assafkip/theia

GitHub: assafkip/theia

Theia 是一款基于确定性规则的威胁情报报告 IOC 提取工具,确保每个提取指标都能溯源至原文,杜绝 LLM 幻觉。

Stars: 3 | Forks: 0

# Theia **从威胁情报报告中提取 IOC。** 粘贴一个链接(PDF 或网页), Theia 会提取报告中字面存在的每一个 IOC、命名威胁和供应商检测规则, 并将每一个都与确切的证明行关联。 在线体验:**[theia.ktlystlabs.com](https://theia.ktlystlabs.com)** · 免费,无需注册。 ## 独特之处 其他所有“AI 阅读你的报告”的工具都可能会产生幻觉,凭空捏造出文档中从未出现过的指标。Theia 不会。 - **确定性,而非模型。** 提取过程基于一套固定的规则(正则表达式 + 精心策划的匹配)。相同的报告始终得出相同的输出。提取路径中不涉及任何 LLM。 - **每一个指标都能按字节在源文件中找到证明**,并会显示证明它的上下文句子。这正是分析师所需要的:这个 IP 是 C2、受害者,还是仅作引用? - **文本中找不到的内容,直接丢弃。** 不进行任何推断、打分或捏造。 - **可复现且可审计。** 当你将某个指标推送到黑名单时,你可以为其来源提供依据。 ## 提取内容 - **IOC** — IP、domain、URL、文件哈希(MD5 / SHA1 / SHA256)、CVE、email。支持识别去威胁化格式(`hxxps://evil[.]com` → `https://evil.com`),并内置防误报机制。 - **命名威胁** — 参与者、工具、恶意软件,与内置的 MITRE ATT&CK + Malpedia 词汇表进行匹配。匹配仅意味着该名称*出现*过,而非进行归属判定。 - **打印的 MITRE ATT&CK ID** — 仅提取供应商实际写下的技术 ID。 - **供应商规则** — 报告中原有的 Sigma / YARA / Snort,原样提取(标注:非 Theia 的输出)。 - **IOC 清查片段** — 单字段 Sigma 起点。用于调查追踪,**非可部署的检测规则**。 支持将所有内容导出为 CSV。可选的 AI 过程可以标记可能的干扰项(供应商自己的 domain、参考链接、`example.com`),但绝不会添加或删除任何指标。 ## 不适用的场景 它不是 SIEM,不是扫描器,也不是可部署检测生成器。Theia 断言一份报告*包含*什么(来源溯源),而从不断言其*意味*着什么,或某些事物是否具有恶意。 ## 运行方式 ``` npm install npm run dev # http://localhost:3000 npm test # deterministic unit tests (node --test) npm run harness # extraction over real advisory fixtures, asserts the slice invariant ``` 粘贴的 URL 会通过一个小型服务端路由进行抓取(浏览器的 CORS 机制会阻止大多数报告站点);提取过程在你的浏览器中运行。可选的干扰项标记功能需要配置 `ANTHROPIC_API_KEY`。 ## 技术栈 Next.js(App Router),位于 `app/lib/` 中的确定性客户端提取器。无数据库,无身份验证。由 [KTLYST Labs](https://ktlystlabs.com) 开发 — Assaf Kipnis,拥有在 LinkedIn、Google、Meta 和 ElevenLabs 从事威胁情报工作 12 年的经验。
标签:IOC提取, MITM代理, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据可视化, 文本解析, 自定义脚本