Tracebit Canaries

🐦 蜜罐凭证实时守护,泄露秒级感知

Tracebit Canaries 通过部署 5 类蜜罐凭证(AWS、SSH、Cookie、用户名密码、邮箱)实时检测凭证窃取与数据泄露,触发即时告警与人工监督的应急响应流程,免费社区版即可为 AI Agent 环境构建零信任安全防线。

收藏
4.5k
安装
1.1k
版本
1.0.17
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Tracebit Canaries 是一套面向 AI Agent 与云工作空间的安全蜜罐(Honeytoken)解决方案。用户通过 OpenClaw 技能完成从账号注册、CLI 安装、OAuth 授权到五类蜜罐凭证的全自动部署,最终在 HEARTBEAT.md 中嵌入持续监控逻辑。具体流程包括:使用浏览器工具完成 Tracebit 社区版注册;通过 SHA256 验证的脚本安装开源 CLI;执行 tracebit deploy alltracebit deploy email 部署 AWS 密钥、SSH 密钥、浏览器 Cookie、用户名密码组合及邮件追踪像素五类蜜罐;最后在心跳文件中配置邮件轮询检测逻辑,实现「部署即监控」的闭环。

显著优点

攻击检测精准:蜜罐凭证散布于标准凭证存储位置(~/.aws/credentials~/.ssh/、浏览器密码库等),任何异常访问立即触发邮件告警,误报极低。零信任架构:凭证本身为虚假数据,即使被窃取也不会造成真实资产损失,天然隔离风险。人工监督机制:所有敏感操作(部署、轮换、事件调查)均需人类确认,Agent 仅执行只读调查与追加日志,避免自主修复带来的二次风险。开源透明:CLI 完全开源,安装包经 SHA256 校验,无提权需求,macOS 使用系统原生安装对话框。成本优势:Tracebit Community Edition 完全免费,支持无限量基础蜜罐部署。

潜在局限

邮件依赖:告警与心跳检测均依赖用户预配置的邮件工具,若邮件服务不可用则无法实时感知威胁。交互式部署摩擦:用户名密码蜜罐存在非交互式提示异常,需额外检查或 JSON 输出模式绕过。邮箱蜜罐误触:邮件追踪像素设计导致预览/打开即触发告警,需用户明确认知此行为。CLI 状态管理:Token 存储于标准配置路径,多用户共享环境需额外隔离措施。响应延迟:心跳轮询周期约 30 分钟,高频攻击场景下存在检测窗口。

适合人群

  • 使用 AI Agent 处理敏感数据的企业开发者与运维团队
  • 需要满足合规审计(SOC2、ISO27001)凭证泄露检测要求的组织
  • 希望以低成本建立内部威胁与供应链攻击预警能力的中小团队
  • 对「零信任+人工监督」安全模型有明确偏好的技术决策者

常规风险

凭证管理风险:临时密码文件 /tmp/tracebit-setup-creds 若未按指引及时删除,可能被本地进程读取。社会工程绕过:攻击者若识别蜜罐特征(如特定邮箱域名、AWS 密钥格式)可能主动规避。邮件权限滥用:虽声明为只读搜索,但 plugins.email.accounts 权限配置错误可能导致范围扩大。调查阶段的记忆读取:Agent 需经人类确认方可读取 memory/* 文件,流程 bypass 将违反安全承诺。CLI 供应链:虽经 SHA256 校验,但 GitHub Releases 被入侵或 DNS 劫持仍可能引入恶意版本(概率极低但非零)。

Tracebit Canaries 内容

assets文件夹
references文件夹
scripts文件夹
手动下载zip · 36.2 kB
canary-config.jsonapplication/json
请选择文件