Lorikeet-Security/TalonC2
GitHub: Lorikeet-Security/TalonC2
TalonC2 是一款由 AI 推理引擎 Lory 驱动的授权红队 C2 框架,通过人在循环中的决策关卡为操作员提供智能化的下一步行动建议、OPSEC 风险评估和自然语言操作能力。
Stars: 2 | Forks: 0
# TalonC2
**AI 驱动的命令与控制平台**
*以人为本。AI 驱动。*



-00e5a0)
TalonC2 是一个用于授权红队行动、对手模拟和全方位攻击性对抗的下一代 C2 框架。基于曾让 Cobalt Strike 成为行业标准的操作模型,TalonC2 增加了一个由 Lorikeet Security 的 AI 引擎 **Lory** 驱动的自主推理层,它可以建议后续步骤、自动化技术操作并实时呈现发现结果,同时由人类操作员批准每一项行动。
## 目录
- [概述](#overview)
- [为什么需要 AI 驱动的 C2](#why-an-ai-powered-c2)
- [架构](#architecture)
- [系统拓扑](#system-topology)
- [Lory 决策循环](#the-lory-decision-loop)
- [Implant 生命周期](#implant-lifecycle)
- [通信与监听器栈](#comms--listener-stack)
- [组件](#components)
- [功能集](#feature-set)
- [Lory 层](#the-lory-layer)
- [对比](#comparison)
- [技术栈](#tech-stack)
- [发现与遥测 Schema](#finding--telemetry-schema)
- [部署](#deployment)
- [操作安全](#operational-security)
- [路线图](#roadmap)
- [法律与授权使用](#legal--authorized-use)
- [许可证](#license)
## 概述
TalonC2 是 Lorikeet Security 用于授权攻击性对抗的命令与控制框架。中心化的 **team server** 协调多名操作员,共同应对共享的目标环境视图。操作员将 **Talons** (implants) 部署到受控主机上,驱动后渗透操作,通过分段网络进行枢纽转发,并生成映射到 MITRE ATT&CK 的报告。
传统的 C2 需要操作员手动驱动每一个 beacon、枢纽转发和后渗透 (post-ex) 操作,而 TalonC2 在操作员身边运行一个 **Lory 决策循环**:Lory 读取主机和网络状态,提出带有推理和 OPSEC 风险提示的、经过排序的下一步行动建议,并在任何操作执行前等待人类批准。人类做决定,Lory 提供建议,team server 记录下这两者。
## 为什么需要 AI 驱动的 C2
红队对抗的瓶颈在于操作员的时间和对技术经验的回忆。经验丰富的操作员知道在刚拿到一台受控主机时的下一步正确行动;但这种知识很难在整个团队和并发行动中推广。
TalonC2 弥合了这一差距。Lory 将完整的漏洞和技术知识库带入每一次会话中,自动运行态势感知,并呈现出高级操作员会采取的操作,按影响力和检测风险进行排序。初级操作员行动得更快、更隐蔽。高级操作员不再将周期浪费在机械的枚举上。没有人类的参与,任何操作都不会执行。
## 架构
### 系统拓扑
```
flowchart TB
subgraph operators["Operator Plane"]
OP1["Operator Client
CLI + Web Console"] OP2["Operator Client
CLI + Web Console"] end subgraph ts["Team Server"] AUTH["Auth & RBAC
mTLS operator sessions"] ENG["Engagement State
sessions . scope . loot"] LISTEN["Listener Manager
HTTP/S . DNS . TCP . SMB"] PROFILE["Malleable Profile Engine"] LOG["Immutable Activity Log
every action . every operator"] REPORT["Reporting Engine
MITRE ATT&CK mapping"] end subgraph lory["Lory Layer"] REASON["Reasoning Engine
Anthropic API"] KB["Vuln Knowledge Base
~2000 KB . CVE x technique"] OPSEC["OPSEC Advisor"] APPROVE{"Human
Approval Gate"} end subgraph targets["Target Environment (Authorized Scope Only)"] T1["Talon
Windows host"] T2["Talon
Linux host"] T3["Talon
macOS host"] P2P["P2P Link
SMB / TCP pivot"] end subgraph platform["Lorikeet Security Platform"] PTAAS["PTaaS Portal"] MCP["PTaaS MCP Server
