[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"similar-FunnyWolf--agentic-soc-platform":3,"tool-FunnyWolf--agentic-soc-platform":62},[4,18,26,36,46,54],{"id":5,"name":6,"github_repo":7,"description_zh":8,"stars":9,"difficulty_score":10,"last_commit_at":11,"category_tags":12,"status":17},4358,"openclaw","openclaw\u002Fopenclaw","OpenClaw 是一款专为个人打造的本地化 AI 助手，旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚，能够直接接入你日常使用的各类通讯渠道，包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息，OpenClaw 都能即时响应，甚至支持在 macOS、iOS 和 Android 设备上进行语音交互，并提供实时的画布渲染功能供你操控。\n\n这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地，用户无需依赖云端服务即可享受快速、私密的智能辅助，真正实现了“你的数据，你做主”。其独特的技术亮点在于强大的网关架构，将控制平面与核心助手分离，确保跨平台通信的流畅性与扩展性。\n\nOpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者，以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力（支持 macOS、Linux 及 Windows WSL2），即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你",349277,3,"2026-04-06T06:32:30",[13,14,15,16],"Agent","开发框架","图像","数据工具","ready",{"id":19,"name":20,"github_repo":21,"description_zh":22,"stars":23,"difficulty_score":10,"last_commit_at":24,"category_tags":25,"status":17},3808,"stable-diffusion-webui","AUTOMATIC1111\u002Fstable-diffusion-webui","stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。\n\n无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。",162132,"2026-04-05T11:01:52",[14,15,13],{"id":27,"name":28,"github_repo":29,"description_zh":30,"stars":31,"difficulty_score":32,"last_commit_at":33,"category_tags":34,"status":17},1381,"everything-claude-code","affaan-m\u002Feverything-claude-code","everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。\n\n通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。\n\n这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上",159267,2,"2026-04-17T11:29:14",[14,13,35],"语言模型",{"id":37,"name":38,"github_repo":39,"description_zh":40,"stars":41,"difficulty_score":42,"last_commit_at":43,"category_tags":44,"status":17},8272,"opencode","anomalyco\u002Fopencode","OpenCode 是一款开源的 AI 编程助手（Coding Agent），旨在像一位智能搭档一样融入您的开发流程。它不仅仅是一个代码补全插件，而是一个能够理解项目上下文、自主规划任务并执行复杂编码操作的智能体。无论是生成全新功能、重构现有代码，还是排查难以定位的 Bug，OpenCode 都能通过自然语言交互高效完成，显著减少开发者在重复性劳动和上下文切换上的时间消耗。\n\n这款工具专为软件开发者、工程师及技术研究人员设计，特别适合希望利用大模型能力来提升编码效率、加速原型开发或处理遗留代码维护的专业人群。其核心亮点在于完全开源的架构，这意味着用户可以审查代码逻辑、自定义行为策略，甚至私有化部署以保障数据安全，彻底打破了传统闭源 AI 助手的“黑盒”限制。\n\n在技术体验上，OpenCode 提供了灵活的终端界面（Terminal UI）和正在测试中的桌面应用程序，支持 macOS、Windows 及 Linux 全平台。它兼容多种包管理工具，安装便捷，并能无缝集成到现有的开发环境中。无论您是追求极致控制权的资深极客，还是渴望提升产出的独立开发者，OpenCode 都提供了一个透明、可信",144296,1,"2026-04-16T14:50:03",[13,45],"插件",{"id":47,"name":48,"github_repo":49,"description_zh":50,"stars":51,"difficulty_score":32,"last_commit_at":52,"category_tags":53,"status":17},2271,"ComfyUI","Comfy-Org\u002FComfyUI","ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。\n\n这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。\n\n无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。",108322,"2026-04-10T11:39:34",[14,15,13],{"id":55,"name":56,"github_repo":57,"description_zh":58,"stars":59,"difficulty_score":32,"last_commit_at":60,"category_tags":61,"status":17},6121,"gemini-cli","google-gemini\u002Fgemini-cli","gemini-cli 是一款由谷歌推出的开源 AI 命令行工具，它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言，它提供了一条从输入提示词到获取模型响应的最短路径，无需切换窗口即可享受智能辅助。\n\n这款工具主要解决了开发过程中频繁上下文切换的痛点，让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用，还是执行复杂的 Git 操作，gemini-cli 都能通过自然语言指令高效处理。\n\n它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口，具备出色的逻辑推理能力；内置 Google 搜索、文件操作及 Shell 命令执行等实用工具；更独特的是，它支持 MCP（模型上下文协议），允许用户灵活扩展自定义集成，连接如图像生成等外部能力。