venv\Scripts\activate ``` **3. 安装依赖项** ``` pip install -r requirements.txt ``` **4. 配置环境变量** ``` copy .env.example .env notepad .env ``` 编辑 `.env` 文件： - 将 `SECRET_KEY` 设置为随机字符串 - 如果使用云提供商，请添加 `OPENAI_API_KEY` 和/或 `ANTHROPIC_API_KEY` - 对于本地推理，将 API key 留空 **5. 设置 Ollama (对于本地 AI 推荐)** 1. 从 [ollama.com](https://ollama.com/) 下载并安装 2. 打开一个新终端并运行： ollama serve 3. 在另一个终端中，拉取一个模型： ollama pull llama3.2 其他不错的选择：`mistral`、`phi3`、`llama3.1:8b`、`codellama` **6. 运行 CAIO** ``` python app.py ``` 在浏览器中打开：**http://127.0.0.1:5000** ## 📁 项目结构

caio/

├── app.py                      # Flask 应用工厂 + 路由

├── database.py                 # SQLite 设置、查询、成本统计

├── requirements.txt            # Python 依赖项

├── .env.example                # 环境变量模板

├── README.md                   # 本文件

│

├── modules/                    # 后端蓝图

│   ├── __init__.py

│   ├── ai_client.py            # 统一的 AI 调用器 (Ollama/OpenAI/Claude)

│   ├── jobs.py                 # 后台作业管理器 (线程 + SQLite)

│   ├── recon.py                # 侦察模块

│   ├── log_analysis.py         # 日志分析模块

│   ├── vuln_scan.py            # 漏洞评估

│   ├── chat.py                 # 事件响应聊天

│   ├── osint_profiler.py       # OSINT 威胁档案

│   ├── email_forensics.py      # 电子邮件标头分析

│   ├── password_auditor.py     # 密码策略审计

│   ├── cve_feed.py             # CVE 情报

│   ├── siem_rule_generator.py  # Sigma/SPL/KQL/Suricata 规则

│   ├── supply_chain_risk.py    # 第三方风险评估

│   ├── threat_profiler.py      # 威胁行为者归因

│   ├── payload_dna.py          # 恶意代码分析

│   ├── network_storyteller.py  # 网络攻击叙述

│   ├── honeypot_simulator.py   # 伪造攻击日志生成

│   ├── redteam_playbook.py     # 红队交战计划

│   ├── batch_scanner.py        # 多目标批量扫描

│   ├── compliance_report.py    # 框架差距分析

│   ├── scheduler.py            # Cron 风格的自动扫描调度

│   ├── mitre_correlation.py    # MITRE ATT&CK 矩阵关联

│   ├── playbook_runner.py      # 交互式 IR 手册检查清单

│   ├── settings.py             # 配置管理

│   └── dashboard.py            # 登录页面 + 实时威胁地图 API

│

├── templates/                  # Jinja2 HTML 模板

│   ├── base.html               # 带有侧边栏 + 主题切换的基础布局

│   ├── index.html              # 仪表板

│   ├── recon.html              # 侦察页面

│   ├── log_analysis.html       # 日志分析页面

│   ├── vuln_scan.html          # 漏洞评估

│   ├── chat.html               # IR 聊天界面

│   ├── history.html            # 带有过滤功能的扫描历史

│   ├── cost_dashboard.html     # 使用 Chart.js 的成本分析

│   ├── settings.html           # 配置页面

│   ├── batch_scanner.html      # 批量扫描界面

│   ├── compliance_report.html  # 合规报告生成器

│   ├── cve_feed.html           # CVE 查询

│   ├── email_forensics.html    # 电子邮件分析

│   ├── honeypot_simulator.html # 日志模拟器

│   ├── network_storyteller.html

│   ├── osint_profiler.html

│   ├── password_auditor.html

│   ├── payload_dna.html

│   ├── redteam_playbook.html

│   ├── siem_rule_generator.html

│   ├── supply_chain_risk.html

│   ├── threat_profiler.html

│   ├── mitre_grid.html         # MITRE ATT&CK 矩阵视图

│   ├── playbook_runner.html    # IR 手册检查清单 UI

│   ├── scheduler.html          # 扫描调度 UI

│   └── pdf_export.html         # 适合打印的报告模板

│

└── static/

    └── style.css               # Cyber-noir 主题 (深色/浅色模式)



