BQatoum/Malytic-AI
GitHub: BQatoum/Malytic-AI
Malytic-AI 是一个以 Claude 为推理引擎的恶意软件自动化分析平台,通过七阶段流水线将样本转化为威胁情报报告和经验证的 SIEM 检测规则。
Stars: 0 | Forks: 0
# Malytic.AI
**一个由 AI 驱动的恶意软件分析平台,Claude 在其中扮演分析师的角色——而不仅仅是扫描器。**
Malytic.AI 接收恶意软件样本,并将其放入一个包含七个阶段的分析 pipeline 中运行。它使用 Claude 作为推理引擎来解读证据、关联各个阶段的发现、得出自己的结论,并自动生成一份完整的威胁情报包——包括一份面向双重受众的报告以及经过验证、适配 SIEM 的检测规则。

## 问题背景
恶意软件总是源源不断地出现,但专家分析师却极为稀缺且难以快速扩展。一位熟练的分析师对单个样本进行全面分类可能需要两到四个小时——包括对二进制文件进行逆向工程、安全地引爆样本、将行为与已知威胁进行关联,以及编写检测规则。与此同时,一个 SOC 每天会收到成百上千个警报。结果便是造成了长期的积压:大多数样本从未得到深入分析,而那些被分析的样本在很大程度上取决于哪位分析师碰巧接手了它们。
这导致了三个不断叠加的差距:
- **速度。** 当人类完成对新威胁的分析并编写出检测规则时,攻击者通常已经轮换了基础设施、对 payload 进行了加壳,或者转向了下一个受害者。
- **一致性。** 分析质量会随着经验和疲劳程度而波动。初级和高级分析师可能对同一个文件得出截然不同的结论——甚至同一位分析师在第一小时与第八小时产出的分析深度也会有所不同。
- **覆盖率。** 现代恶意软件故意设计得极具规避性——加壳、混淆、具备沙箱感知能力,并在自动化工具面前伪装成无害文件。基于特征码的扫描器会漏掉它们从未见过的新威胁,而分析师根本无法手动检查所有传入的文件。
Malytic.AI 弥补了这些差距,它将作为分析师进行推理的 Claude 置于自动化 pipeline 的核心,让每个 SOC 团队都能在几分钟内(而非几小时内)对每一个样本展现出高级威胁分析师的分析深度。
## 核心理念:Claude 即分析师
大多数恶意软件工具只负责提取数据,并将原始输出交给你来解读。Malytic.AI 则不同:**Claude 会在每个阶段对证据进行推理**。工具只负责提取事实;沙箱只负责执行样本;而 Claude 负责解读、关联并得出结论。
Claude 会得出**自己的结论**,并将其与工具和沙箱的结论进行交叉验证——因此,当具有规避性的样本在沙箱中产生“无害”结果时,平台能够识别出这种“沉默”本身就是可疑的,而不是盲目地信任它。
每个分析阶段都由一个专门的 skill 文件(结构化的 system prompt)驱动,而不是硬编码的家族逻辑——这确保了平台**与文件类型和家族无关**。它已经在各种真实的样本中得到了验证:信息窃取器、RAT、勒索软件、恶意的 Office 宏文档以及 PDF 文件。
## 架构:七阶段 Pipeline
每个样本都会流经一个持久化存储在数据库中的 JSON“案例文件”——每个阶段都会读取前序阶段的结果并写入自己的结果,因此不会丢失任何信息,且 pipeline 能够在重启后恢复运行。
| # | 阶段 | 功能描述 |
|---|-------|--------------|
| 1 | **接收** | 静态字节处理、哈希计算、文件类型检测、归档解压、路由分发 (PE / Office / PDF) |
| 2 | **静态分析** | 针对特定类型的提取(PE、Office 宏、PDF 结构)——由 Claude 解读原始事实 |
| 3 | **动态分析** | 在 Triage 云沙箱中进行实时引爆——由 Claude 的视觉能力读取进程行为、网络/C2、PCAP 和截图 |
| 4 | **OSINT** | 威胁情报富化(信誉评估、已知家族情报) |