此外，个人谷歌账号即可享受免费的额度支持，且项目基于 Apache 2.0 协议完全开源，是提升终端工作效率的理想助手。",100752,"2026-04-10T01:20:03",[45,13,15,14],{"id":63,"github_repo":64,"name":65,"description_en":66,"description_zh":67,"ai_summary_zh":67,"readme_en":68,"readme_zh":69,"quickstart_zh":70,"use_case_zh":71,"hero_image_url":72,"owner_login":73,"owner_name":74,"owner_avatar_url":75,"owner_bio":76,"owner_company":77,"owner_location":77,"owner_email":78,"owner_twitter":77,"owner_website":77,"owner_url":79,"languages":80,"stars":85,"forks":86,"last_commit_at":87,"license":88,"difficulty_score":89,"env_os":90,"env_gpu":91,"env_ram":90,"env_deps":92,"category_tags":102,"github_topics":103,"view_count":32,"oss_zip_url":77,"oss_zip_packed_at":77,"status":17,"created_at":113,"updated_at":114,"faqs":115,"releases":142},8656,"FunnyWolf\u002Fagentic-soc-platform","agentic-soc-platform","Agentic SOC Platform: A powerful, flexible, open-source, and agent-centric automated security operations platform","agentic-soc-platform 是一款以智能体为核心的开源自动化安全运营平台，旨在帮助团队高效应对日益复杂的网络安全威胁。它主要解决了传统安全运营中告警分析耗时、响应流程繁琐以及数据隐私难以保障等痛点，通过引入 AI 驱动的智能决策，实现从告警接收到自动处置的全流程闭环。\n\n该平台非常适合安全运营分析师、SOC 团队负责人以及具备 Python 开发能力的技术专家使用。其独特亮点在于深度集成了 Langgraph 和 Dify 等 AI 智能体框架，支持本地部署大语言模型，在确保企业数据不出域的前提下，大幅提升告警研判的准确性。此外，agentic-soc-platform 内置了基于 Nocoly 的安全事件响应平台（SIRP），允许用户灵活定制工作流与界面；架构上采用 Webhook 结合 Redis Stream 机制，原生兼容 Splunk、Kibana 等主流 SIEM 系统，既能处理实时流式告警，也能执行按需触发的自动化剧本，是构建现代化、智能化安全防御体系的得力助手。","![cover-v5-optimized](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_9f090078f2a8.png)\n\n\u003Cp align=\"center\">\n  \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FDevelopment\u002Fenvironment_setup\u002F\">Getting-started\u003C\u002Fa> ·\n  \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FIntroduction\u002Fwhat_is_asf\u002F\">Documentation\u003C\u002Fa>\n\u003C\u002Fp>\n\n\u003Cp align=\"center\">\n    \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002F\" target=\"_blank\">\n        \u003Cimg alt=\"Static Badge\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002FWebsite-F04438\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002Fgraphs\u002Fcommit-activity\" target=\"_blank\">\n        \u003Cimg alt=\"Commits last month\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fcommit-activity\u002Fm\u002Ffunnywolf\u002Fagentic-soc-platform?labelColor=%20%2332b583&color=%20%2312b76a\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002F\" target=\"_blank\">\n        \u003Cimg alt=\"Issues closed\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fissues-search?query=repo%3Afunnywolf%2Fagentic-soc-platform%20is%3Aclosed&label=issues%20closed&labelColor=%20%237d89b0&color=%20%235d6b98\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002Freleases\" target=\"_blank\">\n        \u003Cimg alt=\"Release\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fv\u002Frelease\u002Ffunnywolf\u002Fagentic-soc-platform?style=flat&label=Release&color=limegreen\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fdeepwiki.com\u002FFunnyWolf\u002Fagentic-soc-platform\">\u003Cimg src=\"https:\u002F\u002Fdeepwiki.com\u002Fbadge.svg\" alt=\"Ask DeepWiki\">\u003C\u002Fa>\n\u003C\u002Fp>\n\n\u003Cp align=\"center\">\n  \u003Ca href=\".\u002FREADME.md\">\u003Cimg alt=\"README in English\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002FEnglish-d9d9d9\">\u003C\u002Fa>\n  \u003Ca href=\".\u002FREADME_ZH.md\">\u003Cimg alt=\"简体中文版自述文件\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002F简体中文-d9d9d9\">\u003C\u002Fa>\n\u003C\u002Fp>\n\n\n**Agentic SOC Platform** A powerful, flexible, open-source, and agent-centric automated security operations platform.\n\n## Core Features\n\n- 🧠 **AI-driven Intelligence**: Utilizes built-in AI Agent templates like Langgraph and Dify, supporting local LLMs to\n  enhance alert analysis and automated response capabilities.\n- 📊 **Built-in SIRP Platform**: Comes with a ready-to-use Security Incident Response Platform (SIRP) built on Nocoly,\n  allowing for rapid customization of user interfaces, data models, reports, and workflows.