## 🔌 API 端点

| 端点                   | 方法 | 描述                                                         |

| ---------------------- | ---- | ------------------------------------------------------------ |

| `/health`              | GET  | 所有 AI 提供商的 JSON 健康状态                               |

| `/progress/`   | GET  | 轮询后台作业状态（由侦察使用）                               |

| `/history`             | GET  | 带有过滤功能的扫描历史 (模块、提供商、目标、天数)            |

| `/history/`        | GET  | 以 JSON 格式获取完整的扫描详情                               |

| `/history//delete` | POST | 删除扫描记录                                                 |

| `/cost-dashboard`      | GET  | 成本分析页面                                                 |

| `/cost-dashboard/api`  | GET  | 以 JSON 格式获取成本分析                                     |

| `/export/pdf/<>`     | GET  | 将扫描打开为适合打印的 HTML 页面 (Ctrl+P → 保存为 PDF)       |

| `/api/live-threats`    | GET  | 用于仪表板实时地图的地理定位威胁数据                         |

### 模块路由 (每个都有 `/` 和 POST 端点)

- `/recon/*` — 侦察
- `/log-analysis/*` — 日志分析
- `/vuln-scan/*` — 漏洞评估
- `/chat/*` — IR 聊天
- `/osint-profiler/*` — OSINT 威胁档案
- `/email-forensics/*` — 电子邮件标头取证
- `/password-auditor/*` — 密码审计
- `/cve-feed/*` — CVE 情报
- `/siem-rules/*` — SIEM 规则生成
- `/supply-chain/*` — 供应链风险
- `/threat-profiler/*` — 威胁行为者归因
- `/payload-dna/*` — 恶意代码分析
- `/network-storyteller/*` — 网络攻击叙述
- `/honeypot-simulator/*` — 蜜罐日志模拟
- `/redteam-playbook/*` — 红队手册
- `/batch/*` — 批量扫描
- `/compliance/*` — 合规报告
- `/scheduler/*` — 自动扫描调度
- `/mitre/*` — MITRE ATT&CK 矩阵
- `/playbook-runner/*` — 事件响应手册
- `/settings/*` — 配置管理



## 📊 成本仪表板

CAIO 跟踪所有 API 调用的 token 使用量和成本：

- **OpenAI：** 可配置费率（默认：$0.005/千输入，$0.015/千输出）
- **Claude：** 可配置费率（默认：$0.003/千输入，$0.015/千输出）
- **Ollama：** 免费（仅统计 token 计数）

仪表板显示：

- 30 天内的总成本
- 按提供商划分的成本明细
- 按模块划分的成本明细
- 每日成本趋势图
- 最近的成本明细表



## 📄 PDF 导出

CAIO 会渲染一个精美的、适合打印的 HTML 报告（扫描历史和合规报告），并触发您浏览器原生的打印对话框 — 只需选择 **保存为 PDF** 作为目标即可。这消除了对 `weasyprint` 或 `wkhtmltopdf`/`pdfkit` 的需求，因为这些库以前需要额外的系统依赖（例如 GTK3 运行时），在 Windows 上安装起来很麻烦。



## 🛡️ 安全与法律声明

CAIO 是一款**防御性安全工具**，适用于：

- 进行授权评估的安全专业人员
- 调查安全事件的安全运营中心 (SOC) 分析师
- 审查自有基础设施的系统所有者
- 教育和研究目的

**⚠️ 重要提示：**

- 仅扫描、测试或分析您拥有或获得明确书面测试许可的系统
- 未经授权的扫描在大多数司法管辖区是非法的
- 作者对滥用此工具不承担任何责任
- 始终遵循负责任的漏洞披露实践



## 💬 支持

- 🐛 [报告 Bug](https://github.com/Ronald-PH/caio/issues)
- 💡 [功能请求](https://github.com/Ronald-PH/caio/issues)
- 📖 [文档](https://github.com/Ronald-PH/caio/wiki)
- 💬 [讨论](https://github.com/Ronald-PH/caio/discussions)



## 📧 联系方式

如有任何疑问或支持，请联系




**GitHub:** [https://github.com/Ronald-PH](https://github.com/Ronald-PH)  

**项目地址:** [https://github.com/Ronald-PH/caio](https://github.com/Ronald-PH/caio)



## 🙏 致谢

- [Ollama](https://ollama.com/) — 本地 LLM 推理
- [OpenAI](https://openai.com/) — GPT-4o API
- [Anthropic](https://anthropic.com/) — Claude API
- [Flask](https://flask.palletsprojects.com/) — Web 框架
- [Bootstrap](https://getbootstrap.com/) — UI 组件
- [Chart.js](https://www.chartjs.org/) — 数据可视化
- [Leaflet](https://leafletjs.com/) — 实时威胁地图
- [Highlight.js](https://highlightjs.org/) — 代码语法高亮



## 📜 许可证

MIT 许可证 — 详情请参阅 [LICENSE](LICENSE) 文件。





**[报告 Bug](https://github.com/Ronald-PH/caio/issues)** · **[请求功能](https://github.com/Ronald-PH/caio/issues)** · **[在 GitHub 上加星](https://github.com/Ronald-PH/caio)**

*怀着 ❤️ 为网络安全社区而打造*

标签：AI风险缓解, DLL 劫持, GitHub, 人工智能, 后端开发, 大语言模型, 安全运营, 实时处理, 密码管理, 库, 应急响应, 扫描框架, 用户模式Hook绕过, 逆向工具