JCesarGR/Sirax

# SIRAX 平台

身份验证 · 风险情报 · 数字足迹分析 · 合规筛查

了解越多，风险越少。

## 什么是 SIRAX？ **SIRAX** 是一个身份验证与风险情报平台，旨在帮助组织了解其评估的对象、存在的风险信号，以及与个人、公司、账户、电子邮件、电话号码或身份记录相关联的数字暴露程度。 该平台将身份验证、数字足迹 enrichment、provider orchestration、合规筛查、风险评分和结构化报告集中到一个操作工作流中。 SIRAX 专为信息碎片化不足的环境而构建。该平台无需手动检查多个服务，而是组织数据源，标准化 provider 响应，关联信号，并将原始发现转化为能够支持验证、尽职调查、onboarding、欺诈预防、合规和背景审查流程的情报。

通过单一操作界面提供统一的身份、风险和数字足迹情报。

## 核心愿景 SIRAX 的创建围绕着一个核心问题： 大多数验证工作流是碎片化的。一个 provider 验证身份，另一个检查合规名单，另一个丰富电子邮件数据，另一个审查电话信息，还有一个执行开源情报 (OSINT) 搜索。 SIRAX 将这些信号整合到一个模块化的情报层中。 ``` Identity Data ↓ Official Validation ↓ Digital Footprint Enrichment ↓ Compliance & Risk Screening ↓ Provider Normalization ↓ Risk Scoring ↓ Structured Intelligence Report ``` ## 平台范围 SIRAX 旨在涵盖身份和风险情报的多个层面。 | 层面 | SIRAX 涵盖的内容 | | ---------------------- | ---------------------------------------------------------------------------- | | 身份验证 | CURP、RFC、RENAPO、SAT、身份验证和官方记录检查 | | 数字足迹 | 电子邮件、电话、用户名、社交资料、开发者资料、公开暴露 | | 合规筛查 | 制裁、PEP 指标、公开名单、风险信号和观察名单逻辑 | | OSINT Enrichment | 搜索情报、用户名发现、公开资料映射和 dorks | | Provider Orchestration | 模块化集成、fallback、provider 状态和标准化响应 | | 风险评分 | 信号分类、置信度评分和最终风险摘要 | | 报告 | 结构化报告、证据参考、JSON 输出和 PDF 就绪摘要 | ## 情报工作流 ``` flowchart TD A[Subject Input] --> B[Identity Verification] B --> C[CURP / RFC / RENAPO / SAT] C --> D[Digital Footprint Intelligence] D --> E[Email / Phone / Username / OSINT] E --> F[Risk & Compliance Screening] F --> G[Sanctions / PEP / Public Records] G --> H[Risk Scoring Engine] H --> I[Structured Report] I --> J[PDF / JSON / Dashboard Review] ```

## 身份验证 SIRAX 支持专注于墨西哥身份和合规需求的结构化身份验证工作流。 身份层旨在通过官方和基于 provider 的来源来验证、标准化和丰富个人或商业记录。 ### 功能 * CURP 验证 * RFC 验证 * RENAPO 验证 * SAT 验证 * 身份数据标准化 * 格式验证 * 基于 provider 的验证 * Fallback provider 支持 * 验证状态跟踪 * 基于证据的验证结果 SIRAX 不会将身份验证视为单一的 API 调用。它将其视为一个工作流，其中每个 provider 的响应都会成为更庞大验证资料的一部分。 ## 数字足迹情报 数字足迹模块有助于识别与用户名、电子邮件、电话号码和其他主体标识符相关的公开暴露。 该层有助于了解主体是否有可见的在线状态，电子邮件是否出现在与风险相关的来源中，用户名是否在不同平台上被重复使用，或者电话和电子邮件元数据是否可以丰富验证资料。

### 功能 * Email enrichment * Phone enrichment * 用户名发现 * 公开资料关联 * 开发者资料发现 * 社交资料发现 * 基于搜索的 OSINT enrichment * 违规暴露指标 * 一次性电子邮件检测 * 商业存在检测 * 多平台可见性映射 * 数字暴露评分 ### 分析领域示例 | 输入 | 可能的情报 | | ------------ | ---------------------------------------------------------------------- | | Email | 违规暴露、一次性状态、域名类型、声誉指标 | | Phone | 国家、运营商、线路类型、风险指标、垃圾邮件信号 | | Username | 公开资料、重复使用的 handle、开发者账户、社交存在 | | CURP / RFC | 身份一致性、官方记录验证、provider 状态 | | 完整资料 | 风险关联、置信度评分和最终报告 |

