tinaob/ai-threat-intelligence

GitHub: tinaob/ai-threat-intelligence

一款利用 Claude AI 自动抓取 AlienVault OTX 实时威胁数据并生成专业分析师级别威胁摘要的 Python 工具。

Stars: 0 | Forks: 0

# AI 威胁情报平台 一款 Python 工具,从 AlienVault OTX 获取实时网络安全威胁情报, 并使用 Claude AI 生成专业的、分析师风格的威胁摘要, 用于每日安全简报。 ## 这能解决什么问题? 安全团队需要随时掌握最新出现的威胁,但原始的威胁 情报源信息密集、技术性强,手动审查非常耗时。该 工具自动化了威胁情报分析的第一层工作 —— 拉取 实时威胁数据并将其转化为清晰、易于业务人员理解的摘要, 重点突出威胁是什么、目标是谁以及为何重要。 ## 功能说明 - **获取实时威胁情报** —— 数据来自 AlienVault OTX,这是一个全球性的、 众包形式的威胁情报平台,被真正的安全团队广泛使用 - **AI 生成的摘要** —— Claude AI 分析每一个 threat pulse 并 撰写简明扼要、专业的简报 - **JSON 报告输出** —— 结构化、带时间戳的威胁简报 - **MITRE ATT&CK 映射** —— Claude AI 将每个威胁映射到相关的 MITRE ATT&CK 技术,这是用于 分类攻击者行为的行业标准框架。 - **IOC 提取** —— 自动提取并分类 妥协指标 (Indicators of Compromise,包括 IP 地址、域名、文件哈希), 以便在每个威胁中直接用于检测工具 ## 实际输出示例 该工具拉取的实时威胁包括: - 一个勒索软件即服务 (RaaS) 组织,使用 Cobalt Strike 和 VPN 漏洞利用, 通过 48 个妥协指标进行追踪 - 一次活跃的网络钓鱼活动,通过 smishing (短信钓鱼) 和品牌假冒,利用新的欧盟海关收费进行攻击 - Langflow 中的一个严重 CVSS 9.9 漏洞 (CVE-2026-55255) 正 在野被积极利用 - 供应链攻击,通过被劫持的 GitHub Actions 工作流破坏 npm 包 每个威胁都由 Claude AI 自动总结成清晰、 专业的 2-3 句简报,适合用于每日安全报告。 ## AI 摘要输出示例与 MITRE ATT&CK 映射 对于 Langflow CVE-2026-55255 威胁,该工具自动映射了 这些 MITRE ATT&CK 技术: 此映射完全使用 AI 自动完成 —— 无需分析师手动查找 —— 在几秒钟内将原始的威胁描述转化为可操作的、 与框架对齐的情报。 ## 使用的工具和技术 | 工具 | 用途 | |---|---| | Python 3 | 核心编程语言 | | AlienVault OTX API | 实时威胁情报源 | | Anthropic Claude API | AI 生成的威胁摘要 | | requests | HTTP API 调用 | | JSON | 结构化报告输出 | ## 如何自行运行 ### 1. 获取免费的 AlienVault OTX 账户 在 otx.alienvault.com 注册并获取您的 API key ### 2. 获取 Anthropic API key 在 console.anthropic.com 注册 ### 3. 克隆此仓库 ### 4. 安装依赖项 ### 5. 设置您的 API key ### 6. 运行工具 ## 构建过程中的收获 - 现实世界中的威胁情报平台是如何构建和共享数据的 - 如何将外部威胁情报源与 AI 摘要相集成,从而将原始技术数据转化为可操作的商业情报 - 安全凭证处理的重要性 —— 两个 API key 都 作为环境变量存储,绝不硬编码 - 当前的现实威胁在实践中是什么样的 —— 从勒索软件 组织到被积极利用的 CVE 再到供应链攻击 - 为什么威胁情报在运营层面如此重要 —— 掌握最新的 活跃攻击活动可直接指导检测规则和防御优先级 ## 局限性与未来改进 - 目前每次运行处理 5 个威胁以控制 API 成本 —— 生产版本将处理完整的情报源 - 尚未针对多个情报源进行威胁去重 - **MITRE ATT&CK 映射** —— Claude AI 将每个威胁映射到相关的 MITRE ATT&CK 技术,这是用于 分类攻击者行为的行业标准框架 - 尚无 HTML 仪表板或 PDF 导出功能 - 尚无自动电子邮件发送功能 - 未来版本将结合多个威胁情报源 (OTX + abuse.ch) 并加入去重逻辑 ## 作者 **Clementina Obasi** 网络安全分析师 | CySA+ | CCNA CyberOps | Google 网络安全认证 [LinkedIn](https://www.linkedin.com/in/clementina-obasi-b89a3381/) *作为我的网络安全作品集的一部分构建 — 2026 年 6 月* *版本 1.2 —— 核心 AI 威胁摘要 pipeline,添加了 MITRE ATT&CK 技术映射和 IOC 提取*
标签:AI总结, Claude AI, Homebrew安装, Python, 威胁情报, 开发者工具, 数据提取, 无后门, 自动化分析, 跨站脚本