docs/six_agent_architecture.md

# ThreatHunter v3.0 — 六 Agent 架構設計說明

> **文件目的**：說明哪些設計應升級為 Agent、哪些應保留為基礎設施，以及為什麼
> **版本**：2026-04-09
> **讀者**：領頭人、Hackathon 評審

---

## 第一性原理：什麼東西應該是 Agent？

判斷標準（來自 OpenAI Agentic System 設計原則）：

| 判斷標準 | 是 Agent | 不是 Agent（基礎設施） |
|---|---|---|
| 需要 LLM 推理？ | ✅ | ❌ |
| 需要自主判斷 / 條件決策？ | ✅ | ❌ |
| 需要記憶與上下文？ | ✅ | ❌ |
| 是否有固定確定性邏輯？ | ❌（程式碼就夠了）| ✅ |
| 是否在 LLM 進入前執行？ | ❌（不能信任 LLM 守衛 LLM）| ✅ |

---

## 三個新設計的架構分析

### 一、六維情報融合 → 應升級為 Intel Fusion Agent

**原本設計**：5 個 Tool 函式 → Scout Agent 的 SOP 寫死呼叫順序

**問題**：
- Scout 需要「懂得」根據情境選擇查哪幾個維度（例：老 CVE 的 EPSS 數據少，應降權）
- 寫死順序 = 工具包裝器，不是 Agentic
- OTX 可信度參差不齊，應該有自主過濾邏輯

**升級後：Intel Fusion Agent**

```
職責：根據漏洞特徵，自主選擇情報維度組合，並融合評分
SOP 核心決策邏輯：
  IF cve_year < 2020: EPSS 數據較少 → 降低 EPSS 權重，提高 CVSS 權重
  IF package_ecosystem == 'python': GHSA 優先 → 先查 GHSA
  IF in_cisa_kev == true: 跳過 EPSS（已確認在野，概率已無意義）
  IF otx_signal < threshold: 降低 OTX 權重 → 避免誤報
  記憶：記錄哪個 API 這次失敗 → 下次 fallback 更快

輸出：six_dim_score + source_weights + confidence
Skill 檔案：skills/intel_fusion.md（待建立）
```

**對 Hackathon 的展示價值**：
> 「我們的情報融合 Agent 會根據 CVE 類型自主調整查詢策略，而不是寫死的順序調用。」

---

### 二、防禦四層縱深 → 部分升級，部分保留基礎設施

**四層的本質不同，不能一刀切**：

| 層 | 能否做成 Agent | 原因 | 結論 |
|---|---|---|---|
| L1 輸入層（input_sanitizer） | ❌ | 在 LLM 之前執行，不能用 LLM 守衛 LLM | 保留基礎設施 |
| L2 Dual LLM（隔離 LLM） | ✅ | 是個 LLM，可賦予 SOP | 升級為 Security Guard Agent |
| L3 Schema 驗證 | ❌ | 確定性程式碼（jsonschema.validate），不需要 LLM 推理 | 保留基礎設施 |
| L4 執行沙盒 | ❌ | 作業系統層（Rate Limit / Audit Log） | 保留基礎設施 |

**升級後：Security Guard Agent（即原 Quarantined LLM）**

```
職責：從不可信的用戶輸入中提取結構化資訊，不做任何推理
SOP：
  Step 1: 接受原始程式碼（不可信輸入）
  Step 2: 只執行結構化提取（函式清單、import 清單、字串模式）
  Step 3: 輸出只能是預定義 JSON 格式
  Step 4: 任何輸出不符合格式 → 拋出 SecurityExtractionError
禁止：呼叫任何外部 Tool、讀取記憶、做任何推理

WHY：即使 Security Guard Agent 被完全劫持，
     它也只能讓 JSON 格式錯誤，無法影響後續分析。

Skill 檔案：skills/security_guard.md（待建立）
```

**L1/L3/L4 保留為基礎設施的理由**：
> 「讓 AI Agent 去執行 Schema 驗證」是反模式——確定性邏輯比 LLM 更可靠、更快、更省費用。

---

### 三、七層防幻覺 → 大部分已是 Agent，其餘是基礎設施

| 層 | 目前狀態 | 應該是什麼 |
|---|---|---|
| 層1 Tool-First 原則 | 所有 Agent SOP 的第一步 | ✅ 已是 Agent 行為（All Agents） |
| 層2 CVE 憲法 CI-1~4 | 所有 Agent 的 System Prompt | ✅ 已是 Agent 行為（All Agents） |
| 層3 Schema 驗證 | 確定性程式碼 | ❌ 保留基礎設施（更可靠） |
| 層4 信心度標記 | 輸出格式規範 | ✅ 已是 Agent 輸出格式（All Agents） |
| 層5 三方辯論 | Critic Agent 的 Skill | ✅ 已是 Agent（Critic） |
| 層6 記憶比對 | 所有 Agent SOP 的 read_memory → write_memory | ✅ 已是 Agent 行為 |
| 層7 DVWA 測試 | 外部驗證流程（非執行時） | 可升級為 Evaluation Agent（選擇性） |

