bugsyhewitt/chimera

# CHIMERA **一个 Splunk 原生的 AI 欺骗智能体，它以*可证明的*误差范围检测入侵者，判断面对的是人类还是自主 AI 智能体，并调整其蜜罐欺骗策略以浪费对方的时间 —— 同时将真实入侵的概率保持在接近零的水平。** 由 **V3X** 提交给 **Splunk Agentic Ops Hackathon — 安全赛道**。  ## 问题所在 安全团队正淹没在海量警报中，而一种新型攻击者刚刚出现：自主 AI 智能体。Palisade Research 的 *LLM Agent Honeypot* 表明它们已经在探测公共互联网；Cisco Talos 正在追踪这一威胁。Splunk 发布了六个 SOC 智能体用于**检测和响应** —— 但没有一个能**欺骗**。CHIMERA 填补了这一空白：它将蜜罐转变为一个完全由 Splunk 数据驱动的、具有自适应能力的 AI 感知欺骗引擎。 ## 独特之处 - **可证明的检测，而非黑盒评分。** Wald **序列概率比检验 (SPRT)** 在受控的误报率 (α=0.01) 和漏报率 (β=0.05) 下宣告目标为 HOSTILE。（实时状态：Λ=5.7 → HOSTILE。） - **人与 AI 的分类** 跨越三个渠道 —— 其中最突出的是一个 **反转的 PromptArmor MCP 触发器**：一个 Beelzebub MCP 诱饵暴露了一个人类绝不会调用的工具。LLM 智能体会调用它并暴露自身的特征。（实时状态：分类为 **AI，p_ai = 0.9997**。） - **自适应欺骗** 通过 POMDP 信念控制器实现：对于会追逐植入目标的 AI，投放具有攻击性的循环诱饵；对于容易起疑心的人类，则投放稀疏且微妙的诱饵。 - **留下持久的工件。** Foundation-Sec-8B 撰写交战报告（包含真实的 MITRE ATT&CK + MITRE Engage ID + 推荐的 SPL 检测规则），CHIMERA **将其持久化为真实的 Splunk 保存搜索** —— 这不仅仅是一份摘要，而是一个行动。 - **整个闭环通过 Splunk MCP Server 运行** —— 包括读取路径和检测回写 —— 且触发器本身就是一个 MCP 诱饵。 ## 影响（实时仪表盘） | 指标 | 静态蜜罐 | 使用 CHIMERA | |---|---|---| | 攻击者驻留时间 | ≈ 49 秒 | ≈ 821 秒 (**16.7 倍**) | | 渗透概率 | — | **~0%** | ## 参赛赛道 1. **全场大奖** —— 一种结合了可证明误差数学与量化驻留时间/渗透影响的新型欺骗利器。 2. **最佳安全奖** —— 蓝队欺骗策略，映射到 MITRE **Engage** + **ATT&CK**。 3. **最佳 MCP Server 应用奖** —— 编排器是一个 MCP 客户端；读取 + 回写均通过 MCP 进行；触发器是一个 MCP 诱饵。 4. **最佳托管模型应用奖** —— 自托管的 **Foundation-Sec-8B**（通过 Ollama）执行真实的分析员工作。 ## 智能体闭环 ``` detect → SPRT test → route → classify (human vs AI) → adapt (POMDP) → Foundation-Sec report → write-back ``` 传感器 (Suricata/Zeek) 和蜜罐 (Cowrie/Galah/Beelzebub) 通过 Universal Forwarder 将数据输入 Splunk。异步 Python 编排器通过 Splunk MCP Server 读取这些索引，运行下文的数学计算，并将其决策写回 `idx_deception` 和 Splunk 保存搜索存储中。详情请参阅 **[ARCHITECTURE.md](ARCHITECTURE.md)** 获取完整说明。 ## 数学原理（命名方法，而非自由发挥的 LLM） - **SPRT (Wald)。** 每个事件都会增加一个按类型划分的对数似然比；当 Λ 越过 Wald 上界 `A = ln((1−β)/α)` 时 → **HOSTILE**，低于 `B = ln(β/(1−α))` 时 → **BENIGN**，具有可证明的 α/β 误差界限。判定结果在每个 `src_ip` 上具有粘性。*(必选项。)* - **三通道 AI/人类分类器。** (1) **时间** —— 对命令间隔进行 Kolmogorov–Smirnov 检验 + Shannon 熵分析；(2) **行为** —— 诱饵追踪差异度；(3) **MCP 触发器** —— 反转的 PromptArmor Beelzebub 诱饵。各渠道融合为 `p_ai`。*(必选项。)* - **POMDP 信念控制器。** 在单纯形上建立关于 `{benign, human, AI}` 的信念，通过 SPRT 判定和分类器后验进行贝叶斯更新；手动调整的阈值策略 (0.7) 用于选择诱饵强度 `{none, subtle, moderate, aggressive}`。*(针对 v1 版本进行了简化：仅记录操作，尚未进行物理执行。)