Brad-Edwards/aptl

# APTL (高级紫队实验室) **具备 AI 控制红蓝队行动能力的智能紫队实验室** ## 什么是 APTL？ 一个基于 Docker 的紫队实验室。只需一条命令即可启动一个隔离网络，其中包含企业目标基础设施、红队攻击平台、完整的 SOC 技术栈以及 AI 智能体集成——满足运行真实攻防演练所需的一切。 **目标基础设施** -- 一家名为 TechVault Solutions 的虚构公司，以容器形式部署： - Samba AD 域控制器（`techvault.local`，包含用户账户、SPN、组） - PostgreSQL 数据库，包含预置的客户数据和有意设置的漏洞 - 存在漏洞的 Web 应用程序（SQLi、XSS、IDOR、命令注入） - Samba 文件服务器，包含部门共享文件夹和预先植入的凭证 - DNS 服务器（Bind9，用于内部解析和 C2 检测） - 邮件服务器（Postfix + Dovecot，用于钓鱼模拟） - Rocky Linux 受害主机，配置有 SSH、Wazuh agent、Falco eBPF 运行时监控、sudo 错误配置 **红队** -- Kali Linux 容器，配备 kali-tools-top10，每一条命令都会记录到 SIEM。AI 智能体通过 MCP 控制它。 **SOC 技术栈** -- 检测、调查和响应： - Wazuh SIEM（manager + indexer + dashboard），收集来自所有容器的日志 - Suricata IDS 用于网络层检测（C2、横向移动、数据渗出） - MISP 威胁情报平台，配备 IOC feeds - TheHive 案例管理，配合 Cortex 分析器进行自动富化 - Shuffle SOAR 用于自动化响应剧本 **恶意软件分析** -- 逆向工程容器，配备 radare2、yara、capa、FLOSS，用于蓝队调查期间的二进制分析。 **AI 智能体层** -- MCP 服务器赋予 AI 智能体对上述所有组件的编程控制能力：红队行动、SIEM 查询、威胁情报、案例管理、SOAR 剧本、网络 IDS 和逆向工程。 **场景引擎** -- 基于 YAML 定义并映射 MITRE ATT&CK 的攻击场景。每次运行会将所有遥测数据（Wazuh 警报、Suricata 事件、TheHive 案例、MISP 关联、SOAR 执行、容器日志、MCP 追踪）捕获到一个独立归档中，以便事后分析。 **Python CLI** (`aptl`) -- 实验室生命周期管理、场景执行和运行管理。 **使用场景：** 自主网络行动研究、紫队训练、AI 威胁行为体评估。 ## 演示 **AI 红队自主侦察：**  **攻击完全成功：**  *本次测试的所有截图：[AI 红队测试 (PDF)](assets/docs/ai_red_team_test.pdf)* 在场景运行期间，请务必监控 AI 红队智能体。 ## 道德声明 防御者和决策者需要真实的对抗用例示例来指导规划和投资。攻击者已经在了解并尝试 AI 赋能的网络行动。本实验室使用的是消费级、通用的服务和基础集成，并未超越现有的能力水平。除了授予 Kali 访问权限外，未对 AI 智能体的潜在知识和能力进行任何增强。 本公开仓库不会添加任何红队增强功能。 一个自主网络行动靶场正在作为一个独立项目开发中。 **⚠️ 警告：本实验室允许 AI 智能体运行真实的渗透测试工具。可能会发生容器逃逸或其他安全问题。请密切监控。** ## 架构 ``` ┌──── Red Team (172.20.4.0/24) ─┐ ┌──── DMZ (172.20.1.0/24) ──────────────┐ │ Kali (.30) │──>│ Web App (.20/.25) Mail (.21) │ │ pentest tools, MCP-controlled │ │ DNS (.13) │ └────────────────────────────────┘ └──────────────┬────────────────────────-┘ │ pivot ┌──── Internal (172.20.2.0/24) ─────────┐ │ Samba AD DC (.10) PostgreSQL (.11) │ │ File Server (.12) Linux App Server │ └──────────────┬────────────────────────-┘ │ logs ┌──── Security (172.20.0.0/24) ──────────────────────────────────────────────┐ │ Wazuh Manager (.10) Indexer (.12) Dashboard (.11) │ │ Suricata IDS (.19) MISP (.15) TheHive (.16) + Cortex (.18) │ │ Shuffle SOAR (.17) Reverse Engineering (.27) │ └──────────────────────────────────┬─────────────────────────────────────────┘ │ ┌──── MCP Server Layer ────────────────────────────────────────────────────-─┐ │ mcp-red mcp-wazuh mcp-network mcp-threatintel │ │ mcp-reverse mcp-casemgmt mcp-soar aptl-mcp-common │ └──────────────────────────────────┬─────────────────────────────────────────┘ │ AI Agents ``` ## 快速开始 ``` git clone https://github.com/Brad-Edwards/aptl.git cd aptl # 选项 A: Python CLI (推荐) pip install -e . aptl lab start # 选项 B: Bash script ./start-lab.sh ``` 管理实验室： ``` aptl lab status # Show running