## 风险与合规筛查 SIRAX 可以组织和评估来自不同合规和公开情报来源的风险信号。 其目的不仅是找到原始匹配项，而是对它们进行分类、标准化，并以有助于运营决策的方式呈现它们。 ### 风险领域 * 制裁指标 * PEP 相关指标 * 公开合规名单检查 * 公开记录 * 开源情报发现 * Provider 证据跟踪 * 风险分类 * 置信度评分 * 最终风险摘要 ``` Raw Provider Data ↓ Signal Extraction ↓ Risk Classification ↓ Confidence Level ↓ Analyst-Ready Summary ```

## Provider Orchestration SIRAX 采用模块化的 provider 架构设计。这使得平台能够连接多个数据 provider，而不会使核心验证工作流仅依赖于单一服务。 每个 provider 都可以启用、禁用、替换或扩展，而不会破坏整个平台。 ### Provider 类别 | 类别 | Provider / 模块 | 目的 | | --------------------- | ------------------------------------------ | ------------------------------------------------ | | 身份验证 | CURP、RFC、RENAPO、SAT | 验证官方身份记录 | | 政府信号 | IMSS、RND | 丰富身份和背景审查 | | 合规 | OFAC、OpenSanctions、PEP 指标 | 检测制裁、观察名单和风险信号 | | 数字足迹 | SerpAPI、Sherlock、Maigret | 发现公开在线状态 | | Email 情报 | HaveIBeenPwned、Hunter、Gravatar | 分析电子邮件暴露和声誉 | | Phone 情报 | NumVerify、运营商查询、垃圾邮件指标 | 验证电话数据并识别风险信号 | | AI 报告 | OpenAI、Gemini | 生成结构化的分析师风格摘要 | | Fallback Provider | Nubarium、APIMarket | 在 provider 不可用时保持连续性 | ## SIRAX 的独特之处 SIRAX 不仅仅是一个表单、一个仪表板或一个简单的 API 封装器。 它被设计为一个完整的验证和情报工作流。 | 差异 | 价值 | | ------------------------------ | ---------------------------------------------------------------- | | 模块化 provider 系统 | 可以添加新的 provider 而无需重建平台 | | 专注于墨西哥的验证 | 围绕 CURP、RFC、RENAPO、SAT 和本地验证需求构建 | | 数字足迹情报 | 连接电子邮件、电话、用户名和公开资料 | | Provider fallback 逻辑 | 在某个 provider 发生故障时保持工作流运行 | | 基于证据的报告 | 每一项发现都可以关联到 provider 结果 | | 风险评分 | 将多个信号转化为更具可读性的风险画像 | | 集中式仪表板 | 减少在不同工具间进行手动审查 | | API 优先方法 | 可服务于内部系统、仪表板或外部集成 | | 注重合规的设计 | 专为授权验证和合法用例构建 | | 可扩展架构 | 准备好扩展到更多的 provider、模块和报告 | ## 系统状态与 Provider 健康 SIRAX 可以公开一个受保护的系统状态 endpoint，以验证哪些 provider 处于活动、禁用或缺少配置状态。 这有助于操作员了解平台是否已准备好运行完整的验证工作流。 ``` GET /api/system/status ``` 示例响应： ``` { "providers": { "serpapi": "enabled", "hunter": "enabled", "numverify": "missing_api_key", "apimarket": "enabled", "nubarium": "disabled", "opensanctions": "enabled", "ai_report": "enabled" } } ```