\n- ⚙️ **Powerful Automation Workflow**: Achieves efficient alert processing through Webhook + Redis Stream, natively\n  supporting mainstream SIEM platforms such as Splunk and Kibana (ELK).\n- 🛠️ **Highly Extensible**: Provides a rich library of modules and plugins. The entire framework is written in Python,\n  facilitating secondary development and integration with various security devices and APIs.\n- 🛡️ **Local Deployment & Data Control**: Supports complete local deployment. All data, models, and operations can be\n  hosted within your own environment, ensuring enterprise data security and privacy.\n- ⚡ **Streaming and Batch Processing**: Offers streaming processing (modules) for real-time alert analysis and\n  event-driven automation (playbooks) for user-triggered tasks.\n\n## Architecture Overview\n\nASP processes security alerts and incidents through a simplified multi-stage process:\n\n1. **SIEM\u002FAlert Sources**: EDR, NDR, or other security tools send alerts to a SIEM (e.g., Splunk, Kibana).\n2. **Webhook Forwarder**: The SIEM forwards these alerts via Webhook to the ASP's built-in Webhook receiver.\n3. **Redis Stream**: The receiver pushes the alerts to the corresponding Redis Stream, serving as a persistent message\n   queue. Each alert type has its own stream.\n4. **Module ModuleEngine**: ASP **modules** consume alerts from their designated streams, perform analysis (often using AI\n   Agents), enrich data, and determine outcomes.\n5. **SIRP Platform**: The output of the modules (now formatted into standardized security records) is sent to the **SIRP\n   ** platform, where cases, alerts, and artifacts are created or updated.\n6. **PlaybookLoader ModuleEngine**: Analysts can trigger **playbooks** from the SIRP user interface against cases, alerts, or\n   artifacts to perform further automated actions, such as threat intelligence enrichment or remediation.\n\n![img_1.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_ea046a643a38.png)\n![img_2.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_fb48e8eff401.png)\n![img_2.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_ebbd27f07002.png)\n![img_3.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_040e33068e17.png)\n![img_4.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_6b820b790378.png)\n\n## Official Website\n\n[https:\u002F\u002Fasp.viperrtp.com](https:\u002F\u002Fasp.viperrtp.com)\n\n## 404Starlink\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_6a854c4039e0.png\" width=\"30%\">\n\nAgentic SOC Platform has joined [404Starlink](https:\u002F\u002Fgithub.com\u002Fknownsec\u002F404StarLink)","![cover-v5-optimized](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_9f090078f2a8.png)\n\n\u003Cp align=\"center\">\n  \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FDevelopment\u002Fenvironment_setup\u002F\">入门指南\u003C\u002Fa> ·\n  \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FIntroduction\u002Fwhat_is_asf\u002F\">文档\u003C\u002Fa>\n\u003C\u002Fp>\n\n\u003Cp align=\"center\">\n    \u003Ca href=\"https:\u002F\u002Fasp.viperrtp.com\u002F\" target=\"_blank\">\n        \u003Cimg alt=\"静态徽章\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002F官网-F04438\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002Fgraphs\u002Fcommit-activity\" target=\"_blank\">\n        \u003Cimg alt=\"最近一个月的提交量\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fcommit-activity\u002Fm\u002Ffunnywolf\u002Fagentic-soc-platform?labelColor=%20%2332b583&color=%20%2312b76a\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002F\" target=\"_blank\">\n        \u003Cimg