findings.list . kb.search . scope.check"] end OP1 -->|mTLS| AUTH OP2 -->|mTLS| AUTH AUTH --> ENG ENG --> LISTEN LISTEN --> PROFILE ENG <--> REASON REASON <--> KB REASON --> OPSEC OPSEC --> APPROVE APPROVE -->|approved tasking| LISTEN PROFILE -.->|shaped C2 traffic| T1 PROFILE -.->|shaped C2 traffic| T2 PROFILE -.->|shaped C2 traffic| T3 T2 <-->|peer link| P2P P2P <--> T3 ENG --> LOG LOG --> REPORT REPORT --> PTAAS KB <--> MCP REPORT --> MCP classDef server fill:#090e18,stroke:#e8526a,stroke-width:2px,color:#ffffff; classDef ai fill:#090e18,stroke:#00e5a0,stroke-width:2px,color:#ffffff; classDef gate fill:#e8526a,stroke:#ffffff,stroke-width:2px,color:#ffffff; class AUTH,ENG,LISTEN,PROFILE,LOG,REPORT server; class REASON,KB,OPSEC ai; class APPROVE gate; ``` **设计原则** - **人在循环中是硬性关卡,而不是一项设置。** 每一个 Lory 提议的操作在任务下发到监听器之前,都要经过批准关卡。不存在自主执行模式。 - **范围在服务端被强制执行。** 在下发任何任务之前,都会根据授权范围白名单对目标进行检查。超出范围的主机永远不会被分配任务,无论是 Lory 还是人类。 - **仅出站的 implant。** Talon 向监听器发送 beacon。Team server 永远不会直接触达目标网络。 - **一切都被不可篡改地记录下来。** 操作员的行动和 Lory 的建议(无论批准还是拒绝)都会被写入一个只追加的活动日志中,用于行动重构和客户报告。 ### Lory 决策循环 ``` sequenceDiagram participant H as Host (Talon) participant TS as Team Server participant L as Lory Reasoning participant KB as Knowledge Base participant O as Operator H->>TS: Beacon check-in (host state, privs, processes, net position) TS->>L: Submit current engagement state L->>KB: Query relevant CVEs / techniques for observed software KB-->>L: Matched exploitation paths + risk metadata L->>L: Rank candidate next actions (impact x exposure x OPSEC) L->>TS: Ranked suggestions + reasoning + detection risk TS->>O: Present suggestions for review O->>TS: Approve / modify / reject alt Approved TS->>H: Issue tasking on next beacon H-->>TS: Task output TS->>L: Feed result back into loop else Rejected TS->>TS: Log rejection, no tasking issued end ``` ### Implant 生命周期 ``` stateDiagram-v2 [*] --> Generated: operator builds payload
(profile + listener bound) Generated --> Staged: delivery (out of band) Staged --> Active: first check-in Active --> Sleeping: jitter/sleep window Sleeping --> Active: next beacon Active --> Interactive: operator opens session Interactive --> Active: session backgrounded Active --> Linked: peer link over SMB/TCP Linked --> Active: relay via parent Talon Active --> Dead: kill date reached Active --> Dead: operator exit Dead --> [*] ``` ### 通信与监听器栈 ``` flowchart LR subgraph talon["Talon Implant"] CORE["Core Runtime"] BOF["BOF Loader
