Dustpipe99/n8n-threat-intel-agent

# n8n 威胁情报 Agent ## 概述 旨在减少手动威胁情报筛选的时间。无需每天检查多个来源，此工作流每天早晨自动运行，并提供一份结构化摘要，涵盖过去 24 小时内最严重的 CVE 和安全新闻。 ## 架构 Schedule Trigger (每天) ↓ NVD API (CVE feed) ──→ Merge → Gemini AI Agent → Gmail 摘要 RSS Security Feed ──↗ ## 技术栈 - [n8n](https://n8n.io/) — 自托管的工作流自动化工具 - [Google Gemini](https://aistudio.google.com/) — AI 总结（免费额度） - [NVD API](https://nvd.nist.gov/developers/vulnerabilities) — NIST CVE 数据 - RSS feeds — 安全新闻聚合 - Gmail — 摘要发送 ## 生成内容 包含以下内容的每日邮件摘要： - 前 5 名最严重的 CVE，包括严重程度、受影响的产品，以及适用的 MITRE ATT&CK 技术映射 - 前 3 条安全新闻摘要 - 适用于快速筛选的可操作情报 ## 设置 ### 前置条件 - 自托管 n8n (Node.js v20 LTS) - Google Gemini API 密钥（可在 aistudio.google.com 免费获取） - Gmail OAuth2 凭据（通过 Google Cloud Console 获取） ### 安装说明 **1. 安装 n8n** ``` # 首先安装 nvm-windows，然后： nvm install 20.19.0 nvm use 20.19.0 npm install -g n8n n8n start ``` **2. 导入工作流** - 在 `http://localhost:5678` 打开 n8n - 转到 Workflows → Import - 上传本仓库中的 `workflow.json` **3. 配置凭据** - 将你的 Gemini API 密钥添加到 Google Gemini Chat Model 节点中 - 通过 OAuth2 连接 Gmail（请参阅下方的 Google Cloud Console 设置） **4. 激活** - 点击右上角的开关将工作流切换为 Active - 它将在你设定的时间每天运行 ### Google Cloud Console 设置 (Gmail OAuth) 1. 在 console.cloud.google.com 创建一个项目 2. 启用 Gmail API 3. 创建 OAuth2 凭据（Web Application 类型） 4. 添加 `http://localhost:5678/rest/oauth2-credential/callback` 作为授权重定向 URI 5. 在 Audience 设置下将你的 Gmail 添加为测试用户 ## 故障排除 | 问题 | 原因 | 解决方法 | |---|---|---| | Gemini 报错 `503 Service Unavailable` | 免费额度触发频率限制 | 等待 10 分钟后重试，或切换为 `gemini-1.5-flash` | | Gmail OAuth `access_denied` | 未添加为测试用户 | 在 Google Cloud → Audience → Test Users 下添加你的邮箱 | | 找不到 n8n 命令 | Node 版本错误 | 使用 nvm 切换到 Node 20 LTS | | 安装后缺少 n8n bin | Node 26 不兼容 | 通过 nvm-windows 降级到 Node 20.19.0 | ## 路线图 - [ ] 为每个 CVE 添加 MITRE ATT&CK 技术映射 - [ ] Slack/Teams 发送选项 - [ ] 集成 CISA KEV feed - [ ] 严重性评分层 - [ ] 为每个 CVE 自动生成 Sigma 规则草稿 ## 许可证 MIT

标签：AI摘要, MITM代理, n8n, 信息聚合, 威胁情报, 开发者工具, 漏洞追踪