assafkip/theia
GitHub: assafkip/theia
Theia 是一款基于确定性规则的威胁情报报告 IOC 提取工具,确保每个提取指标都能溯源至原文,杜绝 LLM 幻觉。
Stars: 3 | Forks: 0
# Theia
**从威胁情报报告中提取 IOC。** 粘贴一个链接(PDF 或网页),
Theia 会提取报告中字面存在的每一个 IOC、命名威胁和供应商检测规则,
并将每一个都与确切的证明行关联。
在线体验:**[theia.ktlystlabs.com](https://theia.ktlystlabs.com)** · 免费,无需注册。
## 独特之处
其他所有“AI 阅读你的报告”的工具都可能会产生幻觉,凭空捏造出文档中从未出现过的指标。Theia 不会。
- **确定性,而非模型。** 提取过程基于一套固定的规则(正则表达式 + 精心策划的匹配)。相同的报告始终得出相同的输出。提取路径中不涉及任何 LLM。
- **每一个指标都能按字节在源文件中找到证明**,并会显示证明它的上下文句子。这正是分析师所需要的:这个 IP 是 C2、受害者,还是仅作引用?
- **文本中找不到的内容,直接丢弃。** 不进行任何推断、打分或捏造。
- **可复现且可审计。** 当你将某个指标推送到黑名单时,你可以为其来源提供依据。
## 提取内容
- **IOC** — IP、domain、URL、文件哈希(MD5 / SHA1 / SHA256)、CVE、email。支持识别去威胁化格式(`hxxps://evil[.]com` → `https://evil.com`),并内置防误报机制。
- **命名威胁** — 参与者、工具、恶意软件,与内置的 MITRE ATT&CK + Malpedia 词汇表进行匹配。匹配仅意味着该名称*出现*过,而非进行归属判定。
- **打印的 MITRE ATT&CK ID** — 仅提取供应商实际写下的技术 ID。
- **供应商规则** — 报告中原有的 Sigma / YARA / Snort,原样提取(标注:非 Theia 的输出)。
- **IOC 清查片段** — 单字段 Sigma 起点。用于调查追踪,**非可部署的检测规则**。
支持将所有内容导出为 CSV。可选的 AI 过程可以标记可能的干扰项(供应商自己的 domain、参考链接、`example.com`),但绝不会添加或删除任何指标。
## 不适用的场景
它不是 SIEM,不是扫描器,也不是可部署检测生成器。Theia 断言一份报告*包含*什么(来源溯源),而从不断言其*意味*着什么,或某些事物是否具有恶意。
## 运行方式
```
npm install
npm run dev # http://localhost:3000
npm test # deterministic unit tests (node --test)
npm run harness # extraction over real advisory fixtures, asserts the slice invariant
```
粘贴的 URL 会通过一个小型服务端路由进行抓取(浏览器的 CORS 机制会阻止大多数报告站点);提取过程在你的浏览器中运行。可选的干扰项标记功能需要配置 `ANTHROPIC_API_KEY`。
## 技术栈
Next.js(App Router),位于 `app/lib/` 中的确定性客户端提取器。无数据库,无身份验证。由 [KTLYST Labs](https://ktlystlabs.com) 开发 — Assaf Kipnis,拥有在 LinkedIn、Google、Meta 和 ElevenLabs 从事威胁情报工作 12 年的经验。
标签:IOC提取, MITM代理, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据可视化, 文本解析, 自定义脚本