in-process post-ex"] XFORM["Traffic Transform
malleable profile"] end subgraph channels["Comms Channels"] HTTPS["HTTP/S"] DNS["DNS"] TCP["TCP"] SMB["SMB named pipe"] EXT["External C2 spec"] end CORE --> XFORM BOF --> CORE XFORM --> HTTPS XFORM --> DNS XFORM --> TCP XFORM --> SMB XFORM --> EXT HTTPS --> LM["Listener Manager"] DNS --> LM TCP --> LM SMB --> LM EXT --> LM LM --> TSV["Team Server"] classDef t fill:#090e18,stroke:#e8526a,stroke-width:2px,color:#ffffff; classDef c fill:#090e18,stroke:#00e5a0,stroke-width:2px,color:#ffffff; class CORE,BOF,XFORM t; class HTTPS,DNS,TCP,SMB,EXT c; ``` ## 组件 **Team Server** 协调核心。处理操作员身份验证 (mTLS)、行动状态、监听器管理、Malleable Profile 编译、不可篡改的活动日志以及报告生成。单一 Go 二进制文件,可随处部署。 **操作员客户端** 跨平台 (Linux、macOS、Windows)。提供用于快速下发任务的 CLI,以及用于展示行动全景图、会话图、战利品浏览器和 Lory 建议信息流的 Web 控制台。支持多名操作员同时连接。 **Talons (Implants)** 适用于 Windows、Linux 和 macOS 的模块化跨平台 implant。可配置休眠时间、抖动和销毁日期。支持异步 beaconing 或交互式会话。支持用于触达内部分段网络的点对点 (P2P) 链接。 **Lory 层** 位于 Team Server 旁边的推理引擎、知识库和 OPSEC 顾问。读取行动状态,提出排序后的操作建议,并将所有操作通过人类批准关卡进行路由。 ## 功能集 ### 监听器与通信 HTTP/HTTPS、DNS、TCP、SMB 命名管道,以及通过文档化规范实现的外部 C2。Malleable Profile 塑造 implant 流量,以融入目标环境并模拟特定的威胁行为者。 ### Payload Staged 和 stageless payload、反射式 DLL、shellcode,以及用于无需创建新进程的进程内后渗透的 Beacon Object File (BOF) 支持。支持原生 implant 的交叉编译。 ### 后渗透 进程注入、token 操控、凭据收集、键盘记录、屏幕截图捕获、文件浏览器,以及让技术操作避免在磁盘上驻留的内存执行模型。 ### 枢纽转发 SOCKS 代理、端口转发,以及通过 SMB 和 TCP 进行的点对点 implant 链接,用于触达分段的内部网络。 ### 报告 自动生成映射到 MITRE ATT&CK 的行动报告,并包含每个操作员操作的完整活动日志。发现结果通过 MCP 导出到 Lorikeet Security PTaaS 平台。 ## Lory 层 这是 Cobalt、Havoc、Sliver 和 Empire 所不具备的部分。 **自主的下一步建议** Lory 读取受控主机状态(权限、进程、网络位置、可用凭据),并提出带有推理和风险提示的、经过排序的下一步操作。操作员批准或拒绝。没有签字同意,任何操作都不会执行。 **技术操作自动化** 可重复的后渗透序列(态势感知、权限检查、横向移动候选识别)作为 Lory 驱动的 playbook 运行,而不是手动执行命令链。 **自然语言操作** 操作员用自然语言描述意图(“枚举可从该主机访问的域管理员”),Lory 会将其转换为正确的 implant 命令,并呈现出来等待批准。 **OPSEC 顾问** 在操作执行之前,Lory 会针对已加载的 Malleable Profile 和目标可能的 EDR 态势标记检测风险,并建议更隐蔽的替代方案。 **实时知识库** 由支持 Lory v2 的漏洞知识库(约 2,000 KB 的漏洞和技术数据)作为后盾,TalonC2 交叉比对已发现的软件,并内联展示相关的 CVE 和利用路径。 **设计上的人在循环中** 每一个 AI 建议都需要操作员批准。Lory 提供建议,人类做决定,Team server 记录下这两者。这是不可协商的,也是该平台安全模型的核心。 ## 对比 | 功能 | Cobalt Strike | Havoc | Sliver | Empire | TalonC2 | |---|---|---|---|---|---| | 多操作员 Team Server | 是 | 是 | 部分 | 否 | 是 | | Malleable C2 Profile | 是 | 部分 | 有限 | 否 | 是 | | BOF 支持 | 是 | 是 | 是 | 否 | 是 | | 跨平台 implant | 有限 | 否 | 是 | 有限 | 是 | | P2P 枢纽转发 (SMB/TCP) | 是 | 是 | 是 | 有限 | 是 | | AI 下一步推理 | 否 | 否 | 否 | 否 | 是 | | 自然语言操作 | 否 | 否 | 否 | 否 | 是 | | 实时 CVE 交叉比对 | 否 | 否 | 否 | 否 | 是 | | OPSEC 风险顾问 | 否 | 否 | 否 | 否 | 是 | | MITRE ATT&CK 自动映射 | 部分 | 否 | 否 | 否 | 是 | | 开源 | 否 | 是 | 是 | 是 | 是 | ## 技术栈 | 层级 | 选择 | 原因 | |---|---|---| | Team Server | Go | 单一二进制部署,为多名操作员/implant 提供强大的并发能力 | | Implant | Go + C/Rust | 原生资源占用灵活性,交叉编译 | | 操作员控制台 | Web (海军蓝 `#090e18`、珊瑚红 `#e8526a`、绿色 `#00e5a0`、Poppins) | Lorikeet Security 品牌体系 | | 推理 | Anthropic API | 以行动 KB 作为检索上下文的 Lory 引擎 | | 平台集成 | MCP | 发现结果流向 PTaaS MCP 服务器 (`findings.list`, `kb.search`, `scope.check`, `ping`) | | 传输安全 | mTLS (操作员),流量整形 (implant) | 操作员验证 + 流量伪装 | ## 发现与遥测 Schema 行动遥测和发现在导出到平台之前,会标准化为一致的 schema: ``` { "engagement_id": "eng_",
"talon_id": "tln_",
"host": {
"hostname": "WIN-EXAMPLE",
"os": "windows",
"privilege": "SYSTEM",
"network_position": "internal-vlan-30"
},
"action": {
"type": "lateral_movement",
"command": "",
"operator": "parrotassassin15",
"lory_suggested": true,
"approved_by": "parrotassassin15",
"mitre_attack": ["T1021.002"]
},
"opsec": {
"detection_risk": "medium",
"profile": "apt-emulation-01"
},
"timestamp": "2026-06-28T00:00:00Z"
}
```
每条记录都会将操作映射到某个操作员,标记是否由 Lory 建议,记录是谁批准的,并将其映射到 MITRE ATT&CK 以用于报告。
## 部署
```
# Team server(单一 binary)
git clone https://github.com//talonc2.git
cd talonc2
make server
# 启动 team server
./talon-server --profile profiles/apt-emulation-01.profile \
--scope engagements//scope.allowlist
# Operator client 通过 mTLS 连接
./talon-client connect --server :50051 --identity operator.pem
```
授权范围白名单和 Malleable Profile 是必填参数。如果没有 scope 文件,服务器将拒绝启动。
## 操作安全
- **下发任务前的范围关卡。** 对于不在行动白名单中的主机,没有任何任务能到达监听器。
- **仅出站的 implant。** Talon 发起所有连接;服务器永远不会主动拨入目标网络。
- **流量整形。** Malleable Profile 将 C2 流量伪装成正常的环境模式。
- **内存中的后渗透。** BOF 执行让技术操作远离磁盘。
- **不可篡改的日志记录。** 只追加的活动日志捕获了每一次操作员操作和每一次 Lory 建议(无论批准还是拒绝),以便干净利落地重构行动过程。
## 路线图
```
Phase 1 Core C2 [###-------] in development
Phase 2 Lory loop [##--------] early design
Phase 3 Malleable engine [#---------] early design
Phase 4 P2P pivoting [----------] planned
Phase 5 Auto-reporting [----------] planned
```
**阶段 1 - 核心 C2** `开发中`
Team server、操作员客户端、跨平台 Talon、HTTP/S 和 DNS 监听器、基础的后渗透。正在进行的工作,尚未完成。
**阶段 2 - Lory 循环** `设计中`
推理引擎集成、建议排序、人类批准关卡、KB 支持的 CVE 交叉比对。
**阶段 3 - Malleable Profile 引擎** `设计中`
Profile 编译器、威胁行为者模拟模板、流量转换 pipeline。
