tinaob/ai-threat-intelligence
GitHub: tinaob/ai-threat-intelligence
一款利用 Claude AI 自动抓取 AlienVault OTX 实时威胁数据并生成专业分析师级别威胁摘要的 Python 工具。
Stars: 0 | Forks: 0
# AI 威胁情报平台
一款 Python 工具,从 AlienVault OTX 获取实时网络安全威胁情报,
并使用 Claude AI 生成专业的、分析师风格的威胁摘要,
用于每日安全简报。
## 这能解决什么问题?
安全团队需要随时掌握最新出现的威胁,但原始的威胁
情报源信息密集、技术性强,手动审查非常耗时。该
工具自动化了威胁情报分析的第一层工作 —— 拉取
实时威胁数据并将其转化为清晰、易于业务人员理解的摘要,
重点突出威胁是什么、目标是谁以及为何重要。
## 功能说明
- **获取实时威胁情报** —— 数据来自 AlienVault OTX,这是一个全球性的、
众包形式的威胁情报平台,被真正的安全团队广泛使用
- **AI 生成的摘要** —— Claude AI 分析每一个 threat pulse 并
撰写简明扼要、专业的简报
- **JSON 报告输出** —— 结构化、带时间戳的威胁简报
- **MITRE ATT&CK 映射** —— Claude AI 将每个威胁映射到相关的
MITRE ATT&CK 技术,这是用于
分类攻击者行为的行业标准框架。
- **IOC 提取** —— 自动提取并分类
妥协指标 (Indicators of Compromise,包括 IP 地址、域名、文件哈希),
以便在每个威胁中直接用于检测工具
## 实际输出示例
该工具拉取的实时威胁包括:
- 一个勒索软件即服务 (RaaS) 组织,使用 Cobalt Strike 和 VPN 漏洞利用,
通过 48 个妥协指标进行追踪
- 一次活跃的网络钓鱼活动,通过
smishing (短信钓鱼) 和品牌假冒,利用新的欧盟海关收费进行攻击
- Langflow 中的一个严重 CVSS 9.9 漏洞 (CVE-2026-55255) 正
在野被积极利用
- 供应链攻击,通过被劫持的 GitHub
Actions 工作流破坏 npm 包
每个威胁都由 Claude AI 自动总结成清晰、
专业的 2-3 句简报,适合用于每日安全报告。
## AI 摘要输出示例与 MITRE ATT&CK 映射
对于 Langflow CVE-2026-55255 威胁,该工具自动映射了
这些 MITRE ATT&CK 技术:
此映射完全使用 AI 自动完成 —— 无需分析师手动查找 ——
在几秒钟内将原始的威胁描述转化为可操作的、
与框架对齐的情报。
## 使用的工具和技术
| 工具 | 用途 |
|---|---|
| Python 3 | 核心编程语言 |
| AlienVault OTX API | 实时威胁情报源 |
| Anthropic Claude API | AI 生成的威胁摘要 |
| requests | HTTP API 调用 |
| JSON | 结构化报告输出 |
## 如何自行运行
### 1. 获取免费的 AlienVault OTX 账户
在 otx.alienvault.com 注册并获取您的 API key
### 2. 获取 Anthropic API key
在 console.anthropic.com 注册
### 3. 克隆此仓库
### 4. 安装依赖项
### 5. 设置您的 API key
### 6. 运行工具
## 构建过程中的收获
- 现实世界中的威胁情报平台是如何构建和共享数据的
- 如何将外部威胁情报源与 AI 摘要相集成,从而将原始技术数据转化为可操作的商业情报
- 安全凭证处理的重要性 —— 两个 API key 都
作为环境变量存储,绝不硬编码
- 当前的现实威胁在实践中是什么样的 —— 从勒索软件
组织到被积极利用的 CVE 再到供应链攻击
- 为什么威胁情报在运营层面如此重要 —— 掌握最新的
活跃攻击活动可直接指导检测规则和防御优先级
## 局限性与未来改进
- 目前每次运行处理 5 个威胁以控制 API 成本 ——
生产版本将处理完整的情报源
- 尚未针对多个情报源进行威胁去重
- **MITRE ATT&CK 映射** —— Claude AI 将每个威胁映射到相关的
MITRE ATT&CK 技术,这是用于
分类攻击者行为的行业标准框架
- 尚无 HTML 仪表板或 PDF 导出功能
- 尚无自动电子邮件发送功能
- 未来版本将结合多个威胁情报源 (OTX + abuse.ch)
并加入去重逻辑
## 作者
**Clementina Obasi**
网络安全分析师 | CySA+ | CCNA CyberOps | Google 网络安全认证
[LinkedIn](https://www.linkedin.com/in/clementina-obasi-b89a3381/)
*作为我的网络安全作品集的一部分构建 — 2026 年 6 月*
*版本 1.2 —— 核心 AI 威胁摘要 pipeline,添加了 MITRE ATT&CK 技术映射和 IOC 提取*
标签:AI总结, Claude AI, Homebrew安装, Python, 威胁情报, 开发者工具, 数据提取, 无后门, 自动化分析, 跨站脚本