| # ThreatHunter — Agent 本質說明 |
|
|
| > 每個 Agent 在做什麼?用一句話說清楚。 |
|
|
| --- |
|
|
| ## 🎯 Orchestrator Agent |
| **本質:交通指揮員** |
|
|
| 看你輸入的是什麼(套件清單?原始碼?設定檔?), |
| 決定後面要走哪條路。它自己不做任何分析。 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | 用戶的技術堆疊 / 原始碼 / 套件清單 | `Path A / B / C / D` 的路由決定 | |
|
|
| ``` |
| 套件清單 → Path A(套件 CVE 掃描) |
| 原始碼 → Path B(程式碼靜態審計) |
| 設定檔 → Path C(設定錯誤審計) |
| 回饋/補充 → Path D(記憶增強再分析) |
| ``` |
|
|
| --- |
|
|
| ## 🔍 Security Guard Agent |
| **本質:靜態掃描器(不用 LLM)** |
|
|
| 用 AST + 正則表達式,確定性地找出程式碼裡的危險模式。 |
| 它**不猜測、不推理**,只比對已知的 20+ 種攻擊格式。 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | 原始程式碼(PHP/Python/Java/JS) | 偵測到的 CWE 列表 + 行號 + 危險片段 | |
|
|
| ``` |
| 原始碼中有 eval() → CWE-95 (Code Injection) |
| 有 SQL 字串拼接 → CWE-89 (SQL Injection) |
| 有 shell_exec() → CWE-78 (Command Injection) |
| 有 include($var) → CWE-98 (File Inclusion) |
| ``` |
|
|
| --- |
|
|
| ## 🌐 Intel Fusion Agent |
| **本質:CVE 情報聚合器(只對第三方套件有效)** |
|
|
| 給它一個套件名稱(如 `requests`、`flask`), |
| 它去查 NVD / OSV / KEV / EPSS 六個來源, |
| 返回這個套件所有已知 CVE 的風險分數。 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | 第三方套件名稱列表 | 每個 CVE 的六維複合分數(CVSS + EPSS + KEV + ...) | |
|
|
| ``` |
| requests → CVE-2023-32681 (CVSS 6.1, EPSS 0.03, not in KEV) |
| flask → CVE-2023-30861 (CVSS 7.5, EPSS 0.12, not in KEV) |
| ``` |
|
|
| > ⚠️ **限制**:只對已知第三方套件有效。 |
| > 自定義程式碼(PHP/Java 純 JDK)沒有 CVE,它找不到東西。 |
|
|
| --- |
|
|
| ## 🕵️ Scout Agent |
| **本質:威脅情報彙整員 + 記憶比對員** |
|
|
| 拿到 Security Guard + Intel Fusion 的結果, |
| 整理成統一格式,並和記憶系統比對: |
| 「這個漏洞是新的,還是上次就有?」 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | SG 的 CWE 清單 + IF 的 CVE 分數 | 結構化威脅清單(new / repeated / resolved) | |
|
|
| ``` |
| 上次有 CVE-2023-32681 → 這次還有 → REPEATED ⚠️ |
| 這次新出現 CVE-2024-X → NEW 🔴 |
| 上次有,這次沒有 → RESOLVED ✅ |
| ``` |
|
|
| --- |
|
|
| ## 🧠 Analyst Agent |
| **本質:攻擊鏈推理師** |
|
|
| Scout 只是列清單,Analyst 負責**想攻擊者的思路**: |
| 「這幾個漏洞組合起來,最壞情況是什麼?」 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | 威脅清單(Scout 輸出) | 攻擊鏈分析 + 組合風險評估 | |
|
|
| ``` |
| SSRF (Medium) + Redis 無密碼 (Medium) |
| → SSRF 打到內網 Redis → 寫入 crontab → shell 執行 |
| → 組合風險 = CRITICAL 🔴(兩個 Medium 組合 ≠ 中危) |
| ``` |
|
|
| --- |
|
|
| ## ⚔️ Critic Agent |
| **本質:魔鬼代言人** |
|
|
| 用對抗式思維質疑 Analyst 的結論: |
| 「這個攻擊鏈真的可行嗎?還是誇大了?」 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | Analyst 的攻擊鏈分析 | 驗證後的風險評估(修正誤報 / 確認高風險) | |
|
|
| ``` |
| Analyst:這個 RCE 是 CRITICAL |
| Critic:攻擊者需要內網存取才能觸發 |
| → 降為 HIGH(修正誇大風險) |
| ``` |
|
|
| --- |
|
|
| ## 📋 Advisor Agent |
| **本質:行動報告產生器(最後一關)** |
|
|
| 把所有分析轉換成**人看得懂、可直接執行的行動清單**。 |
| 並通過 Harness Layer 4.5 憲法守衛確保: |
| - `URGENT` 只放有真實 CVE 佐證的漏洞 |
| - 沒有 CVE 來源的 CODE-pattern 不進入行動清單 |
|
|
| | 輸入 | 輸出 | |
| |------|------| |
| | Analyst + Critic 結論 | URGENT / IMPORTANT / MONITOR 行動清單 | |
|
|
| ``` |
| URGENT: |
| CVE-2023-32681 | requests 2.28.0 | CVSS 6.1 |
| → pip install requests>=2.31.0 |
| ``` |
|
|
| --- |
|
|
| ## 整體流程 |
|
|
| ``` |
| 用戶輸入 |
| → Orchestrator 決定路徑 |
| → Security Guard 找危險模式(確定性) |
| → Intel Fusion 查套件 CVE(LLM + API) |
| → Scout 整理並比對記憶 |
| → Analyst 推理攻擊鏈 |
| → Critic 質疑是否誇大 |
| → Advisor 輸出行動報告 |
| ``` |
|
|
| **每個 Agent 只做自己的事,不越界。** |
|
|
| --- |
|
|
| *ThreatHunter v5.3 | AMD Developer Hackathon 2026* |
|
|