**阶段 4 - P2P 枢纽转发** `计划中`
SMB 和 TCP 对等链接、SOCKS 代理、用于分段网络的端口转发。
**阶段 5 - 自动化报告** `计划中`
MITRE ATT&CK 自动映射、通过 MCP 导出到 PTaaS、面向客户的可直接使用的行动报告。
## 法律与授权使用
TalonC2 是为授权的安全测试而分发的开源软件。代码开源并不代表授权对其的任何特定使用。对目标运行 TalonC2 需要明确的书面授权(签署的工作说明书或同等效力范围协议)。在没有书面授权的情况下,对您不拥有或缺少测试授权的系统操作此平台是非法的。操作员及其组织对在部署前确保获得授权负有全部责任。Lorikeet Corp 对滥用不承担任何责任。
## 许可证
Open core。
TalonC2 核心(Team Server、Talons、监听器、Malleable Profile 引擎、枢纽转发)基于 **GNU Affero General Public License v3.0 (AGPLv3)** 发布。您可以自由使用、学习、修改和重新分发它。衍生品和托管分叉必须在相同的许可证下发布其源代码。
**Lory 层**(推理引擎、漏洞知识库、OPSEC 顾问)是 Lorikeet Security 平台的专有托管组件,不受开源许可证的约束。核心可以独立运行;Lory 层是一个可选的集成。
(c) Lorikeet Corp (以 Lorikeet Security 运营)。
仅供授权的安全评估使用。禁止在未经明确授权的情况下对系统使用。
*Lorikeet Security。以人为本。AI 驱动。*
*lorikeetsecurity.com | sales@lorikeetsecurity.com | +1 (888) 652-6479*
CLI + Web Console"] OP2["Operator Client
CLI + Web Console"] end subgraph ts["Team Server"] AUTH["Auth & RBAC
mTLS operator sessions"] ENG["Engagement State
sessions . scope . loot"] LISTEN["Listener Manager
HTTP/S . DNS . TCP . SMB"] PROFILE["Malleable Profile Engine"] LOG["Immutable Activity Log
every action . every operator"] REPORT["Reporting Engine
MITRE ATT&CK mapping"] end subgraph lory["Lory Layer"] REASON["Reasoning Engine
Anthropic API"] KB["Vuln Knowledge Base
~2000 KB . CVE x technique"] OPSEC["OPSEC Advisor"] APPROVE{"Human
Approval Gate"} end subgraph targets["Target Environment (Authorized Scope Only)"] T1["Talon
Windows host"] T2["Talon
Linux host"] T3["Talon
macOS host"] P2P["P2P Link
SMB / TCP pivot"] end subgraph platform["Lorikeet Security Platform"] PTAAS["PTaaS Portal"] MCP["PTaaS MCP Server
findings.list . kb.search . scope.check"] end OP1 -->|mTLS| AUTH OP2 -->|mTLS| AUTH AUTH --> ENG ENG --> LISTEN LISTEN --> PROFILE ENG <--> REASON REASON <--> KB REASON --> OPSEC OPSEC --> APPROVE APPROVE -->|approved tasking| LISTEN PROFILE -.->|shaped C2 traffic| T1 PROFILE -.->|shaped C2 traffic| T2 PROFILE -.->|shaped C2 traffic| T3 T2 <-->|peer link| P2P P2P <--> T3 ENG --> LOG LOG --> REPORT REPORT --> PTAAS KB <--> MCP REPORT --> MCP classDef server fill:#090e18,stroke:#e8526a,stroke-width:2px,color:#ffffff; classDef ai fill:#090e18,stroke:#00e5a0,stroke-width:2px,color:#ffffff; classDef gate fill:#e8526a,stroke:#ffffff,stroke-width:2px,color:#ffffff; class AUTH,ENG,LISTEN,PROFILE,LOG,REPORT server; class REASON,KB,OPSEC ai; class APPROVE gate; ``` **设计原则** - **人在循环中是硬性关卡,而不是一项设置。