Avai – 你的第一款AI防毒軟體

Avai 是一款創新的開源安全工具，旨在讓使用者清楚瞭解自己機器上正在執行的內容。它透過一個 Docker 容器即可部署，整合了主機遙測和基於大型語言模型（LLM）的威脅分類器。

Avai 能夠對主機進行全面的快照採集，包括程序、USB 裝置、持久化機制、檔案完整性、瀏覽器擴充套件、網路連線等 26 個方面（macOS 上為 26 個，Linux 上為 21 個）。每項新發現都會與多達 17 個威脅情報源進行比對，例如 VirusTotal、MalwareBazaar、URLhaus、CISA KEV、Shodan、AbuseIPDB 等。然後，它利用類似 Claude 的 LLM 來判斷哪些專案值得關注，並給出惡意、可疑、未知或良性的判定結果，同時附上 MITRE 對齊的類別、置信度以及一行修復建議。

Avai 的設計強調簡潔和隱私。它不需要安裝代理、不需要 SIEM 系統，也沒有云控制平面。所有資料都儲存在本地 SQLite 資料庫中，儀表盤透過 Flask + HTMX 構建，執行在 8765 埠上，只讀展示。使用者只需提供自己的 API 金鑰（如 Anthropic 的金鑰），即可開始使用。

安裝和使用非常靈活。預設情況下，Avai 以儀表盤模式執行，也可以切換到監控模式，後者需要更高的許可權來讀取主機狀態。使用者可以透過 Docker 一鍵啟動，也可以選擇原生安裝。監控模式支援一次性掃描或持續監控，並可透過 systemd 管理。

Avai 還提供了豐富的配置選項，例如自定義 LLM 模型、控制每次判定的數量、啟用或停用特定威脅情報源等。它的成本控制也很出色，因為只有新出現的工件才會被髮送給 LLM 進行判定，且威脅情報結果會快取，因此安靜的主機幾乎不會產生 API 呼叫。

此外，Avai 支援分離部署：監控端在伺服器上執行，儀表盤可在任何地方讀取同步的資料庫檔案。使用者還可以從命令列直接查詢 SQLite 資料庫，獲取當前威脅發現。LLM 模型也支援多種選擇，包括 Claude、GPT、Gemini，甚至本地執行的 Ollama 模型。

對於希望深入瞭解主機安全狀況的開發者和系統管理員來說，Avai 提供了一個輕量級、透明且強大的解決方案。它完全開源，程式碼託管在 GitHub 上，並附有詳細的文件和示例。