alt=\"已关闭的问题数\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fissues-search?query=repo%3Afunnywolf%2Fagentic-soc-platform%20is%3Aclosed&label=已关闭的问题数&labelColor=%20%237d89b0&color=%20%235d6b98\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform\u002Freleases\" target=\"_blank\">\n        \u003Cimg alt=\"发布版本\" src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Fv\u002Frelease\u002Ffunnywolf\u002Fagentic-soc-platform?style=flat&label=发布版本&color=limegreen\">\u003C\u002Fa>\n    \u003Ca href=\"https:\u002F\u002Fdeepwiki.com\u002FFunnyWolf\u002Fagentic-soc-platform\">\u003Cimg src=\"https:\u002F\u002Fdeepwiki.com\u002Fbadge.svg\" alt=\"向DeepWiki提问\">\u003C\u002Fa>\n\u003C\u002Fp>\n\n\u003Cp align=\"center\">\n  \u003Ca href=\".\u002FREADME.md\">\u003Cimg alt=\"英文版自述文件\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002F英语-d9d9d9\">\u003C\u002Fa>\n  \u003Ca href=\".\u002FREADME_ZH.md\">\u003Cimg alt=\"简体中文版自述文件\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002F简体中文-d9d9d9\">\u003C\u002Fa>\n\u003C\u002Fp>\n\n\n**Agentic SOC 平台** 是一款功能强大、灵活易用、开源且以智能代理为核心的自动化安全运营平台。\n\n## 核心特性\n\n- 🧠 **AI 驱动的情报分析**：内置 Langgraph 和 Dify 等 AI 代理模板，支持本地 LLM 模型，显著提升告警分析与自动化响应能力。\n- 📊 **内置 SIRP 平台**：基于 Nocoly 构建的即用型安全事件响应平台（SIRP），可快速定制用户界面、数据模型、报告和工作流。\n- ⚙️ **强大的自动化工作流**：通过 Webhook + Redis Stream 实现高效的告警处理，原生支持 Splunk、Kibana (ELK) 等主流 SIEM 平台。\n- 🛠️ **高度可扩展性**：提供丰富的模块和插件库。整个框架采用 Python 编写，便于二次开发及与各类安全设备和 API 的集成。\n- 🛡️ **本地化部署与数据可控**：支持完全本地化部署，所有数据、模型和操作均可托管在企业自有环境中，确保数据安全与隐私。\n- ⚡ **流式与批处理结合**：提供实时告警分析的流式处理模块，以及由用户触发的任务驱动型自动化剧本（Playbook）。\n\n## 架构概览\n\nASP 通过一个简化的多阶段流程来处理安全告警和事件：\n\n1. **SIEM\u002F告警源**：EDR、NDR 或其他安全工具将告警发送至 SIEM（如 Splunk、Kibana）。\n2. **Webhook 转发器**：SIEM 将这些告警通过 Webhook 转发到 ASP 内置的 Webhook 接收器。\n3. **Redis Stream**：接收器将告警推送到对应的 Redis Stream 中，作为持久化的消息队列。每种告警类型都有独立的 Stream。\n4. **模块引擎**：ASP 的 **模块** 从各自指定的 Stream 中消费告警，执行分析（通常借助 AI 代理）、数据丰富化，并决定处理结果。\n5. **SIRP 平台**：模块输出的结果（现已格式化为标准化的安全记录）被发送至 **SIRP** 平台，在那里创建或更新案件、告警和证据。\n6. **剧本加载器模块引擎**：分析师可通过 SIRP 用户界面针对案件、告警或证据触发 **剧本**，以执行进一步的自动化操作，例如威胁情报补充或修复行动。\n\n![img_1.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_ea046a643a38.png)\n![img_2.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_fb48e8eff401.png)\n![img_2.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_ebbd27f07002.png)\n![img_3.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_040e33068e17.png)\n![img_4.webp](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_6b820b790378.png)\n\n## 官方网站\n\n[https:\u002F\u002Fasp.viperrtp.com](https:\u002F\u002Fasp.viperrtp.com)\n\n## 404Starlink\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_readme_6a854c4039e0.png\" width=\"30%\">\n\nAgentic SOC 平台已加入 [404Starlink](https:\u002F\u002Fgithub.com\u002Fknownsec\u002F404StarLink)","# Agentic SOC Platform 快速上手指南\n\nAgentic SOC Platform (ASP) 是一个强大、灵活且以智能体（Agent）为核心的开源自动化安全运营平台。它结合了 AI 驱动的分析能力与内置的安全事件响应平台（SIRP），旨在提升告警分析与自动化响应的效率。\n\n## 1. 环境准备\n\n在开始之前，请确保您的服务器满足以下系统要求和前置依赖：\n\n### 系统要求\n- **操作系统**: Linux (推荐 Ubuntu 20.04+ 或 CentOS 7+)\n- **架构**: x86_64 或 ARM64\n- **内存**: 建议至少 8GB RAM（若运行本地大模型需更多）\n- **磁盘**: 至少 20GB 可用空间\n\n### 前置依赖\n- **Docker**: 版本 20.10+\n- **Docker Compose**: 版本 2.0+\n- **Git**: 用于克隆代码仓库\n- **Python**: 3.9+ (仅在进行二次开发或自定义模块时需要)\n\n> **国内加速建议**：\n> 如果在国内网络环境下安装 Docker 镜像较慢，建议配置 Docker 国内镜像加速器（如阿里云、腾讯云、网易云等）。\n> 编辑 `\u002Fetc\u002Fdocker\u002Fdaemon.json` (若不存在则创建)，添加以下内容（以阿里云为例）：\n> ```json\n> {\n>   \"registry-mirrors\": [\"https:\u002F\u002F\u003Cyour-id>.mirror.aliyuncs.com\"]\n> }\n> ```\n> 重启 Docker 服务：`sudo systemctl restart docker`\n\n## 2. 安装步骤\n\n### 第一步：克隆项目\n```bash\ngit clone https:\u002F\u002Fgithub.com\u002Ffunnywolf\u002Fagentic-soc-platform.git\ncd agentic-soc-platform\n```\n\n### 第二步：配置环境变量\n复制示例配置文件并根据实际需求修改（特别是涉及本地 LLM 地址或密钥的部分）：\n```bash\ncp .env.example .env\n# 使用编辑器修改 .env 文件\nvim .env\n```\n\n### 第三步：启动服务\n使用 Docker Compose 一键启动所有核心组件（包括 Redis, Webhook Receiver, ModuleEngine, SIRP 等）：\n```bash\ndocker compose up -d\n```\n\n### 第四步：验证安装\n检查容器运行状态：\n```bash\ndocker compose ps\n```\n确保所有服务状态均为 `Up`。