项目简介

AutoC 是一个自动化工具，旨在从开源威胁情报来源（如博客、报告、Feed）中提取并分析失陷指标（IoCs）。该仓库包含了一个基于 Model Context Protocol (MCP) 的服务器实现，允许兼容MCP的LLM客户端（如Claude Desktop）调用 AutoC 的核心分析功能，获取结构化的威胁情报信息。

主要功能点

通过该MCP服务器，LLM客户端可以调用以下功能：

1. 分析安全博客文章： 接收一个安全博客或报告的URL，提取其中的关键信息。
2. 提取失陷指标 (IoCs)： 自动识别并提取文章中的IP地址、域名、文件哈希等IoCs。
3. 识别文章关键词： 查找文章中与预设或检测到的威胁相关的关键词。
4. 问答（Q&A）： 对文章内容生成或回答关于威胁行为、影响等的问题。
5. MITRE ATT&CK TTPs分类： 尝试识别文章中描述的行为所对应的MITRE ATT&CK技术和过程。

安装步骤

该MCP服务器依赖 AutoC 项目的核心代码。请先按照 AutoC 的指南安装项目及其依赖。

1. 安装 Python 3.11 或更高版本。
2. 安装 'uv' 包管理器。
3. 克隆项目仓库：

   git clone https://github.com/barvhaim/AutoC.git
   cd AutoC
   

4. 安装 Python 依赖：

   uv sync
   

5. 配置 '.env' 文件：复制 '.env.example' 为 '.env' 并填入必要的API密钥（例如 LLM 提供商密钥，如果需要IoC丰富功能可能还需要 VirusTotal 密钥）。

服务器配置（供MCP客户端使用）

MCP服务器是为LLM客户端提供服务的后台程序。要让你的MCP客户端（例如 Claude Desktop）连接到此 AutoC MCP 服务器，你需要修改客户端的配置文件（通常是一个 JSON 文件）。

以下是配置示例，你需要将其添加到客户端配置文件的 'mcpServers' 部分。请根据你实际克隆 AutoC 项目的路径替换 '/PATH/TO/AutoC'。

{
  "mcpServers": {
    "AutoC": {
      "command": "uv", // 启动服务器的命令
      "args": [
        "--directory",
        "/PATH/TO/AutoC", // AutoC 项目的根目录路径
        "run",
        "mcp_server.py" // MCP 服务器脚本
      ]
    }
  }
  // ... 其他客户端配置
}

配置完成后，重启你的 MCP 客户端，客户端应该能检测到并连接到 AutoC MCP 服务器。

基本使用方法

配置完成后，AutoC 的分析能力会作为 一个工具 (Tool) 提供给 MCP 客户端中的 LLM 使用。

该 MCP 服务器暴露了一个名为 'analyze_security_blog' 的工具。

• 工具名称： 'analyze_security_blog'
• 描述： 分析一个安全博客文章并提取 IoCs, 关键词, 和 Q&A。
• 参数：
  • 'url' (string, 必需): 要分析的博客文章的URL。
• 返回： 一个字符串，包含分析结果，包括检测到的关键词、Q&A、IoCs 和 MITRE TTPs。

LLM 客户端可以通过调用这个工具，向 MCP 服务器发送一个包含 URL 的请求。服务器执行分析后，将结果格式化为字符串返回给客户端，LLM 就可以利用这些结果来生成摘要、回答问题或进行其他操作。具体的交互方式取决于你的 MCP 客户端界面和 LLM 的使用逻辑。