🛡️ MCP CTI Aggregator

基于 Model Context Protocol (MCP) 的威胁情报聚合工具。自动查询 10+ 开源情报源，为 IP / 域名 / URL / 文件哈希生成专业安全画像。

✨ 核心特性

• 🔄 多源聚合：VirusTotal、FOFA、AlienVault OTX 等 10+ 情报源
• 🤖 双模式分析：MCP 快速判定 + Agent 深度归因
• 🚀 批量处理：IP/域名混合输入，并行查询
• 💻 IDE 集成：Cursor / Windsurf / Trae / Claude Desktop
• 📊 四步分析法：解析 → 属性 → 威胁 → 资产
• 🔒 OPSEC 优先：被动采集为主，IOC 去毒处理

🔍 数据源

必须配置

模块	能力
VirusTotal	94+ 引擎检测、被动 DNS、关联样本
FOFA	端口服务、Web 指纹、SSL 证书、JARM

推荐配置

模块	能力
AlienVault OTX	APT 关联、MITRE ATT&CK 映射
IPInfo	地理位置、ASN、VPN/Proxy 检测
AbuseIPDB	置信度评分、攻击类型分布

免费使用（无需 API Key）

模块	能力
ThreatFox	恶意家族 IOC 匹配
ICP Filing	中国大陆备案查询
RDAP / LocalWhois	域名注册信息
crt.sh	SSL 证书透明度、子域名
Shodan InternetDB	基础端口扫描
WebFingerprint	HTTP Headers 指纹
SSL Info	OpenSSL 证书探测

📦 快速开始

git clone https://github.com/0x783kb/mcp-cti.git
cd mcp-cti
python3 -m venv .venv && source .venv/bin/activate
pip install -r requirements.txt
cp .env.example .env  # 编辑填入 API Keys
python server.py

环境变量

# 必须
VT_API_KEY=your_vt_api_key
FOFA_EMAIL[email protected]
FOFA_API_KEY=your_fofa_api_key

# 推荐
OTX_API_KEY=your_otx_key
IPINFO_API_KEY=your_ipinfo_key
ABUSEIPDB_API_KEY=your_abuseipdb_key

# 可选
SHODAN_API_KEY=your_shodan_api_key

获取 API Key：VirusTotal · FOFA · OTX · IPInfo

💻 IDE 集成

Cursor

bash configure_cursor.sh

或手动：Cmd+Shift+P → "MCP: Show Servers" → 确认 "cti-aggregator"

Windsurf / Claude Desktop

配置文件添加：

{
  "mcpServers": {
    "cti-aggregator": {
      "command": "/path/to/mcp-cti/.venv/bin/python",
      "args": ["/path/to/mcp-cti/server.py"],
      "cwd": "/path/to/mcp-cti"
    }
  }
}

Windsurf 路径：~/.codeium/windsurf/mcp_config.json
Claude Desktop 路径：~/Library/Application Support/Claude/claude_desktop_config.json

Trae

自动检测项目根目录 MCP 配置，无需手动设置。

🗣️ 使用方式

MCP 快速查询（直接调用）

适合快速判定，几秒内返回结构化报告：

分析 IP 134.122.128.131
调查域名 co-journal163.com
这个哈希是否恶意：a260aa8f...
检查 URL https://evil.example.com
批量分析：1.1.1.1, example.com, 8.8.8.8

Agent 深度分析（自动路由）

包含 MCP 全部能力，额外提供 MITRE ATT&CK 映射、威胁归因、攻击时间线、狩猎策略：

深度分析域名 whm.gidosdelicacy.com
追踪这个 IP 背后的攻击者
对这批 IOC 做完整归因分析
我们可能被入侵了，帮我应急响应

路由规则：主 Agent 自动判断 — 快速判定走 MCP，深度/归因/批量走 Agent。

Agent 配置

Agent 提示词位于 agents/threat-intel-analyst.md，包含完整的分析工作流、MITRE ATT&CK 映射规则和报告模板。

CodeBuddy：将文件复制到 .codebuddy/agents/ 目录即可（需添加 frontmatter，见文件末尾说明）。

其他 Agent 框架：将 agents/threat-intel-analyst.md 内容作为系统提示词注入，并确保 Agent 可调用 MCP CTI 工具。

🛠️ MCP 工具

工具	参数	说明
investigate_ip	ip	IP 威胁情报报告
investigate_domain	domain	域名四步分析报告
investigate_hash	hash	文件哈希检测报告
investigate_url	url	URL 威胁分析报告
investigate_batch	targets	批量混合分析
resolve_domain_ips	domain	域名 DNS 解析
health_check	-	系统状态与 API 配置检查

📊 报告结构

🚨 核心预警摘要 + 风险等级
1️⃣ 解析 — DNS / 历史 / 被动解析
2️⃣ 属性 — 地理 / ASN / Whois / 备案
3️⃣ 威胁 — VT 评分 / OTX / ThreatFox / 恶意样本
4️⃣ 资产 — 端口 / 服务 / 指纹 / SSL / JARM
📊 风险评估矩阵（5 维度打分）
🎯 综合研判
📋 处置建议（立即 / 监控 / 狩猎）
📋 IOC 清单

Agent 深度模式额外输出：MITRE ATT&CK 映射 · 威胁归因 · 攻击时间线 · 威胁狩猎策略

❓ 常见问题

Q: 端口信息少？ 未配 Shodan Key 时使用免费 InternetDB，数据有限。配 FOFA 或 Shodan 可获取更多信息。

Q: FOFA 未启用？ 需同时配 FOFA_EMAIL + FOFA_API_KEY。

Q: 没有网站指纹？ 默认关闭主动采集（OPSEC）。config.py 设置 fingerprint.active_scan = True 开启。

Q: JARM 不显示？ 需安装 jarm-v1（pip install jarm-v1），或配置 Shodan/FOFA API。

Q: 域名解析为空？ 可能域名未配置 DNS / 已过期 / 查询超时。用 resolve_domain_ips 工具单独查看。

🔗 相关链接

• MCP 官方文档
• VirusTotal API
• FOFA API
• AlienVault OTX

📄 许可证

MIT License

---

⭐ 有帮助请 Star · 🐛 问题提 Issue · 💡 建议提 PR