AI News HubLIVE
站內改寫1 分鐘閱讀

Show HN: AnalystAIPack – 118個可執行的惡意軟體分析與逆向工程Agent技能

AnalystAIPack是一個開源Agent技能庫,專為惡意軟體分析、逆向工程和威脅狩獵設計,包含118個精心策劃且可執行的技能,每個技能都附有測試指令碼,並對映到MITRE ATT&CK、D3FEND和CAR框架。專案強調深度而非廣度,所有指令碼均為只讀分析,安全可靠。

來源Hacker News AI作者: sdkhere

AnalystAIPack是一個開源的Agent技能庫,旨在為AI Agent提供惡意軟體分析師和威脅獵手的專業知識。該專案包含118個精心策劃的技能,覆蓋惡意軟體分析、逆向工程、威脅狩獵和實驗室基礎四個緊密相關的子領域。每個技能不僅包含詳細的說明文件,還附帶一個可執行的Python指令碼,確保Agent能夠真正執行分析任務,而不僅僅是閱讀文本。

與那些追求廣度的專案不同,AnalystAIPack更注重深度。它的技能專注於分析師的實際工作流程,例如從樣本的初步分類、靜態分析、熵檢測打包、手動解包、C2配置提取,到最終的規則編寫(如Sigma和YARA)。這些技能透過MITRE ATT&CK、D3FEND和CAR框架進行了對映,使其更適合防禦者的視角。

安全性是設計的重要考量。所有分析指令碼均為只讀操作,不會執行樣本。輸出中的IOC(入侵指標)會自動去毒化,防止誤操作。樣本處理技能還包含明確的安全與處理章節,確保在隔離的分析實驗室中安全使用。

專案提供了一套統一的CLI工具(analyst-pack),可用於發現、搜尋、執行和驗證技能。例如,使用者可以使用python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe來對可疑檔案進行初步分類,或者使用python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin來提取C2配置。所有指令碼輸出結構化的、去毒化的JSON,可直接用於報告或SIEM系統。

此外,它支援與多種AI Agent平臺整合,包括Claude Code、GitHub Copilot、Cursor等。使用者只需將Agent指向技能目錄,即可讓Agent呼叫這些技能完成複雜的分析任務。例如,在GitHub Copilot的Agent模式下,使用者可以提問“Hunt for LOLBin abuse in events.csv”,Copilot會自動呼叫相應的威脅狩獵技能。

AnalystAIPack是一個個人獨立專案,與Anthropic、MITRE等組織無關。它基於多種主要來源從頭構建,確保內容的原創性。專案採用Apache 2.0許可證,歡迎社群貢獻。