Avai – 你的第一款AI殺毒軟件

Avai 是一款創新的開源安全工具，旨在讓用户清楚瞭解自己機器上正在運行的內容。它通過一個 Docker 容器即可部署，集成了主機遙測和基於大型語言模型（LLM）的威脅分類器。

Avai 能夠對主機進行全面的快照採集，包括進程、USB 設備、持久化機制、文件完整性、瀏覽器擴展、網絡連接等 26 個方面（macOS 上為 26 個，Linux 上為 21 個）。每項新發現都會與多達 17 個威脅情報源進行比對，例如 VirusTotal、MalwareBazaar、URLhaus、CISA KEV、Shodan、AbuseIPDB 等。然後，它利用類似 Claude 的 LLM 來判斷哪些項目值得關注，並給出惡意、可疑、未知或良性的判定結果，同時附上 MITRE 對齊的類別、置信度以及一行修復建議。

Avai 的設計強調簡潔和隱私。它不需要安裝代理、不需要 SIEM 系統，也沒有云控制平面。所有數據都存儲在本地 SQLite 數據庫中，儀表盤通過 Flask + HTMX 構建，運行在 8765 端口上，只讀展示。用户只需提供自己的 API 密鑰（如 Anthropic 的密鑰），即可開始使用。

安裝和使用非常靈活。默認情況下，Avai 以儀表盤模式運行，也可以切換到監控模式，後者需要更高的權限來讀取主機狀態。用户可以通過 Docker 一鍵啓動，也可以選擇原生安裝。監控模式支持一次性掃描或持續監控，並可通過 systemd 管理。

Avai 還提供了豐富的配置選項，例如自定義 LLM 模型、控制每次判定的數量、啓用或禁用特定威脅情報源等。它的成本控制也很出色，因為只有新出現的工件才會被髮送給 LLM 進行判定，且威脅情報結果會緩存，因此安靜的主機幾乎不會產生 API 調用。

此外，Avai 支持分離部署：監控端在服務器上運行，儀表盤可在任何地方讀取同步的數據庫文件。用户還可以從命令行直接查詢 SQLite 數據庫，獲取當前威脅發現。LLM 模型也支持多種選擇，包括 Claude、GPT、Gemini，甚至本地運行的 Ollama 模型。

對於希望深入瞭解主機安全狀況的開發者和系統管理員來説，Avai 提供了一個輕量級、透明且強大的解決方案。它完全開源，代碼託管在 GitHub 上，並附有詳細的文檔和示例。