** 每一个 Lory 提议的操作在任务下发到监听器之前,都要经过批准关卡。不存在自主执行模式。 - **范围在服务端被强制执行。** 在下发任何任务之前,都会根据授权范围白名单对目标进行检查。超出范围的主机永远不会被分配任务,无论是 Lory 还是人类。 - **仅出站的 implant。** Talon 向监听器发送 beacon。Team server 永远不会直接触达目标网络。 - **一切都被不可篡改地记录下来。** 操作员的行动和 Lory 的建议(无论批准还是拒绝)都会被写入一个只追加的活动日志中,用于行动重构和客户报告。 ### Lory 决策循环 ``` sequenceDiagram participant H as Host (Talon) participant TS as Team Server participant L as Lory Reasoning participant KB as Knowledge Base participant O as Operator H->>TS: Beacon check-in (host state, privs, processes, net position) TS->>L: Submit current engagement state L->>KB: Query relevant CVEs / techniques for observed software KB-->>L: Matched exploitation paths + risk metadata L->>L: Rank candidate next actions (impact x exposure x OPSEC) L->>TS: Ranked suggestions + reasoning + detection risk TS->>O: Present suggestions for review O->>TS: Approve / modify / reject alt Approved TS->>H: Issue tasking on next beacon H-->>TS: Task output TS->>L: Feed result back into loop else Rejected TS->>TS: Log rejection, no tasking issued end ``` ### Implant 生命周期 ``` stateDiagram-v2 [*] --> Generated: operator builds payload
(profile + listener bound) Generated --> Staged: delivery (out of band) Staged --> Active: first check-in Active --> Sleeping: jitter/sleep window Sleeping --> Active: next beacon Active --> Interactive: operator opens session Interactive --> Active: session backgrounded Active --> Linked: peer link over SMB/TCP Linked --> Active: relay via parent Talon Active --> Dead: kill date reached Active --> Dead: operator exit Dead --> [*] ``` ### 通信与监听器栈 ``` flowchart LR subgraph talon["Talon Implant"] CORE["Core Runtime"] BOF["BOF Loader
in-process post-ex"] XFORM["Traffic Transform
malleable profile"] end subgraph channels["Comms Channels"] HTTPS["HTTP/S"] DNS["DNS"] TCP["TCP"] SMB["SMB named pipe"] EXT["External C2 spec"] end CORE --> XFORM BOF --> CORE XFORM --> HTTPS XFORM --> DNS XFORM --> TCP XFORM --> SMB XFORM --> EXT HTTPS --> LM["Listener Manager"] DNS --> LM TCP --> LM SMB --> LM EXT --> LM LM --> TSV["Team Server"] classDef t fill:#090e18,stroke:#e8526a,stroke-width:2px,color:#ffffff; classDef c fill:#090e18,stroke:#00e5a0,stroke-width:2px,color:#ffffff; class CORE,BOF,XFORM t; class HTTPS,DNS,TCP,SMB,EXT c; ``` ## 组件 **Team Server** 协调核心。处理操作员身份验证 (mTLS)、行动状态、监听器管理、Malleable Profile 编译、不可篡改的活动日志以及报告生成。单一 Go 二进制文件,可随处部署。 **操作员客户端** 跨平台 (Linux、macOS、Windows)。