AI News HubLIVE
站内改写1 分钟阅读

Show HN: AnalystAIPack – 118个可运行的恶意软件分析与逆向工程Agent技能

AnalystAIPack是一个开源Agent技能库,专为恶意软件分析、逆向工程和威胁狩猎设计,包含118个精心策划且可运行的技能,每个技能都附有测试脚本,并映射到MITRE ATT&CK、D3FEND和CAR框架。项目强调深度而非广度,所有脚本均为只读分析,安全可靠。

来源Hacker News AI作者: sdkhere

AnalystAIPack是一个开源的Agent技能库,旨在为AI Agent提供恶意软件分析师和威胁猎手的专业知识。该项目包含118个精心策划的技能,覆盖恶意软件分析、逆向工程、威胁狩猎和实验室基础四个紧密相关的子领域。每个技能不仅包含详细的说明文档,还附带一个可运行的Python脚本,确保Agent能够真正执行分析任务,而不仅仅是阅读文本。

与那些追求广度的项目不同,AnalystAIPack更注重深度。它的技能专注于分析师的实际工作流程,例如从样本的初步分类、静态分析、熵检测打包、手动解包、C2配置提取,到最终的规则编写(如Sigma和YARA)。这些技能通过MITRE ATT&CK、D3FEND和CAR框架进行了映射,使其更适合防御者的视角。

安全性是设计的重要考量。所有分析脚本均为只读操作,不会执行样本。输出中的IOC(入侵指标)会自动去毒化,防止误操作。样本处理技能还包含明确的安全与处理章节,确保在隔离的分析实验室中安全使用。

项目提供了一套统一的CLI工具(analyst-pack),可用于发现、搜索、运行和验证技能。例如,用户可以使用python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe来对可疑文件进行初步分类,或者使用python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin来提取C2配置。所有脚本输出结构化的、去毒化的JSON,可直接用于报告或SIEM系统。

此外,它支持与多种AI Agent平台集成,包括Claude Code、GitHub Copilot、Cursor等。用户只需将Agent指向技能目录,即可让Agent调用这些技能完成复杂的分析任务。例如,在GitHub Copilot的Agent模式下,用户可以提问“Hunt for LOLBin abuse in events.csv”,Copilot会自动调用相应的威胁狩猎技能。

AnalystAIPack是一个个人独立项目,与Anthropic、MITRE等组织无关。它基于多种主要来源从头构建,确保内容的原创性。项目采用Apache 2.0许可证,欢迎社区贡献。