* - **贝叶斯信号博弈。** 统一的叙述框架以及 MITRE Engage/ATT&CK 映射（例如 EAC0005 Lures，EAC0016 Network Manipulation）。 ## 快速开始 ``` # 1. 配置（真实 secrets 仅存放在 .env 中，该文件已被 gitignore） cp .env.example .env $EDITOR .env # fill SPLUNK_ADMIN_PASSWORD, SPLUNK_MCP_TOKEN, ... # 2. 启动隔离的 honeypot/sensor stack（chimera_dmz docker net） docker compose -f infra/docker-compose.yml up -d # 3. （宿主机）安装 Universal Forwarder 以将 honeypot 日志发送至 Splunk sudo bash scripts/install_uf.sh # 4. 运行 orchestrator loop cd orchestrator && uv sync && uv run python -m chimera.loop # 5. 驱动攻击者（在另一个 shell 中）：人类 SSH 对抗 autonomous AI agent bash scripts/seed_attacker.sh # human-paced SSH attacker python scripts/seed_ai_attacker.py # fast, goal-directed LLM agent # 6. 在 Splunk Web 中打开 CHIMERA dashboard： # Apps → CHIMERA → "chimera_overview"（实时 loop）和 "chimera_metrics"（核心图表） ``` ## 演示视频 ▶ **[观看演示](https://www.youtube.com/watch?v=i3tzNBW3Vyo)** 一次完整的操作演示（人类与 AI 对抗同一个蜜罐、SPRT 阈值跨越、MCP 触发器 firing 以及驻留时间收益图表）。请参阅 [`demo/demo_script.md`](demo/demo_script.md) 和 [`demo/recording_notes.md`](demo/recording_notes.md)。 ## 仓库结构 | 路径 | 说明 | |---|---| | `orchestrator/` | V3X 提交的核心内容 —— 异步 Python MCP 客户端智能体（包含 SPRT、分类器、POMDP、报告生成、回写）。通过了 135 项测试。 | | `infra/` | Docker Compose 技术栈：Suricata, Cowrie, Galah, Beelzebub + forwarder 配置。 | | `splunk-app/` | CHIMERA Splunk 应用：包含索引、保存搜索、`chimera_overview` / `chimera_metrics` 仪表盘。 | | `scripts/` | UF 安装程序、攻击者种子、冒烟测试、演示数据生成器。 | | `demo/` | 架构图、演示脚本、录制说明。 | ## 许可证与归属 **MIT** —— 详见 [LICENSE](LICENSE)。© 2026 **V3X**。 **开放核心声明。** 本仓库是开源的编排框架。V3X 的商业检测插件单独提供；它们通过 `orchestrator/chimera/` 中记录的后端接口进行集成。此处不包含任何专有代码。 ## 现有技术（诚实致谢） CHIMERA 站在现有研究的肩膀上，并明确指出了哪些是它**使用或反转**的，哪些是这里的创新： - **Cowrie**, **Galah**, **Beelzebub** —— 我们原样部署的第三方蜜罐（Galah 和 Beelzebub 使用 LLM 进行欺骗性响应；Beelzebub 提供了 MCP 诱饵攻击面）。 - **Palisade Research — LLM Agent Honeypot** —— 证明了 AI 智能体会探测互联网的现有技术；CHIMERA 正是基于这一观察构建的。 - **PromptArmor** —— 针对智能体的提示注入*防御*机制；CHIMERA 将该思路**反转**，用作一种 MCP 触发**传感器**。我们并未发明 PromptArmor。 - **Foundation-Sec-8B** (Cisco/Foundation AI) —— 我们通过 Ollama 自托管的托管安全模型。 这里的创新之处在于**组合**：一个 Splunk 原生、通过 MCP 连接的闭环，它将可证明的 SPRT 检测、AI 与人类分类（结合了反转触发器利器）以及 POMDP 驱动的自适应欺骗，整合为一个能够生成持久、可操作的 Splunk 工件的闭环。

标签：AI代理, AI蜜罐, AI风险缓解, BOF, CISA项目, DLL 劫持, Metaprompt, 大语言模型, 安全运营, 实时处理, 扫描框架, 欺骗防御, 请求拦截, 逆向工具