S3curethecloud/securethecloud-operational-intelligence-fabric
GitHub: S3curethecloud/securethecloud-operational-intelligence-fabric
一个模拟受监管企业环境的 AI 运营智能实验室,整合遥测关联、OPA 策略评估、AI 辅助调查和人工审批工作流。
Stars: 1 | Forks: 0
# SecureTheCloud Operational Intelligence Fabric
## Palantir 风格 AI 运营实验室
SecureTheCloud Operational Intelligence Fabric 是一个用于构建受治理的 AI 运营平台的投资组合实操实验室。它模拟了一个受监管的企业环境,包含运行时遥测、Kubernetes 风格的运营事件、OPA 策略关联、AI 辅助调查、证据重放以及人工审核(human-in-the-loop)审批。
该实验室旨在展示企业级的运营架构思维,而非玩具式的聊天机器人演示。
## 场景
**安全的 AI 银行运营**
你正在为一个受监管的银行环境构建内部运营智能平台。该平台帮助安全和运营团队调查可疑的运行时活动、关联遥测数据、评估策略上下文、生成有证据支持的 AI 总结,并要求在采纳运营建议之前进行人工审核。
## MVP 构建顺序
从以下顺序开始:
```
Phase 0 -> Phase 1 -> Phase 4 -> Phase 5 -> Phase 6 -> Phase 7 -> Phase 8 -> Phase 9
```
将真实的 Falco、Kubernetes、OpenTelemetry、Grafana 和 Terraform 留到第二阶段进行。
## 此 MVP 构建的内容
| 阶段 | 产出 |
|---|---|
| 阶段 0 | GitHub 仓库基础 |
| 阶段 1 | 本地 Docker 服务和项目脚手架 |
| 阶段 4 | OPA 策略关联 |
| 阶段 5 | Go 运营 API |
| 阶段 6 | Python AI 调查服务 |
| 阶段 7 | 人工审批工作流 |
| 阶段 8 | Next.js AI 运营工作区 |
| 阶段 9 | 证据重放 |
## 架构
```
+-------------------------------------------------------------+
| AI Operations Workspace |
| Next.js Investigator UI |
+--------------------------+----------------------------------+
|
v
+-------------------------------------------------------------+
| API Layer |
| Go API Gateway + Python AI Service |
+------------+-------------------+----------------------------+
| |
v v
+---------------------+ +-----------------------------+
| Operational Store | | AI Investigation Workflow |
| PostgreSQL + Redis | | FastAPI + Mock LLM First |
+---------------------+ +-----------------------------+
| |
v v
+-------------------------------------------------------------+
| Evidence + Governance Layer |
| OPA Decisions | Approval Records | Audit Chain |
+-------------------------------------------------------------+
^
|
+-------------------------------------------------------------+
| Runtime Detection Fabric |
| Simulated Runtime Events | OPA | Future Falco/K8s/Otel |
+-------------------------------------------------------------+
```
## 治理边界
AI 层仅用于证据汇总和建议。
它可以:
- 汇总证据
- 关联信号
- 解释策略上下文
- 建议下一步审查步骤
- 引用证据 ID
它不可以:
- 授权运行时操作
- 声称已执行生产环境强制措施
- 修改基础设施
- 绕过 OPA、SENTINEL 或人工审批
- 签发 token 或创建运行时会话
- 未经通知地批准修复
## 快速开始
### 1. 启动基础设施
```
cp .env.example .env
make up
```
### 2. 启动 Go API
```
make api
```
如果 8080 端口已被占用,请运行:
```
cd api
PORT=18080 go run ./cmd/server
```
### 3. 启动 AI 服务
在另一个终端中:
```
make ai
```
在运行调查步骤之前,请给 AI 服务几秒钟的时间来安装依赖并启动。
### 4. 启动前端
在另一个终端中:
```
make frontend
```
### 5. 模拟可疑的运行时事件
```
./scripts/simulate_runtime_event.sh
```
### 6. 打开仪表板
```
http://localhost:3000
```
## 演示流程
1. 打开仪表板。
2. 显示没有活跃的事件,或显示示例队列。
3. 运行 `./scripts/simulate_runtime_event.sh`。
4. 打开事件队列。
5. 选择新的高风险事件。
6. 查看运行时证据。
7. 查看 OPA 策略上下文。
8. 运行 AI 调查。
9. 查看有证据支持的 AI 建议。
10. 批准、拒绝或请求更多证据。
11. 重放证据时间线。
12. 显示审计日志。
## MVP 验收标准
当满足以下条件时,MVP 即完成:
- `make up` 启动本地服务。
- `make api` 启动 Go API。
- `make ai` 启动 Python AI 服务。
- `make frontend` 启动 Next.js 仪表板。
- 事件模拟器发布一个运行时事件。
- API 将运行时事件存储在内存中以供 MVP 演示使用。
- API 调用 OPA,或者在 OPA 不可用时回退到本地策略上下文。
- 高风险事件创建一个 incident。
- AI 服务生成有证据支持的总结。
- 人工审核员可以批准、拒绝或请求更多证据。
- 事件证据重放显示事件、策略、调查、批准和审计链。
## 第二阶段路线图
MVP 运行成功后,添加:
- PostgreSQL 持久化
- Redis 支持的调查作业
- NATS 流式摄取
- 真实的 Falco 事件摄取
- Fluent Bit 转发
- kind Kubernetes 工作负载模拟
- OpenTelemetry 链路追踪
- Grafana 仪表板
- Terraform 本地基础设施完善
- pgvector 证据检索
- LangGraph 工作流实现
## 面向招聘人员的总结
SecureTheCloud Operational Intelligence Fabric 是一个受治理的 AI 运营实验室,它模拟了受监管企业如何将遥测、运行时检测、策略关联、有证据支持的 AI 调查和人工审批工作流结合到一个统一的运营智能平台中。
## 简历要点
构建了 SecureTheCloud Operational Intelligence Fabric,这是一个受治理的 AI 运营平台,用于在 Kubernetes 和云原生环境中进行遥测关联、运行时调查、策略感知的 Agent 编排、有证据支持的工作流以及人工干预的运营审批。
# 已验证的 MVP 截图
以下截图展示了端到端的 MVP 工作流程。
## 1. API 运行中

## 2. 运行时事件摄取

## 3. 实时 OPA 策略评估

## 4. AI 辅助调查

## 5. 人工审批工作流

## 6. 证据重放

## 7. GitHub 仓库主页

标签:AI运维, EVTX分析, Falco, Go, OPA策略, Python, Ruby工具, 安全运营中心, 搜索引擎查询, 敏感词过滤, 无后门, 日志审计, 测试用例, 网络映射, 请求拦截, 逆向工具