Show HN:AnalystAIPack——118個可執行的惡意軟件分析與逆向工程代理技能
AnalystAIPack 是一個開源的代理技能庫,包含118個經過測試的技能,專為惡意軟件分析、逆向工程和威脅狩獵設計。它解決了通用AI代理在分析惡意軟件時缺乏實踐知識的問題,提供了可運行的腳本、安全設計(只讀分析、無害化IOC)以及基於MITRE ATT&CK等框架的映射。每個技能包含“何時使用”、“工作流”、“驗證”和“陷阱”等部分,確保代理能夠正確應用技術。文章還展示了一個從樣本到檢測的完整示例,展示瞭如何通過鏈式技能完成分析流程。
當您讓一個通用AI代理分析可疑的可執行文件時,它通常會給出聽起來自信但實則無用的回答。它可能會建議“檢查文件是否包含惡意內容”,推薦一個不存在的插件,或者跳過真正關鍵的步驟。模型對惡意軟件分析瞭解很多,但它缺乏分析師的實踐知識:在內存鏡像上運行哪個Volatility 3插件、如何找到加殼程序的原始入口點、如何將恢復的C2配置轉換為Sigma規則,以及同樣重要的——何時不應該信任某個結果。正是為了彌補這一差距,我構建了AnalystAIPack。這是一個開源、採用Apache-2.0許可證的庫,包含118個用於惡意軟件分析、逆向工程和威脅狩獵的代理技能,目前已在GitHub上公開。
AnalystAIPack 是一個以agentskills.io的SKILL.md格式提供的技能庫,可以直接集成到GitHub Copilot、Claude Code、Cursor、Codex CLI、Gemini CLI或任何兼容的代理中。它刻意採用深度優先的方法,而不是一個龐大而淺薄的目錄,它覆蓋了四個緊密範圍的子領域,映射了分析師實際的工作方式。這四個子領域分別是:實驗室基礎(安全處理、實驗室設置、分類、哈希、文件識別、IOC格式、報告)、惡意軟件分析(靜態、動態、行為和內存分析;文檔和腳本惡意軟件;家族)、逆向工程(反彙編和反編譯、解包、去混淆、對抗反分析、特定語言逆向)、威脅狩獵(假設驅動的狩獵、端點、網絡和身份遙測、檢測工程)。
該庫有三個特點使其區別於普通的提示文件夾。首先,每個技能都是可執行的。所有118個技能都附帶一個經過測試的scripts/analyst.py腳本,執行分析而不僅僅是描述。它們依賴Python標準庫,在缺少可選依賴時優雅降級,並通過倉庫範圍的冒煙測試和CI門控進行覆蓋。工具確實是可用的,不僅僅是讀起來好。其次,設計上確保安全。腳本執行靜態只讀分析,從不執行樣本。IOC以無害化格式輸出(hxxp://、1[.]2[.]3[.]4),每個樣本處理技能都包含明確的“安全與處理”部分,假設在隔離實驗室中運行。倉庫不包含任何活躍的惡意軟件。第三,從防禦者的框架視角出發。技能映射到MITRE ATT&CK、MITRE D3FEND以及用於狩獵的MITRE CAR,選擇這些框架是因為它們比合規性檢查表更適合逆向工程、惡意軟件分析和威脅狩獵。這種映射讓代理能夠報告覆蓋範圍並將發現納入檢測工程。每個技能都遵循相同的主體契約:“何時使用”(包含明確的“不要使用”)、工作流、驗證和陷阱,因此代理始終知道技術的邊界,而不是盲目應用。
文章還通過一個從樣本到檢測的端到端示例展示了技能的鏈式應用。八個技能串聯起來,從未知的suspicious.exe開始,到可持久的檢測結束,每個腳本的JSON輸出作為下一個的輸入。具體步驟包括:對未知文件進行分類、執行PE靜態分析、通過熵值檢測加殼、手動解包到原始入口點、提取Cobalt Strike Beacon配置、無害化並打包IOC、在流量中狩獵IOC、編寫Sigma檢測規則。通過命令行驅動,整個過程簡潔高效。例如,運行的命令有:python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe 和 python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin。AnalystAIPack 的目標是橋接通用AI與專業分析師之間的知識鴻溝,使代理能夠執行真正實用的分析任務,而不是給出模糊的建議。該庫已在GitHub上公開,採用Apache-2.0許可證,可直接集成到各種代理環境中。