| 5 | **关联 / 归因** | Claude 将所有阶段融合为结论、家族识别和 MITRE ATT&CK 映射 |
| 6 | **检测工程** | 生成并验证 YARA、Sigma 和 Suricata 规则(带有自动修复功能) |
| 7 | **报告推送 + SIEM** | 生成威胁情报报告,并将 IOC + 检测规则推送到 Elastic |
该 pipeline 具备优雅降级能力——如果某个阶段发生错误,其他阶段将继续运行,并且报告会反映已恢复的内容。
## 分析师增强的分析模式
Malytic.AI 完全自动化运行,但其设计充分考虑了对专家工作流的尊重。分析师可以通过高级分析模式始终保持掌控:
- **导入自定义静态分析结果** —— 提供您自己的静态分析结果;平台会跳过其静态分析阶段,并从您的结果处继续执行。
- **导入自定义动态分析结果** —— 提供您自己沙箱的分析结果;平台将跳过引爆过程并直接使用它们。
- **内部 IOC 数据库** —— 将样本的指标与您组织已知的攻击者 IOC 进行交叉比对,以检测重复出现的攻击者,然后导出合并了新样本指标的更新数据库。
- **OSINT 暂停与恢复** —— 在进入 OSINT 阶段前暂停 pipeline,以便您运行自己的威胁情报研究(私密数据源、暗网、定制工具),随后上传您的研究结果并恢复运行。暂停状态在重启后依然会保留。
系统全程跟踪信息来源——报告会明确指出哪些发现是由分析师提供的,哪些是由平台生成的。
## 输出
**威胁情报报告** —— 一份面向双重受众的报告(高管摘要 + 技术细节),包含结论、置信度评级、恶意软件家族、MITRE ATT&CK 映射、已消除危险性的 IOC、攻击叙述,以及作为证据嵌入的引爆截图。
**SIEM 集成** —— 跨越三个层面的经过验证的检测规则,被推送到 Elastic 中:
- **YARA** 用于文件/内容检测
- **Sigma** 用于端点行为检测(转换为 SIEM 的查询语言)
- **Suricata** 用于网络/C2 检测
IOC 和检测规则将直接进入 Kibana,随时可用于威胁狩猎和告警。
## 技术栈
| 层级 | 技术 |
|-------|-----------|
| 分析引擎 | Claude(基于 skill —— 每个阶段一个 SKILL.md) |
| 后端 | FastAPI(异步),后台任务 pipeline |
| 案件存储 | SQLite(持久化案例文件,重启安全) |
| 前端 | React + Vite(单页仪表盘) |
| 沙箱 | Triage 云沙箱 |
| SIEM | Elasticsearch + Kibana |
| 检测 | YARA, Sigma, Suricata(带有实时验证 + 自动修复) |
## 核心设计原则
- **Claude 即分析师,而非中继** —— Claude 会得出自己的结论,并对工具/沙箱的判定进行交叉验证。
- **基于 Skills,而非硬编码逻辑** —— 每个阶段都会加载结构化的 skill,确保平台在应对各种文件类型和家族时具有通用性。
- **诚实的置信度** —— 平台会如实报告其确信程度,并且在无法确定时会优雅降级,而不是伪造结果。
- **安全第一** —— 样本以静态方式处理;引爆仅在隔离的 Triage 云沙箱中进行;报告中的所有指标都已消除危险性。
- **经过验证的检测** —— 生成的规则在部署前会实际经过编译/解析和自动修复,因此绝不会将有问题的规则推送到 SIEM 中。
## 作者
**Belal Qatoum**
*Malytic.AI 是一个研究/教育项目。本代码仓库中从不包含恶意软件样本,且样本只能在隔离的、受控的环境中进行处理。*
标签:DAST, Metaprompt, SIEM检测规则, 威胁情报, 安全人工智能, 开发者工具, 恶意软件分析, 自动化分析, 越狱测试, 跨站脚本