**結論：七層防幻覺大部分已是 Agent 行為，不需要重構。**

---

## 升級後的完整六 Agent 架構

```
輸入層（基礎設施，L1）            輸出層（基礎設施，L3/L4）
  input_sanitizer.py                jsonschema.validate
        │                                    ▲
        ▼                                    │
┌─────────────────────────────────────────────────────────┐
│                    六 Agent 管線                         │
│                                                          │
│  [AG1] Security Guard Agent                              │
│         隔離 LLM，從不可信輸入提取結構化 JSON             │
│         Skill: skills/security_guard.md（待建）          │
│                    │                                     │
│                    ▼ 結構化 JSON（已清潔）                │
│  [AG2] Intel Fusion Agent                                │
│         自主選擇六維情報查詢策略，融合評分                 │
│         Skill: skills/intel_fusion.md（待建）            │
│                    │                                     │
│                    ▼ six_dim_results + composite_score   │
│  [AG3] Scout Agent                                       │
│         六維評分 + CVE 格式驗證 + is_new 標記             │
│         Skill: skills/threat_intel.md（已有）            │
│                    │                                     │
│                    ▼ standardized_vuln_objects[]          │
│  [AG4] Analyst Agent                                     │
│         連鎖攻擊路徑推理 + Map-Reduce 跨函式追蹤          │
│         Skill: skills/chain_analysis.md（已有）          │
│                    │                                     │
│                    ▼ attack_chain_graph                  │
│  [AG5] Critic Agent（三角色辯論）                        │
│         Analyst + Skeptic + ThreatHunter 三方辯論        │
│         Skill: skills/debate_sop.md（已有）             │
│                    │                                     │
│                    ▼ debate_record + weighted_verdict    │
│  [AG6] Advisor Agent                                     │
│         最終裁決 + 業務語言翻譯 + 行動計畫                │
│         Skill: skills/action_report.md（已有）           │
└─────────────────────────────────────────────────────────┘
```

---

## 四個 Skill 文件的建立優先序

| 優先 | Skill 文件 | 狀態 | 工時 |
|---|---|---|---|
| P0 | `skills/threat_intel.md` | ✅ 已有 | — |
| P0 | `skills/chain_analysis.md` | ✅ 已有 | — |
| P0 | `skills/debate_sop.md` | ✅ 已有 | — |
| P0 | `skills/action_report.md` | ✅ 已有 | — |
| **P1** | `skills/intel_fusion.md` | ❌ 待建立 | ~2 小時 |
| **P1** | `skills/security_guard.md` | ❌ 待建立 | ~1 小時 |

---

## 為什麼不把所有東西都做成 Agent？

**反模式警告**（AMD Hackathon 評審會注意到這個）：

```
❌ 把 Schema 驗證做成 Agent：
   "讓 AI 驗證 AI 的輸出" → 可靠性低於 jsonschema.validate
   → 評審會問：「為什麼不直接用 Python？」

❌ 把 Rate Limiting 做成 Agent：
   Rate Limiting 需要毫秒級響應，LLM 需要秒級
   → 本末倒置

✅ 正確原則：
   「需要推理和判斷的 → Agent」
   「有確定性答案的 → 確定性程式碼」
   這才是成熟的 Agentic Architecture 設計。
```

---

## 給評審的說詞（示範）

> "ThreatHunter 採用六 Agent 管線，每個 Agent 有明確的職責邊界和 Skill SOP。
> 我們刻意讓 Schema 驗證和 Rate Limiting 保留為確定性基礎設施，
> 因為「Agent 應該做需要推理的事，而不是用 LLM 做確定性邏輯」。
> 這個設計決策體現了我們對 Agentic Architecture 的理解：
> 不是所有東西都要用 AI，而是在正確的地方用 AI。"

---

*版本：2026-04-09 | 決策依據：OpenAI Agentic System 設計原則 + HARNESS_ENGINEERING.md*