提供用于快速下发任务的 CLI,以及用于展示行动全景图、会话图、战利品浏览器和 Lory 建议信息流的 Web 控制台。支持多名操作员同时连接。 **Talons (Implants)** 适用于 Windows、Linux 和 macOS 的模块化跨平台 implant。可配置休眠时间、抖动和销毁日期。支持异步 beaconing 或交互式会话。支持用于触达内部分段网络的点对点 (P2P) 链接。 **Lory 层** 位于 Team Server 旁边的推理引擎、知识库和 OPSEC 顾问。读取行动状态,提出排序后的操作建议,并将所有操作通过人类批准关卡进行路由。 ## 功能集 ### 监听器与通信 HTTP/HTTPS、DNS、TCP、SMB 命名管道,以及通过文档化规范实现的外部 C2。Malleable Profile 塑造 implant 流量,以融入目标环境并模拟特定的威胁行为者。 ### Payload Staged 和 stageless payload、反射式 DLL、shellcode,以及用于无需创建新进程的进程内后渗透的 Beacon Object File (BOF) 支持。支持原生 implant 的交叉编译。 ### 后渗透 进程注入、token 操控、凭据收集、键盘记录、屏幕截图捕获、文件浏览器,以及让技术操作避免在磁盘上驻留的内存执行模型。 ### 枢纽转发 SOCKS 代理、端口转发,以及通过 SMB 和 TCP 进行的点对点 implant 链接,用于触达分段的内部网络。 ### 报告 自动生成映射到 MITRE ATT&CK 的行动报告,并包含每个操作员操作的完整活动日志。发现结果通过 MCP 导出到 Lorikeet Security PTaaS 平台。 ## Lory 层 这是 Cobalt、Havoc、Sliver 和 Empire 所不具备的部分。 **自主的下一步建议** Lory 读取受控主机状态(权限、进程、网络位置、可用凭据),并提出带有推理和风险提示的、经过排序的下一步操作。操作员批准或拒绝。没有签字同意,任何操作都不会执行。 **技术操作自动化** 可重复的后渗透序列(态势感知、权限检查、横向移动候选识别)作为 Lory 驱动的 playbook 运行,而不是手动执行命令链。 **自然语言操作** 操作员用自然语言描述意图(“枚举可从该主机访问的域管理员”),Lory 会将其转换为正确的 implant 命令,并呈现出来等待批准。 **OPSEC 顾问** 在操作执行之前,Lory 会针对已加载的 Malleable Profile 和目标可能的 EDR 态势标记检测风险,并建议更隐蔽的替代方案。 **实时知识库** 由支持 Lory v2 的漏洞知识库(约 2,000 KB 的漏洞和技术数据)作为后盾,TalonC2 交叉比对已发现的软件,并内联展示相关的 CVE 和利用路径。 **设计上的人在循环中** 每一个 AI 建议都需要操作员批准。Lory 提供建议,人类做决定,Team server 记录下这两者。这是不可协商的,也是该平台安全模型的核心。 ## 对比 | 功能 | Cobalt Strike | Havoc | Sliver | Empire | TalonC2 | |---|---|---|---|---|---| | 多操作员 Team Server | 是 | 是 | 部分 | 否 | 是 | | Malleable C2 Profile | 是 | 部分 | 有限 | 否 | 是 | | BOF 支持 | 是 | 是 | 是 | 否 | 是 | | 跨平台 implant | 有限 | 否 | 是 | 有限 | 是 | | P2P 枢纽转发 (SMB/TCP) | 是 | 是 | 是 | 有限 | 是 | | AI 下一步推理 | 否 | 否 | 否 | 否 | 是 | | 自然语言操作 | 否 | 否 | 否 | 否 | 是 | | 实时 CVE 交叉比对 | 否 | 否 | 否 | 否 | 是 | | OPSEC 风险顾问 | 否 | 否 | 否 | 否 | 是 | | MITRE ATT&CK 自动映射 | 部分 | 否 | 否 | 否 | 是 | | 开源 | 否 | 是 | 是 | 是 | 是 | ## 技术栈 | 层级 | 选择 | 原因 | |---|---|---| | Team Server | Go | 单一二进制部署,为多名操作员/implant 提供强大的并发能力 | | Implant | Go + C/Rust | 原生资源占用灵活性,交叉编译 | | 操作员控制台 | Web (海军蓝 `#090e18`、珊瑚红 `#e8526a`、绿色 `#00e5a0`、Poppins) | Lorikeet Security 品牌体系 | | 推理 | Anthropic API | 以行动 KB 作为检索上下文的 Lory 引擎 | | 平台集成 | MCP | 发现结果流向 PTaaS MCP 服务器 (`findings.list`, `kb.search`, `scope.check`, `ping`) | | 传输安全 | mTLS (操作员),流量整形 (implant) | 操作员验证 + 流量伪装 | ## 发现与遥测 Schema 行动遥测和发现在导出到平台之前,会标准化为一致的 schema: ``` { "engagement_id": "eng_
标签:IP 地址批量处理, 人工智能, 命令与控制框架, 日志审计, 用户模式Hook绕过