Samir12218415/GhostMap-v2-AI-augmented-recon-framework-with-MCP-and-CVE-pipeline

# GhostMap v2    ## 概述 GhostMap v2 是一个模块化的、AI 增强的红队侦察框架，它使用 Google Gemini Flash 作为决策引擎，自主编排完整的侦察 pipeline —— 从主机发现到漏洞利用链的生成。 与传统的静态扫描器不同，GhostMap v2 会针对每台主机实时做出规避决策，根据供应商特征和风险评估动态调整其扫描姿态。 ## 架构 ``` ┌─────────────────────────────────────────────────────────┐ │ GhostMap v2 │ ├─────────────────────────────────────────────────────────┤ │ Phase 1 │ ARP Host Discovery (arp-scan) │ │ Phase 3 │ AI Evasion Assessment (Gemini Flash) │ │ │ → Dynamic T1–T4 speed + MAC spoof decision │ │ Phase 2 │ Service Fingerprinting (Nmap) │ │ Phase 2 │ CVE Mapping (NVD API v2 + SQLite cache) │ │ Phase 4 │ Attack Chain Synthesis (Gemini Flash) │ │ │ → JSON report saved to disk │ └─────────────────────────────────────────────────────────┘ ``` ## 功能 - **AI 驱动的规避**：Gemini Flash 会根据供应商风险特征和模糊度评分，动态地为每台主机分配 Nmap 时序配置 (T1–T4) 以及 MAC 欺骗决策 - **CVE 映射 Pipeline**：集成 NVD API v2 与本地 SQLite 缓存 (24小时 TTL)，自动将发现的服务版本与 CVSS ≥ 7.0 的漏洞进行关联，并按严重程度排序 - **攻击链生成**：根据单台主机的 CVE 扫描结果，利用 AI 生成优先级的漏洞利用链蓝图，供下游红队进行分类处理 - **MCP Server**：所有侦察能力均作为可调用的 FastMCP 工具公开，实现 AI-agent 的互操作性和自然语言编排 - **限速凭证审计**：集成 Hydra，采用单线程执行并设置 30 秒的尝试间隔延迟，以规避标准 SIEM 检测阈值 - **结构化报告**：每次运行都会生成带有时间戳的 JSON 报告，完整记录网络拓扑、开放服务、CVE 发现结果以及 AI 生成的攻击链蓝图 ## 技术栈 | 组件 | 技术 | |-----------------------|-----------------------------------| | 语言 | Python 3.11+ | | AI 编排 | Google Gemini 2.5 Flash (免费) | | MCP Server | FastMCP | | CVE 情报 | NVD API v2 + SQLite 缓存 | | 主机发现 | arp-scan | | 服务指纹识别 | Nmap | | 凭证审计 | Hydra | | 输出验证 | Pydantic | | CLI | argparse + colorama | ## 项目结构 ``` GhostMap/ ├── GhostMap.py # CLI entry point ├── orchestrator.py # Main pipeline coordinator ├── server.py # FastMCP server — exposes tools to AI agents ├── cve_mapper.py # NVD API v2 integration with SQLite caching ├── config.py # Centralised configuration and constants ├── requirements.txt ├── tools/ │ ├── __init__.py │ ├── network.py # MAC spoofing + ARP discovery │ ├── scanner.py # Nmap XML parsing wrapper │ └── auditor.py # Hydra credential auditing wrapper └── README.md ``` ## 前置条件 **系统依赖：** ``` sudo apt install nmap arp-scan hydra ``` **Python：** 3.11 或更高版本 **Gemini API 密钥** (免费)：https://aistudio.google.com/app/apikey ## 安装说明 ``` # Clone the repository git clone https://github.com/Samir12218415/GhostMap.git cd GhostMap # 创建并激活 virtual environment python3 -m venv .venv source .venv/bin/activate # 安装 dependencies pip install -r requirements.txt # 设置你的 Gemini API key export GEMINI_API_KEY='your_google_ai_studio_key' ``` ## 运行说明 ``` # 标准运行 — 自动检测 hosts，应用 AI evasion sudo -E .venv/bin/python3 GhostMap.py -i wlan0 # 跳过 MAC spoofing（适用于独立的 lab 环境） sudo -E .venv/bin/python3 GhostMap.py -i wlan0 --no-mac-spoof # Debug mode — 打印每个 host 的原始 Nmap scan 输出 sudo -E .venv/bin/python3 GhostMap.py -i wlan0 --debug # 在 wired interface 上运行 sudo -E .venv/bin/python3 GhostMap.py -i eth0 ``` **MCP server** (用于 AI-agent 集成)： ``` python3 server.py ``` ## 输出 每次运行都会生成一个带有时间戳的 JSON 报告： ``` ghostmap_report_20260605_142300.json ``` 其中包含每台主机的：元数据、开放服务、带有 CVSS 分数的 CVE 发现结果，以及 AI 生成的攻击链蓝图。 ## 规避策略逻辑 | 条件 | 速度 | MAC 欺骗 | |----------------------------------------|-------|-----------| | 已知的安全设备 / SIEM | T1 | 是 | | 未知供应商 / 模糊主机 | T2 | 是 | | 确认的消费者设备 (路由器/NAS) | T3 | 可选 | | 确认的隔离实验室环境 | T4 | 否 | ## 法律声明 本工具仅供**教育和授权的安全测试目的使用**。 - 仅在您拥有或获得明确书面授权测试的网络上使用 - 凭证审计功能只能在您被授权评估的系统上使用 - 作者对因滥用本工具而造成的任何损害概不负责 ## 作者 **Samir Pandey** B.Tech CSE (辅修：网络安全) — Lovely Professional University ISC2 网络安全认证 (CC) [LinkedIn](https://www.linkedin.com/in/samir-pandey23/) · [GitHub](https://github.com/Samir12218415)

标签：AI辅助安全, CTI, Nmap, Python, 实时处理, 密码管理, 插件系统, 无后门, 虚拟驱动器, 逃逸防御, 逆向工具