默认情况下，SIRP 平台界面可通过浏览器访问 `http:\u002F\u002F\u003C服务器 IP>:8080` (具体端口请参考 `.env` 配置)。\n\n## 3. 基本使用\n\n以下是最简单的流程示例：从 SIEM 接收告警并自动创建工单。\n\n### 场景描述\n假设您正在使用 Splunk 或 Kibana 作为 SIEM，当产生高危告警时，通过 Webhook 发送给 ASP，ASP 自动分析并生成安全事件。\n\n### 步骤 1：配置 SIEM 发送告警\n在您的 SIEM 系统中配置 Alert Action，将告警以 JSON 格式 POST 到 ASP 的 Webhook 接收地址：\n`http:\u002F\u002F\u003CASP 服务器 IP>:5000\u002Fwebhook\u002Falerts`\n\n**示例 Payload (Splunk Alert):**\n```json\n{\n  \"source\": \"splunk\",\n  \"alert_name\": \"Brute Force Attack Detected\",\n  \"severity\": \"high\",\n  \"src_ip\": \"192.168.1.100\",\n  \"dest_ip\": \"10.0.0.5\",\n  \"timestamp\": \"2023-10-27T10:00:00Z\"\n}\n```\n\n### 步骤 2：查看自动处理结果\n1. 登录 SIRP 平台界面 (`http:\u002F\u002F\u003CASP 服务器 IP>:8080`)。\n2. 进入 **Cases** 或 **Alerts** 页面。\n3. 您将看到一条新生成的安全事件记录，其中包含由 AI Agent 自动 enrich（增强）的上下文信息和分析结论。\n\n### 步骤 3：触发自动化剧本 (Playbook)\n在 SIRP 界面上选中该事件，点击 **Run Playbook**，选择预设的剧本（例如“威胁情报查询”或“主机隔离”），系统将自动执行后续响应动作。\n\n---\n*更多详细文档、自定义模块开发指南及高级配置，请访问官方文档：https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FIntroduction\u002Fwhat_is_asf\u002F*","某中型电商企业的安全运营团队每天需处理来自 Splunk 的数百条 EDR 告警，面对海量数据往往疲于奔命。\n\n### 没有 agentic-soc-platform 时\n- **人工分析效率低下**：分析师需手动登录多个系统查询日志，每条告警平均耗时 20 分钟，难以应对突发流量高峰。\n- **误报噪音干扰严重**：缺乏智能过滤机制，大量低风险误报淹没真实威胁，导致关键攻击信号被遗漏。\n- **响应流程割裂繁琐**：从发现告警到创建工单、分配任务全靠人工流转，信息在不同工具间传递易出错且不可追溯。\n- **本地化部署困难**：出于数据合规要求无法使用云端 SaaS 方案，自建自动化平台开发成本高、周期长。\n\n### 使用 agentic-soc-platform 后\n- **AI 自动研判提效**：内置 Langgraph AI Agent 实时消费 Redis 流中的告警，自动关联上下文并输出分析结论，单条处理缩短至秒级。\n- **智能降噪聚焦核心**：利用本地大模型精准识别误报，将无效告警拦截在 SIRP 平台之外，让团队专注于高置信度威胁。\n- **闭环自动化响应**：通过 Webhook 无缝对接 Splunk，告警自动生成标准化案件并触发预设 Playbook，实现从检测到处置的全链路自动化。\n- **私有化安全可控**：支持全量本地部署，所有数据、模型及运算逻辑均留存内网，完美满足企业数据主权与隐私合规需求。\n\nagentic-soc-platform 通过将 AI 智能体深度融入安全运营流程，帮助企业在保障数据私密的前提下，实现了从“人海战术”到“自动化智治”的质的飞跃。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FFunnyWolf_agentic-soc-platform_9f090078.png","FunnyWolf","rootkit","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002FFunnyWolf_6d235c83.jpg","Make Hacking Easier",null,"yu5890681@gmail.com","https:\u002F\u002Fgithub.com\u002FFunnyWolf",[81],{"name":82,"color":83,"percentage":84},"Python","#3572A5",100,734,115,"2026-04-17T08:09:46","MIT",4,"未说明","未说明 (支持本地 LLM，具体显存需求取决于所选模型)",{"notes":93,"python":94,"dependencies":95},"该工具是一个基于代理的自动化安全运营平台。核心架构依赖 Redis Stream 作为消息队列进行流式处理。内置 SIRP 平台基于 Nocoly。支持通过 Webhook 接收来自 Splunk、Kibana 等 SIEM 的告警。虽然支持本地部署大语言模型（LLM）以增强分析能力，但 README 中未提供具体的硬件资源配置建议。建议参考官方文档链接获取详细的环境设置指南。","未说明 (框架使用 Python 编写)",[96,97,98,99,100,101],"Langgraph","Dify","Redis","Nocoly (SIRP)","Webhook","Splunk\u002FKibana (SIEM 集成)",[13,35,14],[104,105,106,107,108,109,110,111,112],"langgraph","blueteam","cybersecurity","llm","dify","langchain","siem","soar","agentic-soc","2026-03-27T02:49:30.150509","2026-04-18T03:36:04.265400",[116,121,125,129,133,138],{"id":117,"question_zh":118,"answer_zh":119,"source_url":120},38769,"Nocoly 的计算资源要求过高，是否有低资源消耗的测试方案？","Nocoly 提供了可用于测试的 SaaS 服务。虽然 SaaS 版本相比私有部署版本缺少部分功能，但这不影响基本可用性。此外，最新版本的 SIRP 文档已更新，可参考官方部署指南：https:\u002F\u002Fasp.viperrtp.com\u002Fsirp\u002FDeploy\u002Fsirp_install\u002F","https:\u002F\u002Fgithub.com\u002FFunnyWolf\u002Fagentic-soc-platform\u002Fissues\u002F2",{"id":122,"question_zh":123,"answer_zh":124,"source_url":120},38770,"ASP 是否计划发布不依赖 Nocoly 的 Docker 镜像以降低测试门槛？","目前官方推荐的低资源测试方案是使用 Nocoly 提供的 SaaS 服务，该服务无需本地高算力支持即可进行功能验证。