blackdome-ai/blackdome-mcp

# BlackDome MCP 服务器 为您的 AI 智能体提供直接访问**实时蜜罐威胁情报**的能力。查询攻击者 IP、浏览失陷标示 (IOC)、检查捕获的凭据和恶意软件 payload、分析威胁行为者画像，并渲染实时全球攻击地图——这一切都可以在 Claude、Cursor 或任何兼容 MCP 的客户端中完成。 大多数工具都是**免费的且无需 API 密钥**（公共社区版）。部分高价值情报需要付费订阅计划。 ## 快速开始 ### 安装 ``` pip install blackdome-mcp ``` ### 配置 免费的公共工具**无需 API 密钥**即可使用。要解锁付费层级（凭据情报、payload、行为者、战情板、STIX 导出），请访问 **[https://blackdome.ai/pricing](https://blackdome.ai/pricing)** 获取 API 密钥。 #### Claude Desktop 添加到您的 `claude_desktop_config.json`： ``` { "mcpServers": { "blackdome": { "command": "blackdome-mcp", "env": { "BLACKDOME_API_KEY": "your-api-key-here" } } } } ``` #### Claude Code ``` claude mcp add blackdome -- blackdome-mcp # 可选 — 仅付费工具需要： export BLACKDOME_API_KEY="your-api-key-here" ``` #### Cursor 添加到您的 MCP 设置中： ``` { "blackdome": { "command": "blackdome-mcp", "env": { "BLACKDOME_API_KEY": "your-api-key-here" } } } ``` ## 可用工具 免费工具无需密钥即可使用。付费工具需要 API 密钥，且其订阅计划需包含列出的功能。 | 工具 | 层级 | 描述 | |------|------|-------------| | `lookup_attacker_ip` | **免费** | 单个攻击者 IP 的完整档案——事件、协议、凭据（密码已脱敏）、MITRE、边缘节点 | | `top_attackers` | **免费** | 指定时间范围内最活跃的攻击者 IP——选择一个进行深入分析 | | `attack_map` | **免费** | 用于实时地图的近期地理定位攻击事件（限制 ≥ 10） | | `attack_heatmap` | **免费** | 按国家/地区聚合的攻击热力图，包含质心点（限制 ≥ 5） | | `credential_preview` | **免费** | 近期凭据样本（服务器端脱敏）+ 概要统计 | | `verify_sigil` | **免费** | 通过 ID 验证 BlackDome Sigil / 审计记录 | | `recent_iocs` | **免费** | 使用完整过滤器浏览近期 IOC（社区版有 72 小时延迟） | | `ioc_trends` | **免费** | 聚合的 IOC 趋势——总数、分类细目、每日新增、热门 MITRE | | `export_iocs` | **免费** (json/csv) · **Pro** (stix) | 导出 IOC 数据流；STIX bundle 需要 `stix_export` 功能 | | `search_credentials` | **Enterprise** (`credential_intel`) | 搜索全局凭据库，获取明文密码 | | `credential_stats` | **Enterprise** (`credential_intel`) | 聚合凭据统计——热门用户名/密码、分类细目 | | `list_payloads` | **Pro** (`api_access`) | 列出捕获的恶意软件 payload，或通过 sha256 获取单个文件（VT/MB 情报） | | `get_actor` | **Pro** (`api_access`) | 列出聚类后的威胁行为者，或获取某个行为者的会话记录 | | `warboard` | **Pro** (`api_access`) | 包含入侵叙事和攻击者命令记录的 Sigil 排行榜 | | `list_notable_sessions` | **Enterprise** (`session_intel`) | 从僵尸网络噪声中筛选出的、按排名展示的人工键盘输入攻击者会话 | | `get_session_transcript` | **Enterprise** (`session_intel`) | 单个攻击者会话的结构化命令/输出记录 | | `list_detonations` | **Pro** (`detonation_intel`) | 包含裁决结果、Magika 标签和 IOC 数量的恶意软件沙箱执行列表 | | `get_detonation_report` | **Pro** (`detonation_intel`) | 包含行为、IOC、产物分类和报告可用性的完整沙箱执行报告 | | `get_artifact` | **Pro** (`detonation_intel`) | 产物档案，仅包含关联的沙箱执行、IOC 和会话标识符 | | `whoami` | **任意密钥** | 检查您的租户、计划、功能和实时配额 | **计划：** Community (免费) → Pro ($299，增加 `stix_export`, `api_access`, `detonation_intel`) → Enterprise ($2000，增加 `credential_intel`, `bulk_api`, `session_intel`) → OEM ($5000)。请参阅[定价](https://blackdome.ai/pricing)。 ## 示例提示词 连接成功后，尝试向您的 AI 助手提问： - *"本月攻击蜜罐的最主要攻击者是谁？"* - *"查询攻击者 IP 176.65.139.56 并总结他们的意图。"* - *"展示上周以来的最新恶意 sha256 IOC。"* - *"IOC 趋势是什么——哪些 MITRE 技术正在激增？"* - *"渲染一张显示攻击来源的热力图。"* - *"将 IOC 数据流导出为 CSV，以便我加载到我的 SIEM 中。"* - *"我使用的是什么计划，有哪些功能？"* (运行 `whoami`) - *"在捕获的 SSH 凭据中搜索用户名 root。"* (付费) - *"展示本周最活跃的人工键盘输入攻击者会话。"* (Enterprise) - *"获取 sha256 a6713518f2e26745683d33ded61b465d0645d7af850464c559fba8bb84e68398 的沙箱执行报告。"* (Pro) ## 环境变量 | 变量 | 必需 | 默认值 | 描述 | |----------|----------|---------|-------------| | `BLACKDOME_API_KEY` | 否 | — | Bearer API 密钥。免费工具无需此项；付费工具必需 | | `BLACKDOME_BASE_URL` | 否 | `https://api.blackdome.ai` | API 基础 URL | | `BLACKDOME_TIMEOUT` | 否 | `15` | 请求超时时间（秒） | ## 速率限制 免费的社区版上限约为 **30 次请求/分钟** 和 **100 次请求/天**，并且社区 IOC 数据存在 **72 小时的时效性延迟**。付费计划大幅提高了这些限制（Enterprise：1000 次请求/分钟，50,000 次请求/天）。当您达到限制时，服务器将返回明确的 `429` 错误并附带重试时间。使用 `whoami` 查看您的实时配额。 ## 安全性 - **只读。** 每个工具都是一个 GET 请求——服务器绝不会篡改 BlackDome 数据。 - **无密钥免费层级。** 公共工具不需要 API 密钥，且仅暴露社区层级的数据。 - **凭据脱敏。** 免费的 `lookup_attacker_ip` 工具在返回捕获的密码之前会将其掩码处理为 `********`；`credential_preview` 在服务器端进行脱敏。明文密码**仅**由付费的 `search_credentials` 工具返回，且该工具需要 `credential_intel` 功能。 - **密钥留在本地。** 您的 API 密钥从环境中读取，仅通过 HTTPS 发送给 BlackDome API。MCP 服务器不存储任何数据——它直接代理到 BlackDome。 ## License MIT

标签：MCP服务, 人工智能代理, 威胁情报, 安全数据接口, 开发者工具, 攻击溯源, 蜜罐, 证书利用, 逆向工具