Avai – 你的第一款AI杀毒软件

Avai 是一款创新的开源安全工具，旨在让用户清楚了解自己机器上正在运行的内容。它通过一个 Docker 容器即可部署，集成了主机遥测和基于大型语言模型（LLM）的威胁分类器。

Avai 能够对主机进行全面的快照采集，包括进程、USB 设备、持久化机制、文件完整性、浏览器扩展、网络连接等 26 个方面（macOS 上为 26 个，Linux 上为 21 个）。每项新发现都会与多达 17 个威胁情报源进行比对，例如 VirusTotal、MalwareBazaar、URLhaus、CISA KEV、Shodan、AbuseIPDB 等。然后，它利用类似 Claude 的 LLM 来判断哪些项目值得关注，并给出恶意、可疑、未知或良性的判定结果，同时附上 MITRE 对齐的类别、置信度以及一行修复建议。

Avai 的设计强调简洁和隐私。它不需要安装代理、不需要 SIEM 系统，也没有云控制平面。所有数据都存储在本地 SQLite 数据库中，仪表盘通过 Flask + HTMX 构建，运行在 8765 端口上，只读展示。用户只需提供自己的 API 密钥（如 Anthropic 的密钥），即可开始使用。

安装和使用非常灵活。默认情况下，Avai 以仪表盘模式运行，也可以切换到监控模式，后者需要更高的权限来读取主机状态。用户可以通过 Docker 一键启动，也可以选择原生安装。监控模式支持一次性扫描或持续监控，并可通过 systemd 管理。

Avai 还提供了丰富的配置选项，例如自定义 LLM 模型、控制每次判定的数量、启用或禁用特定威胁情报源等。它的成本控制也很出色，因为只有新出现的工件才会被发送给 LLM 进行判定，且威胁情报结果会缓存，因此安静的主机几乎不会产生 API 调用。

此外，Avai 支持分离部署：监控端在服务器上运行，仪表盘可在任何地方读取同步的数据库文件。用户还可以从命令行直接查询 SQLite 数据库，获取当前威胁发现。LLM 模型也支持多种选择，包括 Claude、GPT、Gemini，甚至本地运行的 Ollama 模型。

对于希望深入了解主机安全状况的开发者和系统管理员来说，Avai 提供了一个轻量级、透明且强大的解决方案。它完全开源，代码托管在 GitHub 上，并附有详细的文档和示例。