关于完全移除 Nocoly 依赖的独立 Docker 镜像，目前尚未发布，建议先通过 SaaS 版本进行体验和测试。",{"id":126,"question_zh":127,"answer_zh":128,"source_url":120},38771,"在哪里可以找到最新的 SIRP 部署文档？","最新版本的 SIRP 部署文档已更新，请访问以下链接查看详细的安装和配置步骤：https:\u002F\u002Fasp.viperrtp.com\u002Fsirp\u002FDeploy\u002Fsirp_install\u002F",{"id":130,"question_zh":131,"answer_zh":132,"source_url":120},38772,"Nocoly SaaS 版本与私有部署版本的主要区别是什么？","Nocoly SaaS 版本主要用于测试目的，相比私有部署版本缺少部分高级功能，但这些缺失的功能不影响核心功能的正常使用和测试验证。",{"id":134,"question_zh":135,"answer_zh":136,"source_url":137},38773,"ASP 项目未来的发展计划是什么？","ASP 项目正在快速迭代中，未来将推出更多新功能并持续改进用户体验。维护者建议用户关注项目动态以获取最新特性更新。","https:\u002F\u002Fgithub.com\u002FFunnyWolf\u002Fagentic-soc-platform\u002Fissues\u002F1",{"id":139,"question_zh":140,"answer_zh":141,"source_url":137},38774,"ASP 能否替代传统的 SOC SIRP 流程？","是的，根据项目文档和用户反馈，ASP 设计用于构建 Agentic SOC（代理安全运营中心），能够轻松替换传统的 SOC SIRP（安全事件响应程序）流程，提供更智能化的安全运营能力。",[143,148,153,158],{"id":144,"version":145,"summary_zh":146,"released_at":147},314723,"0.3.0","## 新功能\n- [SIEM 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FSIEM\u002F) 支持 Splunk \u002F ELK，可添加自定义日志配置信息，并为 LLM 提供统一的日志检索接口。\n- [MCP 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FMCP\u002F) 正式发布，支持 ASP 的大部分核心功能。\n- [Claude Code 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FClaudeCode\u002F) 内置 MCP 连接，包含 8 个技能和 1 个代理。\n\n## 优化\n- SIRP 优化了 UI 布局和字段的权限控制。\n- 删除了 Dify \u002F Mem0 插件，并移除了对 Neo4j \u002F Chroma 的支持。\n\n\n## 开发者笔记\n\nSIEM 是 SOC 中的核心平台，承载着所有的日志数据。无论是安全人员还是 LLM，都需要通过接口从 SIEM 中搜索日志，以进行信息富化或调查分析。\n\nSplunk 是商业化 SIEM 的领导者，而 ELK 则是开源领域中最佳的 SIEM 解决方案，因此 ASP 首先选择支持这两个平台。ASP 将日志接口进行了统一化处理，外部调用方无需关心具体的 SIEM 实现细节。\n\n目前，SIEM 平台并不支持在系统内直接添加日志说明信息（例如某个索引的具体用途、索引中某字段的含义等）。传统做法是使用外部的维基文档来存储这些信息，安全人员通过查阅文档来确认日志的用途。然而，这种方式不利于与集成系统的对接，也难以被 LLM 调用和分析。为此，ASP 采用 YAML 文件来存储这些元数据，并将其统一成一个外部接口，方便 LLM 直接调用（也可以作为 Claude Code 插件中的参考文件，但这种实现方式无法在代码中直接调用）。\n\n在当前环境下，用户希望通过自然语言与平台或软件进行交互已成为刚性需求。目前主要有两种解决方案：\n- 平台自身实现对话界面和工具链集成；\n- 与外部的工具链集成。\n\n无论从系统成熟度、用户接受程度还是工作量等多个角度来看，第二种方案都是最优选择。\n\n对于 ASP 来说，需要提供接口让 LLM 能够操作系统功能，主要有两种方式：\n- 使用 MCP Server，将各项功能封装为 API（工具），供外部工具调用；\n- 实现一个命令行工具，通过命令行参数逐步暴露功能。\n\nASP 最终选择了第一种方案，其优点如下：\n- 拥有成熟的框架（fastmcp）；\n- 函数可以利用 Pydantic 和 typing 直接定义输入参数、函数描述及返回值说明，无需额外操作；\n- 大多数主流工具都支持直接对接。\n\n缺点则是：\n- MCP 当前尚不支持渐进式加载，会固定占用一定的上下文资源。\n\n相比之下，命令行工具的优点是可以借助 --help 参数实现渐进式加载，但缺点在于 LLM 在调用时会增加额外的工具请求，且由于缺乏成熟的工程化方案，开发工作量较大。\n\n考虑到 ASP 的目标用户主要是专业的网络安全技术人员，对命令行工具的接受度较高，因此 Claude Code 成为了首选的工具链集成方案。\n\nMCP Server 确保提供的工具功能尽可能原子化，并尽量精简说明内容，以减少对上下文的占用。同时，将详细的使用方法和经典的操作流程拆分为不同的技能，便于后续优化和定制。如果需要更复杂、耗时较长且独立于上下文的工作流，则可以使用代理。ASP 提供了一个用于案例调查的代理作为参考和初始版本。\n\n当 ASP 能够与 Claude Code 等外部工具对接后，带有 UI 的工作流工具如 Dify 等便不再必要。所有与用户的交互、记忆管理以及多代理协作等功能都可以交由 Claude Code 来完成。\n\nMem0 的优点在于接口简单、原生支持 GraphRAG，但缺点是依赖外部图数据库（Neo4j），构建 GraphRAG 时还需要调用 LLM 进行额外分析，性能相对较差。\n\nMem0 的主要应用场景是个人助理和长期记忆管理，而 ASP 使用 RAG 的目的是将其作为知识库，为 SecOps 提供参考信息，通常规模不会太大。在实际工作中，通过关键字和语义相结合的混合搜索（利用稀疏向量和稠密向量实现）即可满足性能要求。同时，通过增加返回结果的数量并使用重排序模型，也能保证查询的准确性。\n\n由于不再使用 Mem0，Neo4j 也就失去了作用。Qdrant 插件已经集成到 ASP 中，且同时支持稀疏向量和稠密向量的存储，因此 Chroma 也变得不再必要。\n\n\n## 新增功能\n- [SIEM 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FSIEM\u002F) 支持 Splunk \u002F ELK，允许添加自定义日志配置元数据，并新增面向 LLM 的统一日志检索接口。\n- [MCP 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FMCP\u002F) 正式发布，支持 ASP 的大部分核心功能。\n- [Claude Code 插件](..\u002F..\u002Fasf\u002FPLUGINS\u002FClaudeCode\u002F) 内置 MCP 连接，包含 8 个技能和 1 个代理。\n\n## 优化改进\n- SIRP 的 UI 布局及字段级权限控制得到优化。\n- 移除了 Dify \u002F Mem0 插件，并取消了对 Neo4j \u002F Chroma 的支持。\n\n\n## 开发者笔记\n\nSIEM 是 SOC 中的核心平台，负责存储和管理所有日志数据。无论是人工分析还是 LLM 自动化分析，都需要通过接口从 SIEM 中检索日志，以实现信息的丰富化或事件的调查分析。\n\nSplunk 是商业 SIEM 市场的领导者，而 ELK 则是开源 SIEM 领域中最优秀的解决方案，因此 ASP 首先选择支持这两个平台。ASP 对日志检索接口进行了标准化处理，使得外部调用方无需关注底层 SIEM 的具体实现细节。\n\n目前的 SIEM 平台…","2026-04-08T06:21:09",{"id":149,"version":150,"summary_zh":151,"released_at":152},314724,"v0.2.0","## 新功能亮点\r\n\r\n- [Case](..\u002F..\u002Fsirp\u002FFeature\u002Fcase\u002F) 基于 [OCSF Incident Finding](https:\u002F\u002Fschema.ocsf.io\u002F1.7.0\u002Fclasses\u002Fincident_finding) 标准进行重构, 提供统一的事件调查和响应数据结构.