beenuar/AiSOC

Open-source AI-powered Security Operations Center — alert fusion, purple-team drills, agent-assisted triage, MITRE ATT&CK investigation. MIT-licensed, self-hostable.

ai-securityalert-triagecybersecuritydetection-engineeringdockerfastapiincident-responsemit-licensemitre-attacknextjsopen-sourcepurple-teampythonsecurity-operationsself-hostedsiemsoarsocthreat-detectionthreat-intelligence

GAI 中文摘要

AiSOC 是一款开源且支持自托管的 AI 安全运营中心平台，旨在通过人工智能技术自动化处理安全警报并辅助威胁调查。该项目通过整合警报关联、AI 驱动的分析及安全响应工作流，帮助安全团队快速识别并应对复杂的网络威胁。

平台能够自动摄取和关联多源安全事件，通过 AI 代理进行深度调查并提供详细的分析路径。其核心的调查账本功能可以记录所有提示词、推理逻辑及工具调用记录，确保整个决策过程透明且可回溯。系统深度集成了 MITRE ATT&CK 框架，能够有效提升威胁检测与分析的准确性与完整性。通过内置的自动化测试基准，用户可以持续验证 AI 代理的响应质量和检测能力，确保安全运营流程的可靠性。

该项目非常适合关注数据隐私并希望自主掌握安全运营基础设施的企业安全团队。它特别适用于需要进行红蓝对抗演练、自动化警报分类以及追求安全事件处理全流程透明化的技术专家与安全工程师。

⭐

1.3k

Stars

🔱

133

Forks

👁

Watchers

📋

Issues

PythonMIT创建于 2026/5/2更新于今天

在 GitHub 上查看访问主页

README

由 Gemini 翻译整理

AiSOC

AiSOC 是一个开源、可自托管的 AI 安全运营中心（SOC）。智能体（Agent）的提示词（Prompts）、工具调用及推理过程均可分步记录并回放。基于 MIT 协议开源。

在线演示 · AiSOC 对比分析 · 公共评估框架 · 60秒部署 · 部署选项 · 架构设计 · 文档

位于 tryaisoc.com 的演示环境是通过 Cloudflare Tunnel 暴露的自托管实例——当其可访问时，说明后端服务正运行在维护者的服务器上。因此，该环境随时可能下线。如需运行您自己的实例（3.5分钟内完成，附带测试数据），请参阅“一次性演示”；若需通过 Cloudflare Tunnel 将您的实例暴露在自己的域名下，请参阅“自定义域名的公共演示”。Fly.io 上的演示是 AiSOC 的标准实例，上述徽章即链接至该地址。

什么是 AiSOC

AiSOC 是一个单一的、可自托管的技术栈，能够摄取安全事件、进行关联分析、执行 AI 驱动的调查，并在 SOC 控制台中呈现结果。智能体及其底层架构均采用 MIT 协议开源，您可以自由阅读、分叉（Fork）或替换其中的任何组件。

它与闭源 AI SOC 厂商的区别在于以下三点：

智能体决策过程可追溯。 “调查分类账”（Investigation Ledger）会存储每次运行中每一步的 LLM 提示词、响应内容、引用的证据以及下游工具的调用记录，支持后续回放。
底层架构拥有公开的 CI 评估框架。 针对 main / develop 分支的每一个 PR，系统会触发五个套件进行把关：一个包含 55 个不同模板的 200 个安全事件合成数据集，用于驱动 MITRE ATT&CK 战术覆盖率、调查完整性和响应质量评估（每个套件同时报告单案例均值和单模板宏观指标，确保单个失效模板不会掩盖在 199 个正常模板中）；一个独立生成的包含 1,000 个告警的噪声流用于测试告警削减能力；以及一个用于验证 synthetic_telemetry.jsonl 的模式/覆盖率检查器。该数据集包含了 14 种日志源（Sysmon、Windows Security、M365 audit、Azure sign-in、CloudTrail、Linux auditd、journald、EDR、DNS、web access、Kubernetes audit、GitHub audit、VPN、DB audit）的约 360 个配套事件，供 Connector 和 Sigma 规则进行对接。告警削减是对固定告警流的真实测量，而基于准则的三个套件则是针对确定性模板的自洽性校验。基准测试页面详细说明了各指标的含义。
完全运行在您的基础设施上。 无需向厂商云回传数据，不存在为了“模型改进”而导致的数据泄露风险。

编排器是一个约 600 行的 LangGraph，位于 services/agents/。代码足够精简，易于完整阅读、替换模型及进行补丁更新。

新功能与更新

当前版本为 7.4.0。v7.4.0 版本（2026-05-29）是一个侧重安全加固与平台化的版本，涵盖了 5 月 27 日至 29 日期间的安全加固工作、多智能体路由，以及自 7.3.1 以来在 main 分支积累的多云架构骨架。完整的变更清单请参阅 CHANGELOG.md 中的 [7.4.0] 章节。

v7.4.0 主要亮点（2026 年 5 月 29 日）

安全加固 — 在分类智能体中集成提示词注入过滤器；在检测循环建议及合规性/钓鱼/知识库接口中强制执行跨租户隔离；建立每日跨租户 RBAC 回归测试机制；修复 cryptography 库相关的 CVE 漏洞，并解决 CodeQL 质量报告中的问题。
多智能体路由 — 将 DetectAgent.process 通过跨服务 HTTP 与 FusionEngine 连接；通过 ROUTER_INVESTIGATE 标志位将 /investigate 请求经由 RouterOrchestrator 进行路由；引入基于 Redis 的单例调度器保护进程内工作流。
多云基础设施 — 提供适用于 GCP（Cloud Run + Cloud SQL + Memorystore）和 Azure（Container Apps + PostgreSQL Flexible Server + Cache for Redis）的无服务器容器 Terraform 架构骨架。