frangelbarrera/osint-agent-skills
GitHub: frangelbarrera/osint-agent-skills
一套与框架无关的结构化OSINT知识库,让任意AI代理获得专业开源情报分析师的方法论、工具链和伦理规范,从而产出可审计、无幻觉的调查报告。
Stars: 11 | Forks: 2
# OSINT Agent Skills
[](https://opensource.org/licenses/MIT)
[](CHANGELOG.md)
[](https://github.com/frangelbarrera)
## 这是什么?
`osint-agent-skills` **不是**一个 agent。它**不是**一个脚本。它也**不是**一个 SaaS。
它是一个**结构化的知识库** —— 包含精心整理的方法论、工具注册表、延伸调查手册、伦理规则和报告模板 —— 任何自主 AI agent 都可以将其作为知识源,从而立即具备资深开源情报分析师的操作素养。
如果你将 Claude Code、Cursor、Ollama、OpenCode、AutoClaw 或任何其他 agent 框架指向这个代码库,该 agent 将会:
1. 加载 `system-prompt.md` 并采用 OSINT Agent Skills 的人设。
2. 参考 `knowledge/methodologies/` 来规划其调查。
3. 使用 `tools/free-tools.yaml` 和 `tools/apis.yaml` 来执行查询。
4. 遵循 `knowledge/pivot-playbooks/` 将发现串联成网络。
5. 使用 `templates/reports/intelligence-report.md` 生成报告。
6. 自始至终遵守 `ethics/legal-frameworks.md` —— 绝不建议非法技术,绝不捏造调查发现。
这个代码库是**与 agent 无关的**。无论你使用哪种 LLM 或 agent 框架,它的工作方式都是一样的。
## 为什么会有这个项目?
现代 LLM 是强大的 OSINT 工具 —— 但前提是给予了正确的规范。如果没有明确的操作框架,agent 会凭空捏造 IP、忽略来源引用、模糊 OSINT 和入侵之间的界限,并生成看起来具有权威性但无法审计的报告。
`osint-agent-skills` 通过将资深分析师原本需要通过同行评审来执行的操作规则编纂成典,从而解决了这个问题。系统提示对反幻觉采取了极其严厉的明确规定。延伸调查手册准确地告诉 agent,当它发现电子邮件、域名、电话号码、加密货币钱包或一张照片时该做什么。伦理框架定义了在不同司法管辖区内哪些操作是允许的。报告模板强制要求进行来源引用和置信度标注。
结果是:当你要求一个吸收了该知识库的 agent“调查域名 `example.com`”时,你将得到一份包含引用来源、已执行的延伸调查和明确局限性的结构化情报报告 —— 而不是一连串听起来似是而非的散文。
## 这是为谁准备的?
- **安全研究员**,希望他们的 agent 能像他们自己一样严谨地进行 OSINT 收集工作。
- **威胁情报分析师**,希望自动化重复的收集阶段并专注于分析。
- **调查记者**,用于调查虚假信息、欺诈或腐败 —— 尤其是那些使用 Bellingcat 风格方法论的人。
- **尽职调查团队**,需要从公开来源对公司和个人进行背景调查。
- **OSINT 教育工作者**,需要一个用于教授方法论的参考框架。
- **任何人**,只要看过 LLM“调查”某事却得出错误但自信的结果。
## 快速开始
```
git clone https://github.com/frangelbarrera/osint-agent-skills
cd osint-agent-skills
```
然后将你的 agent 指向该代码库。集成指南:
| Agent | 指南 |
|---|---|
| Claude Code | [`integrations/claude-code.md`](integrations/claude-code.md) |
| Cursor | [`integrations/cursor.md`](integrations/cursor.md) |
| Ollama (本地) | [`integrations/ollama.md`](integrations/ollama.md) |
| OpenCode | [`integrations/opencode.md`](integrations/opencode.md) |
| AutoClaw | [`integrations/autoclaw.md`](integrations/autoclaw.md) |
| 任何其他 agent | [`integrations/generic-agent.md`](integrations/generic-agent.md) |
设置后的测试提示词:
Agent 应该加载系统提示词,使用情报循环规划调查,针对免费工具运行 DNS/WHOIS/RDAP/CT 查询,遵循“域名到基础设施”的延伸调查手册,并提供一份结构化的报告。
## 代码库结构
```
osint-agent-skills/
system-prompt.md # The "brain" — agent adopts this persona
agent-config.yaml # Declarative config that agents read
README.md # This file
LICENSE # MIT
CONTRIBUTING.md # How to contribute
CHANGELOG.md # Version history
‚
knowledge/ # The methodology + playbooks
methodologies/ # Intelligence cycle, ATT&CK, Bellingcat, etc.
domains/ # Person, domain, IP, company, phone, crypto, ...
techniques/ # Dorks, EXIF, Wayback, CT logs, ...
pivot-playbooks/ # "If you find X, investigate Y"
‚
tools/ # Tool registries
free-tools.yaml # No API key required
apis.yaml # API key required
mcp-tools.json # MCP-format for Claude / Cursor
cli-tools.yaml # Local CLI tools (sherlock, holehe, ...)