\r\n- [Alert](..\u002F..\u002Fsirp\u002FFeature\u002Falert\u002F) 基于 [OCSF Detection Finding](https:\u002F\u002Fschema.ocsf.io\u002F1.7.0\u002Fclasses\u002Fdetection_finding) 标准进行重构, 提供统一的告警数据结构.\r\n- 新增 [Enrichment](..\u002F..\u002Fsirp\u002FFeature\u002Fenrichment\u002F) 和 [Ticket](..\u002F..\u002Fsirp\u002FFeature\u002Fticket\u002F) 模块, 分别用于存储丰富化数据和外部工单数据.\r\n\r\n## 优化\r\n\r\n- 重构 SIRP 的插件代码,使用 BaseModel 并更新 API, 提升代码一致性和可维护性.\r\n\r\n## 开发者笔记\r\n\r\n新版本 SIRP 平台的 Case 和 Alert 模块均基于 OCSF 标准进行重构, 好处有以下几点:\r\n\r\n1. 统一的数据结构: OCSF 提供了一个统一的框架, 使得不同安全工具和平台之间的数据交换变得更加容易.\r\n2. 字段丰富: OCSF 标准定义了丰富的字段, 覆盖了大部分安全事件和告警的关键信息, 有助于提升数据的完整性.用户基本上不需要再自定义字段.\r\n3. 生态系统支持: 采用 OCSF 标准使得 SIRP 更容易与其他支持 OCSF 的工具和平台集成, 扩展了 SIRP 的应用场景.\r\n\r\nASP 的插件代码重构为 BaseModel, 主要目的是提升代码的一致性和可维护性. 拥有更好的 IDE 提示和类型检查, 减少运行时错误.\r\n\r\n## Feature Highlights\r\n\r\n- [Case](..\u002F..\u002Fsirp\u002FFeature\u002Fcase\u002F) has been restructured based on the [OCSF Incident Finding](https:\u002F\u002Fschema.ocsf.io\u002F1.7.0\u002Fclasses\u002Fincident_finding) standard, providing a unified\r\n  data structure for event investigation and response.\r\n- [Alert](..\u002F..\u002Fsirp\u002FFeature\u002Falert\u002F) has been restructured based on the [OCSF Detection Finding](https:\u002F\u002Fschema.ocsf.io\u002F1.7.0\u002Fclasses\u002Fdetection_finding) standard, providing a\r\n  unified alert data structure.\r\n- New [Enrichment](..\u002F..\u002Fsirp\u002FFeature\u002Fenrichment\u002F) and [Ticket](..\u002F..\u002Fsirp\u002FFeature\u002Fticket\u002F) modules added for storing enrichment data and external ticket data respectively.\r\n\r\n## Optimization\r\n\r\n- Refactored SIRP plugin code to use BaseModel and updated API, improving code consistency and maintainability.\r\n\r\n## Developer Notes\r\n\r\nThe Case and Alert modules of the new version SIRP platform have been restructured based on the OCSF standard. The benefits are as follows:\r\n\r\n1. Unified Data Structure: OCSF provides a unified framework that makes data exchange between different security tools and platforms easier.\r\n2. Rich Fields: The OCSF standard defines rich fields that cover key information for most security events and alerts, helping to improve data completeness. Users basically no\r\n   longer need to customize fields.\r\n3. Ecosystem Support: Adopting the OCSF standard makes SIRP easier to integrate with other tools and platforms that support OCSF, expanding SIRP's application scenarios.\r\n\r\nThe ASF plugin code has been refactored to use BaseModel, with the main goal of improving code consistency and maintainability. It provides better IDE hints and type checking,\r\nreducing runtime errors.","2026-01-28T03:09:30",{"id":154,"version":155,"summary_zh":156,"released_at":157},314725,"0.1.1","\u003Cimg width=\"1024\" height=\"1024\" alt=\"img\" src=\"https:\u002F\u002Fgithub.com\u002Fuser-attachments\u002Fassets\u002F19efeaaa-060c-4a9c-a378-baaaca64bbda\" \u002F>\n\n## 新功能亮点\n\n- [Message](https:\u002F\u002Fasp.viperrtp.com\u002Fsirp\u002FFeature\u002Fmessage\u002F) 存储 Agent 运行时的所有消息记录, 包括系统消息、人工消息、AI 消息和工具消息，便于审计和调试。\n- [Agents](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FAGENTS\u002Fdevelopment\u002F) 提供基础的代理框架，支持四种开箱即用的代理：`CMDB`、`SIEM`、`ThreatIntelligence` 和 `Knowledge`。\n- [Qdrant](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FPLUGINS\u002FQdrant\u002F) 是一个 Qdrant 向量数据库插件，支持向量数据的存储和检索。\n- [Neo4j](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FPLUGINS\u002FNeo4j\u002F) 是一个 Neo4j 图数据库插件，用于支持 Mem0 插件的知识图谱存储。\n- [Mem0](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FPLUGINS\u002FMem0\u002F) 是一个 Mem0 插件，支持 Mem0 管理知识库，并为知识库和代理提供图数据库支持（Beta）。