dev0558/synapse

# SYNAPSE · 紫队 CVE 与威胁情报研究 Agent **SYNAPSE 将单个 CVE 或威胁问题转化为分析师就绪的简报 · 分为 攻击者视角（红）和防御者视角（蓝） · 通过可见的多阶段 AI agent pipeline， 基于真实的 CISA KEV 和 MITRE ATT&CK 数据，而非模型的凭空捏造。** 使用 **Google Antigravity**、**Gemini API** 和 **Next.js**， 为 GeeksforGeeks × Google **Build with AI (UAE)** 工作坊而构建。  ## 问题所在 当新的 CVE 发布时，分析师们要在 NVD、供应商公告、CISA KEV、MITRE ATT&CK 以及 分散的 PoC 之间疲于奔命 · 并且他们会以**两种不同方式**询问**同一个漏洞**： - **红队**想要知道：利用路径、公开 PoC 可用性、影响范围，以及它启用了哪些 ATT&CK 技术。 - **蓝队**想要知道：它是否在野利用、补丁优先级是什么、我们要追踪什么， 以及如何缓解它。 这是一个 CVE，被缓慢地在各自孤立的环境下回答了两次。 ## SYNAPSE 做了什么 输入一个问题。输出一份**带引用、双视角的简报**： - **攻击者视角（红）：** 利用路径、PoC 状态、影响范围、映射的 MITRE ATT&CK 技术。 - **防御者视角（蓝）：** 在野利用状态、确定性的补丁优先级（P0/P1/P3）、 检测指南、威胁狩猎查询和缓解控制措施。 每个事实都基于真实的工具和数据 · 语言模型负责**编排**，代码负责 **计算**。CVSS 分数、KEV 状态和 ATT&CK 映射绝不凭空捏造。 ## Agentic pipeline（实时可见） ``` Plan → Retrieve (red and blue tools) → Web-ground → Synthesize → Verify ``` 1. **计划** · 分解分析师的问题；提取 CVE ID 和 CVSS 向量。 2. **检索** · 针对真实数据运行确定性的红/蓝工具。 3. **Web 接地** · 通过 Google Search grounding 获取实时的漏洞利用 / PoC / 补丁状态。 4. **合成** · 编写带引用的红/蓝简报。 5. **验证** · 自我批评阶段会根据证据检查每一个声明。 每个阶段在运行时都会流式传输到 UI，因此 agent 的推理绝不是黑盒。 ## 功能 | 模块 | 功能描述 | |--------|--------------| | **分析** | 可见的 agent pipeline 和带引用的红/蓝简报，以自我批评阶段结束。 | | **思维导图** | NotebookLM 风格的交互式画布，将 CVE 作为连接图进行探索（严重程度、弱点、ATT&CK、防御）。 | | **仪表板** | 超过 1,600 条真实 CISA KEV 条目的实时图表 · 受影响最大的供应商、弱点类别（CWE）分布以及随时间推移的新增情况。 | | **文档** | 上传安全公告、渗透测试报告或威胁 PDF；Gemini 原生读取它以提取发现、IOC，并将 TTP 映射到 ATT&CK。 | | **聊天** | 对话式、工具增强的助手，用于快速解答 CVE / CVSS / 检测问题。 | | **演示** | 根据 CVE 的真实发现自动生成威胁简报幻灯片。 | ## 工具（Agentic 核心） | 工具 | 通道 | 目的 | |------|------|---------| | `cvss_lookup` | red | 根据向量字符串得出精确的 CVSS v3.1 基础分数和严重级别 | | `kev_check` | blue | CISA KEV 查询 → 在野利用状态和确定性的补丁优先级 | | `map_detections` | blue | 弱点类别（CWE） → ATT&CK 技术、威胁狩猎查询和缓解措施 | | `web_ground` | both | 通过 Google Search grounding 获取实时的漏洞利用 / PoC / 补丁状态 | 这些工具作为真实代码运行，因此它们的输出是精确且可复现的 · 模型无法幻觉出 CVSS 分数或伪造“在野利用”标志。 ## 技术栈 - **框架：** Next.js (App Router) 和 TypeScript，通过 Node route handlers 进行流式响应 - **AI：** 通过 `@google/genai` SDK 使用 Gemini 2.5 Flash（主力）和 Flash-Lite（轻量级阶段） · 结构化 JSON 输出、function calling、Google Search grounding、原生 PDF 理解 - **UI：** Tailwind CSS、lucide-react 图标、Recharts（仪表板）、@xyflow/react（思维导图画布） - **数据：** CISA Known Exploited Vulnerabilities 目录和 MITRE ATT&CK 技术映射 - **部署：** Vercel ## 数据来源 - **CISA KEV** · 已知在野被利用的漏洞的权威目录。 - **MITRE ATT&CK** · 将对手技术映射到弱点类别，用于检测和缓解。 使用 **Google Antigravity**、**Gemini API** 和 **Next.js** 构建。 `#Googleantigravity` `#BuildwithAI` `#BwAIUAE`

标签：AI安全, AI智能体, Chat Copilot, Gemini API, 威胁情报, 开发者工具, 漏洞分析, 自动化攻击, 路径探测