Show HN: AnalystAIPack – 118個可運行的惡意軟件分析與逆向工程Agent技能
AnalystAIPack是一個開源Agent技能庫,專為惡意軟件分析、逆向工程和威脅狩獵設計,包含118個精心策劃且可運行的技能,每個技能都附有測試腳本,並映射到MITRE ATT&CK、D3FEND和CAR框架。項目強調深度而非廣度,所有腳本均為只讀分析,安全可靠。
AnalystAIPack是一個開源的Agent技能庫,旨在為AI Agent提供惡意軟件分析師和威脅獵手的專業知識。該項目包含118個精心策劃的技能,覆蓋惡意軟件分析、逆向工程、威脅狩獵和實驗室基礎四個緊密相關的子領域。每個技能不僅包含詳細的説明文檔,還附帶一個可運行的Python腳本,確保Agent能夠真正執行分析任務,而不僅僅是閲讀文本。
與那些追求廣度的項目不同,AnalystAIPack更注重深度。它的技能專注於分析師的實際工作流程,例如從樣本的初步分類、靜態分析、熵檢測打包、手動解包、C2配置提取,到最終的規則編寫(如Sigma和YARA)。這些技能通過MITRE ATT&CK、D3FEND和CAR框架進行了映射,使其更適合防禦者的視角。
安全性是設計的重要考量。所有分析腳本均為只讀操作,不會執行樣本。輸出中的IOC(入侵指標)會自動去毒化,防止誤操作。樣本處理技能還包含明確的安全與處理章節,確保在隔離的分析實驗室中安全使用。
項目提供了一套統一的CLI工具(analyst-pack),可用於發現、搜索、運行和驗證技能。例如,用户可以使用python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe來對可疑文件進行初步分類,或者使用python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin來提取C2配置。所有腳本輸出結構化的、去毒化的JSON,可直接用於報告或SIEM系統。
此外,它支持與多種AI Agent平台集成,包括Claude Code、GitHub Copilot、Cursor等。用户只需將Agent指向技能目錄,即可讓Agent調用這些技能完成複雜的分析任務。例如,在GitHub Copilot的Agent模式下,用户可以提問“Hunt for LOLBin abuse in events.csv”,Copilot會自動調用相應的威脅狩獵技能。
AnalystAIPack是一個個人獨立項目,與Anthropic、MITRE等組織無關。它基於多種主要來源從頭構建,確保內容的原創性。項目採用Apache 2.0許可證,歡迎社區貢獻。