AOI-Future/secfeed

GitHub: AOI-Future/secfeed

secfeed 是一个安全情报 MCP 服务器,将权威漏洞、威胁情报和新闻聚合到本地数据库并按 AI agent 威胁分类法自动标注,供 AI agent 检索使用。

Stars: 0 | Forks: 0

# secfeed Security Intelligence MCP server — 将权威的漏洞、新闻, 和威胁情报源聚合到本地 SQLite 数据库中,并通过 [MCP](https://modelcontextprotocol.io/) 工具将其提供给 AI agent。 每个摄入的数据项都会根据 [agent-security-manual](https://github.com/AOI-Future/agent-security-manual) 威胁分类法 (**TH-01..TH-10**) 进行自动分类,以便 agent 可以拉取专注于 AI-agent-security 的数据源,并将每个威胁追溯到其缓解控制措施 (CT)、需求 (REQ) 以及手册章节。 ## 数据源 | 类别 | 来源 | |---|---| | 漏洞 | CISA KEV, NVD CVE API 2.0, EPSS, GitHub Security Advisories, GitHub PoC search | | 威胁情报 | Abuse.ch ThreatFox, CISA Cybersecurity Advisories, arXiv cs.CR | | 新闻 | The Hacker News, BleepingComputer, Krebs on Security, The Record, SANS ISC | | Agent 安全 | Simon Willison's blog, Embrace The Red | ## MCP 工具 | 工具 | 用途 | |---|---| | `get_latest_cves` | 按 EPSS 利用概率排序的近期 CVE | | `get_cisa_kev` | 已知被利用漏洞(确认在野利用) | | `get_security_news` | 聚合安全新闻 | | `search_security` | 跨所有数据的 FTS5 全文搜索 | | `get_cve_detail` | 针对单个 CVE 的按需 NVD + EPSS 查询 | | `get_threat_summary` | 24小时威胁态势简报 + 数据源健康状况 | | `get_agent_threat_feed` | 标记有 agent 威胁类别 TH-01..TH-10 的项目 | | `lookup_taxonomy` | 将 TH/CT ID 解析为控制措施、REQ 和手册章节 | | `get_agent_security_digest` | 用于安全态势审查的各威胁类别活动摘要 | ## Agent 威胁分类法 分类是一个确定性的双层关键词分类器 (`taxonomy.py`): 强烈的 agent 特定模式总是会被标记;通用的安全术语只有在同一文本中出现 AI/agent 上下文时才会被标记。没有 LLM 调用 — 结果具有 可重现性和可审计性。 | ID | 威胁类别 | |---|---| | TH-01 | Prompt injection(直接 / 间接) | | TH-02 | 工具滥用 / 权限提升 | | TH-03 | RAG / 知识库投毒 | | TH-04 | 记忆 / 上下文污染 | | TH-05 | Agent 身份 / 权限滥用 | | TH-06 | 委托 / 多 Agent 滥用 | | TH-07 | 供应链 / MCP / 插件失陷 | | TH-08 | 数据窃取 / 敏感信息暴露 | | TH-09 | 审计 / 评估规避 | | TH-10 | 模型 / 服务滥用 | ## 部署 ``` docker compose up -d --build docker logs --tail 80 secfeed ``` - Streamable HTTP: `http://:8888/mcp`(若公开暴露,请在前面放置带有身份验证的反向代理) - stdio 模式: `python3 server.py --stdio` - 数据卷: `secfeed-data` 挂载于 `/data` (SQLite + FTS5) ### 环境变量 | 变量 | 用途 | |---|---| | `NVD_API_KEY` | 可选 — 更高的 NVD API 速率限制 | | `GITHUB_TOKEN` | 可选 — 更高的 GitHub API 速率限制 | | `SECFEED_DB_PATH` | 数据库路径覆盖(默认为 `/data/secfeed.db`) | 密钥通过 compose 的 `environment` 块从主机环境变量中注入 — 切勿将其提交到代码库。 ## 开发 ``` python3 -m venv venv && venv/bin/pip install -r requirements.txt SECFEED_DB_PATH=/tmp/secfeed-dev.db venv/bin/python3 server.py --stdio ``` ## 许可证 MIT
标签:AI智能体, MCP Server, SQLite, 威胁情报, 安全情报, 开发者工具, 漏洞追踪, 请求拦截, 逆向工具