ThreatHunter v3.0 — 六 Agent 架構設計說明
文件目的:說明哪些設計應升級為 Agent、哪些應保留為基礎設施,以及為什麼 版本:2026-04-09 讀者:領頭人、Hackathon 評審
第一性原理:什麼東西應該是 Agent?
判斷標準(來自 OpenAI Agentic System 設計原則):
| 判斷標準 | 是 Agent | 不是 Agent(基礎設施) |
|---|---|---|
| 需要 LLM 推理? | ✅ | ❌ |
| 需要自主判斷 / 條件決策? | ✅ | ❌ |
| 需要記憶與上下文? | ✅ | ❌ |
| 是否有固定確定性邏輯? | ❌(程式碼就夠了) | ✅ |
| 是否在 LLM 進入前執行? | ❌(不能信任 LLM 守衛 LLM) | ✅ |
三個新設計的架構分析
一、六維情報融合 → 應升級為 Intel Fusion Agent
原本設計:5 個 Tool 函式 → Scout Agent 的 SOP 寫死呼叫順序
問題:
- Scout 需要「懂得」根據情境選擇查哪幾個維度(例:老 CVE 的 EPSS 數據少,應降權)
- 寫死順序 = 工具包裝器,不是 Agentic
- OTX 可信度參差不齊,應該有自主過濾邏輯
升級後:Intel Fusion Agent
職責:根據漏洞特徵,自主選擇情報維度組合,並融合評分
SOP 核心決策邏輯:
IF cve_year < 2020: EPSS 數據較少 → 降低 EPSS 權重,提高 CVSS 權重
IF package_ecosystem == 'python': GHSA 優先 → 先查 GHSA
IF in_cisa_kev == true: 跳過 EPSS(已確認在野,概率已無意義)
IF otx_signal < threshold: 降低 OTX 權重 → 避免誤報
記憶:記錄哪個 API 這次失敗 → 下次 fallback 更快
輸出:six_dim_score + source_weights + confidence
Skill 檔案:skills/intel_fusion.md(待建立)
對 Hackathon 的展示價值:
「我們的情報融合 Agent 會根據 CVE 類型自主調整查詢策略,而不是寫死的順序調用。」
二、防禦四層縱深 → 部分升級,部分保留基礎設施
四層的本質不同,不能一刀切:
| 層 | 能否做成 Agent | 原因 | 結論 |
|---|---|---|---|
| L1 輸入層(input_sanitizer) | ❌ | 在 LLM 之前執行,不能用 LLM 守衛 LLM | 保留基礎設施 |
| L2 Dual LLM(隔離 LLM) | ✅ | 是個 LLM,可賦予 SOP | 升級為 Security Guard Agent |
| L3 Schema 驗證 | ❌ | 確定性程式碼(jsonschema.validate),不需要 LLM 推理 | 保留基礎設施 |
| L4 執行沙盒 | ❌ | 作業系統層(Rate Limit / Audit Log) | 保留基礎設施 |
升級後:Security Guard Agent(即原 Quarantined LLM)
職責:從不可信的用戶輸入中提取結構化資訊,不做任何推理
SOP:
Step 1: 接受原始程式碼(不可信輸入)
Step 2: 只執行結構化提取(函式清單、import 清單、字串模式)
Step 3: 輸出只能是預定義 JSON 格式
Step 4: 任何輸出不符合格式 → 拋出 SecurityExtractionError
禁止:呼叫任何外部 Tool、讀取記憶、做任何推理
WHY:即使 Security Guard Agent 被完全劫持,
它也只能讓 JSON 格式錯誤,無法影響後續分析。
Skill 檔案:skills/security_guard.md(待建立)
L1/L3/L4 保留為基礎設施的理由:
「讓 AI Agent 去執行 Schema 驗證」是反模式——確定性邏輯比 LLM 更可靠、更快、更省費用。
三、七層防幻覺 → 大部分已是 Agent,其餘是基礎設施
| 層 | 目前狀態 | 應該是什麼 |
|---|---|---|
| 層1 Tool-First 原則 | 所有 Agent SOP 的第一步 | ✅ 已是 Agent 行為(All Agents) |
| 層2 CVE 憲法 CI-1~4 | 所有 Agent 的 System Prompt | ✅ 已是 Agent 行為(All Agents) |
| 層3 Schema 驗證 | 確定性程式碼 | ❌ 保留基礎設施(更可靠) |
| 層4 信心度標記 | 輸出格式規範 | ✅ 已是 Agent 輸出格式(All Agents) |
