Lupe CTI
面向 OSINT、取证和应急响应的网络威胁情报
**Lupe CTI** 是一款开源的 CLI 工具,通过并行查询多个威胁情报源来丰富入侵指标。它专为 OSINT 研究人员、取证分析师、应急响应人员和蓝队操作人员打造,将强大的基于插件的丰富化引擎与多提供商 LLM 分析以及交互式终端 UI 结合在一起。
与单体威胁情报平台不同,Lupe CTI 在本地运行,尊重您的数据隐私,并无缝集成到取证工作流和 Linux 发行版中。它从头开始就以安全第一的理念设计:仅限 HTTPS 传输、机密信息脱敏、输入验证和速率限制已内置于核心中。
## 功能
- **IOC 丰富化** — 25+ 个内置插件,支持 IP、域名、URL、哈希、电子邮件、电话和用户名查询
- **多 LLM 分析** — 通过 Ollama(本地)、OpenAI、Anthropic 或 OpenRouter 进行 AI 驱动的分析
- **桌面应用** — 使用 Flet(Material Design 3)构建的原生桌面 GUI,用于可视化探索
- **MISP 集成** — 通过原生 REST API 从 MISP 实例拉取/推送指标
- **安全第一** — 仅限 HTTPS 传输、IOC 验证、机密信息脱敏、令牌桶速率限制
- **兼容 XDG** — 数据、配置和缓存目录遵循平台规范(Linux、Windows、macOS)
- **跨平台** — 原生支持 Linux、Windows 和 macOS
- **插件架构** — 易于通过自定义丰富化插件进行扩展
- **导出格式** — Obsidian Markdown、JSON 和 PDF 报告生成
- **开源** — MIT 许可证,社区驱动
## 安装说明
### pipx(推荐)
```
pipx install lupe-cti
```
### pip
```
pip install lupe-cti
```
### 从源码安装
```
git clone https://github.com/lupe-cti/lupe.git
cd lupe
pip install -e ".[dev]"
```
### Debian / Ubuntu
Lupe CTI 专为集成到取证 Linux 发行版而设计。计划将其纳入软件包仓库。
### Windows
```
pipx install lupe-cti
# 或
pip install lupe-cti
```
## 快速开始
```
# 显示帮助
lupe --help
# 丰富 IP address
lupe enrich 8.8.8.8
# 丰富 domain
lupe enrich example.com
# 丰富 hash
lupe enrich 44d88612fea8a8f36de82e1278abb02f
# 启动 desktop app
lupe-desktop
# 从 MISP 提取 indicators
lupe misp pull --tag osint --days 7
# 从旧版 Centinela 安装迁移数据
lupe migrate-from-centinela
```
## 配置
Lupe CTI 使用带有 `LUPE_` 前缀的环境变量。您可以在工作目录的 `.env` 文件中设置它们,或者在 shell 中导出它们。
### 环境变量
| 变量 | 描述 | 默认值 |
|---|---|---|
| `LUPE_OLLAMA_BASE_URL` | Ollama 服务器 URL | `http://localhost:11434` |
| `LUPE_OLLAMA_MODEL` | Ollama 模型名称 | `gemma4:31b-cloud` |
| `LUPE_LLM_PROVIDER` | LLM 提供商 (`ollama`, `openai`, `anthropic`, `openrouter`) | *(空 = 跳过 AI)* |
| `LUPE_OPENAI_API_KEY` | OpenAI API 密钥 | — |
| `LUPE_ANTHROPIC_API_KEY` | Anthropic API 密钥 | — |
| `LUPE_OPENROUTER_API_KEY` | OpenRouter API 密钥 | — |
| `LUPE_MISP_URL` | MISP 实例 URL | — |
| `LUPE_MISP_KEY` | MISP API 密钥 | — |
| `LUPE_VIRUSTOTAL_KEY` | VirusTotal API 密钥 | — |
| `LUPE_ABUSEIPDB_KEY` | AbuseIPDB API 密钥 | — |
| `LUPE_SHODAN_KEY` | Shodan API 密钥 | — |
| `LUPE_OTX_KEY` | AlienVault OTX 密钥 | — |
| `LUPE_URLSCAN_KEY` | URLScan.io API 密钥 | — |
| `LUPE_HIBP_KEY` | Have I Been Pwned API 密钥 | — |
| `LUPE_GREYNOISE_KEY` | GreyNoise API 密钥 | — |
| `LUPE_IPQS_KEY` | IPQualityScore API 密钥 | — |
| `LUPE_NUMVERIFY_KEY` | NumVerify API 密钥 | — |
| `LUPE_SPAMHAUS_KEY` | Spamhaus API 密钥 | — |
| `LUPE_HYBRID_ANALYSIS_KEY` | Hybrid Analysis API 密钥 | — |
| `LUPE_CENSYS_ID` | Censys API ID | — |
| `LUPE_CENSYS_SECRET` | Censys API 密钥 | — |
| `LUPE_DB_PATH` | 自定义数据库路径 | XDG 默认值 |
### 设置文件
Lupe CTI 将其配置存储在 `~/.config/lupe/lupe.toml` 中(兼容 XDG)。在 Windows 上:`%APPDATA%\Lupe\lupe.toml`。桌面应用的设置面板为所有 API 密钥提供了可视化编辑器。
### 获取 API 密钥
| 提供商 | 免费层级 | 注册 |
|---|---|---|
| VirusTotal | 是(受限) | [virustotal.com](https://www.virustotal.com/gui/join-us) |
| AbuseIPDB | 是 | [abuseipdb.com](https://www.abuseipdb.com/register) |
| Shodan | 是(受限) | [shodan.io](https://account.shodan.io/register) |
| OTX | 是 | [otx.alienvault.com](https://otx.alienvault.com/) |
| URLScan | 是 | [urlscan.io](https://urlscan.io/user/signup/) |
| HIBP | 付费 | [haveibeenpwned.com](https://haveibeenpwned.com/API/Key) |
| GreyNoise | 是(社区版) | [greynoise.io](https://viz.greynoise.io/signup) |
| IPQualityScore | 是 | [ipqualityscore.com](https://www.ipqualityscore.com/create-account) |
| Spamhaus | 是 | [spamhaus.com](https://spamhaus.com/) |
| Hybrid Analysis | 是 | [hybrid-analysis.com](
标签:AI风险缓解, DInvoke, ESC4, OSINT, Python, Python安全, 威胁情报, 库, 应急响应, 开发者工具, 无后门, 网络安全, 调试插件, 逆向工具, 隐私保护