\n- [Embeddings](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FPLUGINS\u002FEmbeddings\u002F) 是一个 Embeddings 插件，支持 OpenAI 和 Ollama 的 Embedding 模型，以及 Chroma 和 Qdrant 两种向量数据库。\n- [Knowledge](https:\u002F\u002Fasp.viperrtp.com\u002Fsirp\u002FFeature\u002Fknowledge\u002F) 知识库和 [Knowledge](https:\u002F\u002Fasp.viperrtp.com\u002Fasf\u002FAGENTS\u002FKnowledge\u002F) 代理，支持知识库管理和代理对知识库的调用。\n- [Case_L3_SOC_Analyst_Agent_With_Tools](..\u002F..\u002Fasf\u002FPLAYBOOKS\u002FCase_L3_SOC_Analyst_Agent_With_Tools\u002F) 是“SOC L3 分析师代理（工具调用）”剧本，该剧本会调用“知识库”进行 L3 分析。\n- SIRP 更新至 Nocoly 7.0.0。\n\n## 优化内容\n\n- 优化了 Playbook 模板代码。\n- 更新了 `Playbook` 中的 `Case_Threat_Hunting_Agent` 提示语。\n- 优化了 SIRP 和 ASP 的交互逻辑；SIRP 不再主动调用 ASP API，而是由 ASP 通过轮询方式获取 SIRP 数据。\n- 添加了 Ollama Basic Auth 的 Nginx 配置。\n- 优化了 `Case_L3_SOC_Analyst_Agent_With_Tools` 和 `Case_Threat_Hunting_Agent` 的工具调用，以防止因工具错误导致的无限循环。\n- 优化了 Redis\u002FSIRP 的网络连接性能，以提高大规模部署时的稳定性。\n\n## 开发者说明\n\n本次更新主要围绕“Knowledge”功能及其相关插件和代理展开，这些组件共同支持知识库的管理与应用。\n\n知识库是 SOC 自动化分析与响应的关键组成部分，它使代理能够基于组织特定的知识进行更精准的分析和决策。\n\n通过引入 `Mem0` 和 `Qdrant` 插件以及 `Knowledge` 代理，我们为用户提供了强大的工具来管理和利用其知识资产。\n\n下一版本将重点放在数据标准化上，重新设计当前 SIRP 的 Case\u002FAlert\u002FArtifact 数据结构。\n\n\n## 新功能亮点\n\n- [Message](https:\u002F\u002Fasp.viperrtp.com\u002Fzh\u002Fsirp\u002FFeature\u002Fmessage\u002F) 存储 Agent 运行时的所有消息记录, 包括系统消","2026-01-02T10:57:44",{"id":159,"version":160,"summary_zh":161,"released_at":162},314726,"0.1","\u003Cimg width=\"2816\" height=\"1536\" alt=\"img\" src=\"https:\u002F\u002Fgithub.com\u002Fuser-attachments\u002Fassets\u002F9fc8e000-ad43-4fa0-a7a8-5c2b43737a04\" \u002F>\n\n欢迎来到 Agentic SOC Platform (ASP) 的第一个正式版本！ 经过两个月的密集开发，我们很高兴发布 v0.1.0。这个版本为 ASP 奠定了坚实的基础，融合了强大的 AI Agent 能力与灵活的自动化编排，旨在打造一个真正由\r\nAI 驱动的、开源的安全运营平台。\r\n\r\n## ✨ 新功能亮点\r\n\r\n### 核心框架 (Core Framework)\r\n\r\n- **🚀 告警流水线:** 全新的告警转发与流式处理框架已准备就绪。现在您可以轻松集成 SIEM 的 Webhook，并模块化地构建 AI 告警分析与响应流水线。\r\n- **🤖 剧本编排引擎:** 初步的剧本引擎已上线，支持对 AI 智能体进行复杂的编排与执行，为自动化响应提供了无限可能。\r\n- **🎯 内置威胁狩猎智能体:** 我们在剧本中内置了强大的`威胁狩猎智能体`，能够适应并处理所有类型的威胁狩猎场景。\r\n\r\n### SIRP 平台\r\n\r\n- **🛠️ 功能完备的 SIRP:** 内置的 SIRP (Security Incident Response Platform) 平台基础功能已全面完成，提供了现代化的案件管理与响应界面。\r\n- **🔗 自动化深度集成:** 实现了基于 Playbook 的 UI 接口，将 ASP 强大的自动化编排（SOA）能力与 SIRP 的用户界面无缝结合。\r\n\r\n## 💬 开发者笔记：初衷与愿景\r\n\r\n最初，我只想开发一个纯粹的后端框架，用于模块化地处理来自 SIEM 的告警，而将用户交互界面交给像 TheHive 或 Splunk SOAR 这样的专业 SIRP 平台。\r\n\r\n然而，在探索 AI 赋能 SOC 的过程中，我意识到“自动化”是不可或缺的一环，而 AI Agent 极大地增强了自动化的能力。真正的自动化需要与 UI 深度交互，因此，我们最终决定内置一个功能完备的 SIRP\r\n平台，以提供无缝的体验。\r\n\r\n如今，几乎所有国内外安全厂商都在拥抱 AI Agent，但其产品大多仅服务于自身的商业生态。通用的 SOAR 平台也往往只是简单地增加一些 LLM 功能节点。\r\n\r\nASP 的愿景是不同的：我们希望打造一个**开源、可模块化定制的 AI 驱动安全运营平台**。我们相信，每个组织都应该能够根据自身需求，灵活地构建真正属于自己的、智能化的安全运营体系。\r\n\r\n0.1.0 只是一个开始，我们期待与社区一同成长，探索 AI 安全的更多可能。\r\n\r\n\r\n\r\n欢迎来到 Agentic SOC Platform (ASP) 的第一个正式版本！ 经过两个月的 intensive 开发，我们很高兴发布 v0.1.0。这个版本为 ASP 打下了坚实的基础，将强大的 AI Agent 能力与灵活的自动化编排相结合，旨在打造一个真正由 AI 驱动的、开源的安全运营平台。\n\n## ✨ 新功能亮点\n\n### 核心框架\n\n- **🚀 告警流水线:** 全新的告警转发与流式处理框架已经准备就绪。现在您可以轻松集成 SIEM 的 Webhook，并以模块化方式构建 AI 告警分析与响应流水线。\n- **🤖 剧本编排引擎:** 初步的剧本编排引擎已经上线，支持对 AI 智能体进行复杂编排与执行，为自动化响应提供了无限可能。\n- **🎯 内置威胁狩猎智能体:** 我们在剧本中内置了一个强大的“威胁狩猎智能体”，能够适应并处理所有类型的威胁狩猎场景。\n\n### SIRP 平台\n\n- **🛠️ 功能完备的 SIRP:** 内置的 SIRP（安全事件响应平台）的基础功能已经全部完成，提供了一个现代化的案件管理和响应界面。\n- **🔗 自动化深度集成:** 实现了一个基于 Playbook 的 UI 界面，将 ASP 强大的自动化编排（SOA）能力与 SIRP 的用户界面无缝结合。\n\n## 💬 开发者笔记：初衷与愿景\n\n最初，我只想开发一个纯后端框架，用于模块化处理来自 SIEM 的告警，而将用户交互界面交由像 TheHive 或 Splunk SOAR 这样的专业 SIRP 平台来负责。\n\n然而，在探索 AI 如何赋能 SOC 的过程中，我逐渐意识到“自动化”是不可或缺的一部分，而 AI Agent 则极大地提升了自动化的能力。真正的自动化需要与 UI 进行深度交互，因此，我们最终决定内置一个功能完备的 SIRP 平台，以提供无缝的用户体验。\n\n如今，几乎所有的国内外安全厂商都在积极拥抱 AI Agent 技术，但他们的产品大多局限于自身的商业生态系统。而现有的通用 SOAR 平台也往往只是简单地增加了几个基于 LLM 的功能节点而已。\n\nASP 的愿景则有所不同：我们希望打造一个**开源、可模块化定制的 AI 驱动安全运营平台**。我们坚信，每个组织都应当能够根据自身的实际需求，灵活地构建真正属于自己的智能化安全运营体系。\n\nv0.1.0 只是一个开始，我们期待与社区共同成长，不断探索 AI 在安全领域的更多可能性。","2025-12-02T12:40:29"]