containers aptl lab stop # Stop the lab aptl lab stop -v # Stop and remove volumes ``` **访问方式：** - Wazuh Dashboard: (admin/SecretPassword) - Victim SSH: `ssh -i ~/.ssh/aptl_lab_key labadmin@localhost -p 2022` - Kali SSH: `ssh -i ~/.ssh/aptl_lab_key kali@localhost -p 2023` - Reverse Engineering SSH: `ssh -i ~/.ssh/aptl_lab_key labadmin@localhost -p 2027` ## 系统要求 - Docker + Docker Compose - Python 3.11+ (用于 CLI) - 8GB+ 内存, 20GB+ 磁盘空间 - Linux/macOS/WSL2 - 可用端口: 443, 2022, 2023, 2027, 9200, 55000 ## AI 集成 (MCP) 构建所有 MCP 服务器： ``` ./mcp/build-all-mcps.sh ``` 或单独构建： ``` cd mcp/mcp-red && npm install && npm run build && cd ../.. cd mcp/mcp-wazuh && npm install && npm run build && cd ../.. ``` 配置您的 AI 客户端（Claude Code、Cursor、Cline）以连接位于 `./mcp//build/index.js` 的服务端入口点。完整设置请参阅 [MCP 集成](docs/components/mcp-integration.md)。 测试红队：让您的 AI 智能体 "Use kali_info to show me the lab network" 测试蓝队：让您的 AI 智能体 "Use wazuh_query_alerts to show me recent alerts" ## 文档 **入门指南：** - [安装说明](docs/getting-started/installation.md) - [前置条件](docs/getting-started/prerequisites.md) - [快速入门指南](docs/getting-started/quick-start.md) **架构：** - [概述](docs/architecture/index.md) -- 网络拓扑、容器布局、数据流 - [网络](docs/architecture/networking.md) - [企业基础设施](docs/architecture/enterprise-infrastructure.md) -- TechVault 设计理念 **组件：** - [Wazuh SIEM](docs/components/wazuh-siem.md) - [Kali 红队](docs/components/kali-redteam.md) - [受害主机容器](docs/components/victim-containers.md) - [逆向工程](docs/components/reverse-engineering-container.md) - [MCP 集成](docs/components/mcp-integration.md) **场景与运行：** - [SOC 架构规范](docs/specs/soc-feature-spec.md) -- 场景引擎、运行归档、收集器 **测试：** - [冒烟测试计划](docs/testing/smoke-test-plan.md) **参考：** - [TechVault 公司简介](docs/reference/techvault-company-profile.md) - [TechVault OSINT 就绪情况](docs/reference/techvault-osint-readiness.md) - [容器模板指南](docs/containers/victim-template-guide.md) **运维：** - [故障排除](docs/troubleshooting/) - [已知问题](docs/known-issues/uat-findings-2026-02-23.md) ## 安全警告 **⚠️ 重要免责声明：** - **AI 智能体**：本实验室赋予 AI 智能体访问真实渗透测试工具的权限 - **容器安全**：不对容器隔离或逃逸防护做任何保证 - **网络安全**：Docker 网络可能无法阻止所有形式的网络访问 - **主机安全**：如果智能体拥有您主机上的 cli 访问权限，请密切监控 - **法律合规**：您有责任遵守所有适用法律 - **教育用途**：仅供安全研究和培训使用 **作者不对您使用本实验室承担任何责任。** ## 测试凭证声明 本仓库包含**用于实验室功能的故意测试凭证**： - 所有凭证均为用于教育的虚拟/测试值 - 已被 GitGuardian 白名单覆盖 (`.gitguardian.yaml`) - **非生产环境机密** - 适用于教育环境 - 环境中按设计包含易受攻击的配置 ## 许可证 MIT 10-23 AI 黑客恶作剧 🚓

标签：AD 域环境, Agentic AI, AI 智能体, ATT&CK 模拟, C2 检测, CIDR查询, CISA项目, DAST, DNS 反向解析, Docker, Falco, FTP漏洞扫描, HTTP/HTTPS抓包, IP 地址批量处理, MCP, Metaprompt, MITM代理, PE 加载器, Radare2, Shodan, SOAR, Suricata, TheHive, TLS指纹, Wazuh, Web报告查看器, Yara, 云资产清单, 企业内网渗透, 反模式检测, 大模型安全, 威胁情报, 安全编排, 安全运营中心, 安全防御评估, 开发者工具, 态势感知, 恶意软件分析, 敏感词过滤, 沙箱, 测试用例, 漏洞靶场, 现代安全运营, 紫队, 网络安全实验环境, 网络安全审计, 网络攻防, 网络映射, 自动化安全运营, 蓝队防守, 诱导钓鱼, 请求拦截, 逆向工具, 逆向工程, 防御检测