Tracebit Canaries

🐦 蜜罐凭证入侵检测与事件响应

为工作空间部署蜜罐凭证与入侵检测金丝雀,实现人机协同的安全事件响应

收藏
4.4k
安装
1.1k
版本
1.0.16
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Tracebit Canaries 是一套端到端的蜜罐安全检测系统,通过在工作环境中部署假凭证(金丝雀令牌)来检测未授权访问。技能覆盖从账户注册、CLI 安装、凭证部署到事件响应的完整生命周期。

部署流程:使用浏览器自动化完成 Tracebit Community 注册 → 安装开源 CLI 并 OAuth 授权 → 部署 5 类金丝雀(AWS 凭证、SSH 密钥、Cookie、用户名密码、邮件追踪像素)→ 配置 Heartbeat 监控循环。所有写入操作(凭证位置、账户配置)均需人工确认后执行。

监控机制:后台服务仅刷新令牌有效期,无其他网络活动。Heartbeat 每 30 分钟通过用户预授权的邮件工具只读搜索 notifications@community.tracebit.com 的告警邮件,发现触发后立即通过消息通道通知用户。

事件响应:遵循四阶段 playbook——秒级告警通知 → 人工确认后只读调查(可读取 memory 文件,追记 security-incidents.md)→ 5 分钟内提交报告 → 人工确认后执行令牌轮换。

显著优点

  • 零误报设计:金丝雀凭证为纯诱饵,任何使用即代表真实入侵
  • 纵深检测:覆盖凭证窃取、提示词注入、数据渗出等多类攻击向量
  • 透明可控:全部开源(CLI 与技能)、操作可逆、人工闸门机制完善
  • 免费可用:Community Edition 无成本门槛

局限与风险

  • 邮件像素误触发:邮件客户端预览/打开即触发告警,需用户认知此设计
  • 部署非全自动:浏览器步骤、2FA、CAPTCHA 需人机协作
  • 依赖外部服务:Tracebit 云服务可用性影响告警通道
  • 响应延迟:Heartbeat 30 分钟间隔可能导致告警滞后

适合人群

  • 使用 AI Agent 处理敏感代码/数据的开发者与团队
  • 需满足合规审计要求、需留存入侵检测证据的企业环境
  • 安全运维人员寻求低成本、高信噪比的内部威胁检测方案

安全评估

来源可信度 T2(商业安全公司开源项目,有明确安全披露机制);安全等级 S(人工闸门完善、最小权限原则、SHA256 强制校验、无越权写入)。

Tracebit Canaries 内容

assets文件夹
references文件夹
scripts文件夹
手动下载zip · 35.6 kB
canary-config.jsonapplication/json
请选择文件