| 層5 三方辯論 | Critic Agent 的 Skill | ✅ 已是 Agent(Critic) |
| 層6 記憶比對 | 所有 Agent SOP 的 read_memory → write_memory | ✅ 已是 Agent 行為 |
| 層7 DVWA 測試 | 外部驗證流程(非執行時) | 可升級為 Evaluation Agent(選擇性) |
結論:七層防幻覺大部分已是 Agent 行為,不需要重構。
升級後的完整六 Agent 架構
輸入層(基礎設施,L1) 輸出層(基礎設施,L3/L4)
input_sanitizer.py jsonschema.validate
│ ▲
▼ │
┌─────────────────────────────────────────────────────────┐
│ 六 Agent 管線 │
│ │
│ [AG1] Security Guard Agent │
│ 隔離 LLM,從不可信輸入提取結構化 JSON │
│ Skill: skills/security_guard.md(待建) │
│ │ │
│ ▼ 結構化 JSON(已清潔) │
│ [AG2] Intel Fusion Agent │
│ 自主選擇六維情報查詢策略,融合評分 │
│ Skill: skills/intel_fusion.md(待建) │
│ │ │
│ ▼ six_dim_results + composite_score │
│ [AG3] Scout Agent │
│ 六維評分 + CVE 格式驗證 + is_new 標記 │
│ Skill: skills/threat_intel.md(已有) │
│ │ │
│ ▼ standardized_vuln_objects[] │
│ [AG4] Analyst Agent │
│ 連鎖攻擊路徑推理 + Map-Reduce 跨函式追蹤 │
│ Skill: skills/chain_analysis.md(已有) │
│ │ │
│ ▼ attack_chain_graph │
│ [AG5] Critic Agent(三角色辯論) │
│ Analyst + Skeptic + ThreatHunter 三方辯論 │
│ Skill: skills/debate_sop.md(已有) │
│ │ │
│ ▼ debate_record + weighted_verdict │
│ [AG6] Advisor Agent │
│ 最終裁決 + 業務語言翻譯 + 行動計畫 │
│ Skill: skills/action_report.md(已有) │
└─────────────────────────────────────────────────────────┘
四個 Skill 文件的建立優先序
| 優先 | Skill 文件 | 狀態 | 工時 |
|---|---|---|---|
| P0 | skills/threat_intel.md |
✅ 已有 | — |
| P0 | skills/chain_analysis.md |
✅ 已有 | — |
| P0 | skills/debate_sop.md |
✅ 已有 | — |
| P0 | skills/action_report.md |
✅ 已有 | — |
| P1 | skills/intel_fusion.md |
❌ 待建立 | ~2 小時 |
| P1 | skills/security_guard.md |
❌ 待建立 | ~1 小時 |
為什麼不把所有東西都做成 Agent?
反模式警告(AMD Hackathon 評審會注意到這個):
❌ 把 Schema 驗證做成 Agent:
"讓 AI 驗證 AI 的輸出" → 可靠性低於 jsonschema.validate
→ 評審會問:「為什麼不直接用 Python?」
❌ 把 Rate Limiting 做成 Agent:
Rate Limiting 需要毫秒級響應,LLM 需要秒級
→ 本末倒置
✅ 正確原則:
「需要推理和判斷的 → Agent」
「有確定性答案的 → 確定性程式碼」
這才是成熟的 Agentic Architecture 設計。
給評審的說詞(示範)
"ThreatHunter 採用六 Agent 管線,每個 Agent 有明確的職責邊界和 Skill SOP。 我們刻意讓 Schema 驗證和 Rate Limiting 保留為確定性基礎設施, 因為「Agent 應該做需要推理的事,而不是用 LLM 做確定性邏輯」。 這個設計決策體現了我們對 Agentic Architecture 的理解: 不是所有東西都要用 AI,而是在正確的地方用 AI。"
版本:2026-04-09 | 決策依據:OpenAI Agentic System 設計原則 + HARNESS_ENGINEERING.md