## 报告生成 SIRAX 将 provider 响应转化为结构化报告，以支持审查、文档记录和决策。 报告输出可能包括： * 身份摘要 * Provider 结果 * 数字足迹摘要 * 风险指标 * 置信度评分 * 证据参考 * 最终分析师摘要 * JSON 导出 * PDF 就绪报告结构 ### 报告结构示例 ``` { "status": "success", "verification_id": "sirax_ver_2f81a0", "identity": { "curp_valid": true, "rfc_valid": true, "identity_score": 94 }, "digital_footprint": { "presence_score": 89, "profiles_found": 12, "developer_profiles": 4 }, "risk": { "risk_score": 8, "risk_level": "low", "flags": [] }, "report": { "format": ["json", "pdf"], "status": "ready" } } ``` ## 架构概述 ``` SIRAX Platform ├── Identity Verification │ ├── CURP │ ├── RFC │ ├── RENAPO │ ├── SAT │ └── APIMarket / Nubarium Fallbacks │ ├── Digital Footprint Intelligence │ ├── Email Enrichment │ ├── Phone Enrichment │ ├── Username Discovery │ ├── Search Intelligence │ ├── SerpAPI Dorks │ ├── Sherlock │ └── Maigret │ ├── Risk & Compliance │ ├── OFAC │ ├── OpenSanctions │ ├── PEP Indicators │ ├── Public Records │ └── Risk Signals │ ├── Provider Registry │ ├── Status Check │ ├── Required ENV Vars │ ├── Fallback Logic │ └── Normalized Responses │ └── Reporting Engine ├── Evidence Summary ├── Risk Summary ├── Provider Results ├── AI Analyst Summary └── Final Report ``` ## API 就绪设计 SIRAX 被设计为既可以作为仪表板，也可以作为 API 驱动的情报层来工作。 身份验证请求示例： ``` curl --request POST "$SIRAX_API_URL/api/v1/identity/verify" \ --header "Authorization: Bearer $SIRAX_API_KEY" \ --header "Content-Type: application/json" \ --data '{ "curp": "XXXX000000XXXXXX00", "rfc": "XXXX000000XXX", "email": "demo@sirax.lat", "phone": "+52XXXXXXXXXX", "include_digital_footprint": true, "include_compliance_screening": true }' ``` 数字足迹请求示例： ``` curl --request POST "$SIRAX_API_URL/api/v1/digital-footprint" \ --header "Authorization: Bearer $SIRAX_API_KEY" \ --header "Content-Type: application/json" \ --data '{ "username": "demo_user", "email": "demo@sirax.lat", "phone": "+52XXXXXXXXXX" }' ```

``` ## 安全与负责任的使用 SIRAX 专为授权验证、合规、欺诈预防、尽职调查和运营风险情报工作流而设计。 该平台只能在具有合法依据、适当授权、必要时获得用户同意，并遵守适用的隐私、数据保护和合规法规的情况下使用。 本项目不鼓励未经授权的监视、凭据滥用、账户入侵、未经授权的访问、骚扰或滥用第三方系统。 在基于此项目部署或发布代码库之前： * 不要提交 `.env` 文件 * 不要暴露 API key * 不要发布真实的个人数据 * 不要提交包含敏感信息的生成报告 * 不要公开暴露原始的 provider 响应 * 验证并清理所有 provider 响应 * 在生产环境中使用 HTTPS * 限制 admin 路由 * 对公开 endpoint 应用速率限制 * 轮换之前暴露过的任何 key ## 战略路线图 * [ ] Provider 健康仪表板 * [ ] 高级报告构建器 * [ ] 基于角色的访问控制 * [ ] 审计日志 * [ ] 风险评分引擎 * [ ] PDF 报告导出 * [ ] Webhook 支持 * [ ] 多租户支持 * [ ] 管理员分析面板 * [ ] 扩展的数字足迹情报模块 * [ ] 仪表板内的 API endpoint 预览 * [ ] AI 辅助分析师报告 * [ ] Provider 延迟监控 * [ ] 基于证据的报告引擎 * [ ] 用于 CURP/RFC 验证的额外 fallback provider ## 品牌 **SIRAX** 身份与风险情报平台 **了解越多，风险越少。** 由 **Synkdata Technologies** 开发。 ## 作者 **Julio Cesar Rios Garcia** 创始人，Synkdata Technologies GitHub: [@JCesarGR](https://github.com/JCesarGR) 作品集: [synkdata.online](https://synkdata.online) Landing: [landing.sirax.lat](https://landing.sirax.lat/) ## License 本项目是专有软件。 保留所有权利。未经事先书面许可，严禁未经授权复制、分发、修改或商业使用本软件。

标签：代码示例, 合规审查, 数据分析, 逆向工具, 风控系统