seithar-intel

核心用法

seithar-intel 将 OpenClaw 转化为个人威胁情报分析师，通过持续监控 20+ 权威安全 RSS 源（包括 BleepingComputer、CISA、Exploit-DB、EUvsDisinfo 等），实现自动化情报收集与个性化推送。用户首次配置时需描述安全兴趣画像（如恶意软件分析、社会工程学、认知安全等），系统据此为每条情报 0-1 分评分，仅推送高匹配度内容。

日常交互以自然语言触发："threat briefing" 获取早晚简报，"deep dive CVE-XXXX-XXXXX" 展开技术深度分析，"cogdef briefing" 获取认知安全更新。简报采用结构化格式，区分 CRITICAL/HIGH/MEDIUM 三级，标注 MITRE ATT&CK 或 DISARM 技术编号，并附带学习建议。深度分析功能会自动抓取原始文章、查询 NVD 漏洞库、搜索 GitHub PoC，生成包含漏洞原理、利用代码、防御视角的完整教育材料。

显著优点

情报源权威全面：覆盖传统网络安全（漏洞披露、恶意软件、APT 追踪）与新兴认知安全（虚假信息、影响力作战）双赛道，源列表经过专业筛选，包含 CISA 官方告警、Bellingcat 调查、DFRLab 分析等顶级来源。

个性化智能过滤：基于 LLM 的本地评分机制，无需外部 API，根据用户技能水平、学习目标和兴趣领域动态调整推送优先级，避免信息过载。系统还会追踪学习进度，对已完成深度分析的相关主题自动提升后续评分。

教育导向的深度分析：不仅是情报聚合，更强调知识转化。每个 CVE 分析附带概念讲解、实验环境建议（如 VulHub Docker 镜像）、关联学习资源（OverTheWire 关卡）；认知安全分析则引入 Seithar 自研的 SCT 认知防御分类法，帮助用户建立系统性防御思维。

主动式情报运营：利用 OpenClaw 的 cron/heartbeat 系统，无需人工触发即可定时检查源、推送关键警报、生成周报，真正实现"口袋里的 ThreatMouth"。

潜在缺点与局限性

依赖外部 RSS 可用性：若源网站变更 URL 结构或停止服务，需手动更新配置；部分源（如 Reddit）可能存在访问限制或速率限制。

评分准确性受 LLM 能力边界：复杂技术文章的语义理解可能存在偏差，极端情况下可能漏报关键漏洞或误推低价值内容。建议用户对评分 0.9+ 的"关键警报"仍保持独立验证习惯。

深度分析的信息时效性：CVE 分析依赖 NVD API 和 GitHub 搜索，新披露漏洞可能存在数小时至数天的信息空白期，不适合作为唯一的一线响应依据。

认知安全分析的客观性挑战：影响力作战判定涉及地缘政治敏感内容，虽然引用了 EUvsDisinfo、DFRLab 等相对中立的来源，但用户仍需意识到情报分析本身可能携带源机构的立场倾向。

适合的目标群体

• 安全研究者与分析师：需要持续跟踪漏洞披露、APT 活动、新攻击技术的专业人士
• 网络安全学习者：正在备考 OSCP、学习 MITRE ATT&CK 框架、研究漏洞利用的进阶学习者
• 认知安全与 OSINT 从业者：关注虚假信息、影响力作战、开源情报分析的交叉领域研究者
• 技术型安全管理者：需要快速了解威胁态势以支撑决策，但无需企业级 SOC 的中小团队负责人

使用风险

性能与资源消耗：默认每 2 小时轮询 20+ RSS 源，长期运行可能产生显著的 token 消耗和网络流量；高频检查间隔在源数量增加时可能导致 OpenClaw 响应延迟。

信息茧房效应：过度依赖个性化评分可能过滤掉"未知未知"的威胁信号，建议定期手动检查 GENERAL 类别或临时添加陌生源以打破过滤偏差。

实验环境安全风险：深度分析中建议的 Docker 镜像和 PoC 代码来自第三方，用户自行搭建实验环境时需严格网络隔离，避免误操作导致内网暴露。

数据持久化边界：用户兴趣画像和阅读历史存储于 OpenClaw 本地 memory，跨设备迁移或 skill 重置时将丢失个性化训练成果，建议定期导出关键配置。