‚
templates/ # Report / plan / evidence / graph templates
reports/ # ICD-203 inspired intelligence reports
investigation-plan/ # Scope + plan templates
evidence/ # Evidence logs and chain of custody
| - graphs/ # Investigation graph templates (Mermaid, DOT, JSON)
‚
ethics/ # Legal + ethical framework
legal-frameworks.md # Per-jurisdiction laws (US, EU, UK, LatAm)
jurisdiction-rules.md # Country-specific rules
code-of-conduct.md # Investigator code of conduct
privacy-guidelines.md # PII handling
anti-hallucination.md # Anti-fabrication rules
‚
case-studies/ # Worked examples of real investigations
integrations/ # How to wire into each agent framework
examples/ # Walkthroughs of common investigations
```
## 系统提示词里有什么?
系统提示词(`system-prompt.md`,约 3000 字)定义了:
- **身份。** OSINT Agent Skills —— 是一位资深分析师,而不是一个聊天机器人。
- **核心原则。** 验证,不要假设。智能延伸调查。绝不产生幻觉。尊重合法性。维护 OPSEC。记录一切。将伤害降到最低。
- **方法论。** 为自主 OSINT 工作改编的五阶段情报循环。
- **反幻觉规则。** 明确禁止捏造标识符、工具输出、日期或置信度级别。
- **工具使用协议。** 如何选择工具,何时请求付费额度批准,何时将技术标记为需要人工审查。
- **延伸调查协议。** 何时自主延伸调查 vs. 何时暂停等待用户批准。
- **报告标准。** 默认报告结构(受 ICD-203 启发)。
- **伦理边界。** 严厉拒绝(跟踪、人肉搜索、未经授权的伪装、生成 deepfake、在非保护未成年人的情况下调查未成年人)。
- **输出格式。** 无对话填充语。无强行收尾。每项发现必须提供来源。必须有局限性说明部分。
完整阅读:[`system-prompt.md`](system-prompt.md)。
## 延伸调查手册里有什么?
延伸调查手册是本代码库中最具操作价值的部分。每个手册规定了:
- **触发条件** —— 什么发现会激活此手册。
- **步骤** —— 带有工具、命令和预期输出的有序收集行动。
- **反模式** —— 不能做什么(例如,不要假设两个相同的用户名代表同一个人)。
- **输出格式** —— 如何报告延伸调查的结果。
当前手册:
| 手册 | 触发条件 |
|---|---|
| `email-to-username.md` | 你找到了一个电子邮件地址 |
| `username-to-identity.md` | 你找到了一个用户名 |
| `domain-to-infrastructure.md` | 你找到了一个域名 |
| `ip-to-attribution.md` | 你找到了一个 IP 地址 |
| `breach-to-credentials.md` | 你确认某个电子邮件出现在数据泄露中 |
| `phone-to-person.md` | 你找到了一个电话号码 |
| `crypto-to-fiat.md` | 你找到了一个加密货币钱包 |
| `photo-to-location.md` | 你有一张需要定位的照片 |
| `metadata-to-attribution.md` | 你有一份带有元数据的文档 |
见 [`knowledge/pivot-playbooks/`](knowledge/pivot-playbooks/)。
## 反幻觉承诺
构建此代码库时遵循了一个凌驾于所有其他原则之上的核心理念:**消耗此知识库的 agent 绝不捏造调查结果。**
系统提示词明确禁止捏造 IP 地址、电子邮件地址、用户名、日期、工具输出或置信度级别。报告中的每一项发现都必须引用来源。每次工具调用必须是真实的 —— 如果工具失败或未返回任何内容,报告中就会如实记录。
如果消耗了此知识库的 agent 捏造了发现,这就是一个严重的缺陷,应该作为 issue 进行报告。完整规则集请参见 [`ethics/anti-hallucination.md`](ethics/anti-hallucination.md)。
## 归属说明
本代码库提炼并重构了最初由 [Frangel Raúl Crespo Barrera](https://github.com/frangelbarrera) 在 [OSINT-BIBLE](https://github.com/frangelbarrera/OSINT-BIBLE) 中整理的方法论。OSINT-BIBLE 是一个包含 33 个章节、426+ 个 OSINT 资源的精选索引;`osint-agent-skills` 对这些材料进行了改编,以供自主 agent 消耗。
案例研究引用了最初由 Bellingcat、Mandiant、CrowdStrike、CISA 和其他公开的威胁情报来源发布的调查。引用信息出现在每个案例研究文件中。
工具描述参考了每个工具的官方文档。定价和速率限制信息截至代码库最后一次更新时是准确的 —— 在依赖特定限制之前,请务必与提供商核实。
## 许可证
MIT。见 [`LICENSE`](LICENSE)。
## 贡献
见 [`CONTRIBUTING.md`](CONTRIBUTING.md)。特别欢迎添加新延伸调查手册、新免费工具或新司法管辖区规则的 Pull request。
## 更新日志
见 [`CHANGELOG.md`](CHANGELOG.md)。
标签:AI代理, Homebrew安装, Libemu, MCP, Ruby, 人工智能, 实时处理, 用户模式Hook绕过, 知识库, 防御加固