Код на GitHub, который хакеры хотели бы удалить – Agentic Threat Hunting Framework уже в сети

В экосистеме инструментов для threat hunting появился новый открытый проект, который предлагает решить одну из самых болезненных проблем охоты за угрозами — потерю контекста после завершения расследования. Agentic Threat Hunting Framework (ATHF) позиционируется как «слой памяти и автоматизации» для программ threat hunting: он не навязывает новую методологию, а помогает упорядочить работу так, чтобы прошлые охоты, находки и запросы оставались доступными и людям, и ИИ-ассистентам.

Создатели ATHF исходят из знакомой многим картины: охота закончилась, а знания расползлись по Slack, тикетам и личным заметкам аналитиков. Запросы в SIEM или EDR написаны один раз и забыты, выводы остаются «в голове» у участников, а при смене людей команда часто теряет накопленный опыт. С ИИ-инструментами ситуация, по задумке авторов, ещё хуже: без «памяти» о вашей инфраструктуре и предыдущих проверках они каждый раз стартуют с нуля. ATHF пытается закрыть этот разрыв, предлагая простой формат документирования и каталогизацию охот так, чтобы их можно было искать, перечитывать и использовать повторно.

В основе проекта — Markdown-подход: охоты оформляются как понятные текстовые документы и складываются в репозиторий, который со временем превращается в базу знаний. Для единообразия вводится шаблон LOCK (Learn → Observe → Check → Keep): сначала собирается контекст из разведданных, алертов или аномалий, затем формулируется гипотеза о поведении злоумышленника, после этого гипотеза проверяется целевыми запросами, и, наконец, фиксируются результаты и уроки. Идея в том, что структура достаточно простая для повседневной работы, но при этом достаточно строгая, чтобы её мог «понимать» агент или ассистент и на основе прошлых записей предлагать более точные проверки.

Отдельно ATHF описывает «пять уровней зрелости» агентного threat hunting — от нулевого, когда всё живёт в чатах и разрозненных заметках, до продвинутых стадий, где ИИ уже не только читает историю охот, но и запускает запросы через интеграции, а в перспективе — автономно мониторит и реагирует. При этом авторы подчёркивают, что большинству команд хватит первых двух уровней: начать можно с базового документирования и поиска по прошлым расследованиям, а более «агентные» сценарии — опциональны и требуют времени на внедрение.

Для тех, кто хочет не просто вести Markdown-файлы, в проекте предусмотрена CLI-утилита. Её предлагают устанавливать из PyPI пакетом agentic-threat-hunting-framework и дальше инициализировать рабочее пространство командой athf init, после чего создавать новые охоты, в том числе с привязкой к техникам MITRE ATT&CK и указанием платформы. Через CLI также можно выводить список охот, искать по содержимому, валидировать записи и смотреть статистику и покрытие по ATT&CK. При этом проект допускает и «нулевую» установку: можно просто клонировать репозиторий и начать вести охоты по шаблону без каких-либо инструментов, настроив файл с описанием вашей среды и источников данных, чтобы ассистенту было на что опираться.

Важный акцент ATHF — это не попытка заменить аналитиков или «автоматизировать всё». Скорее, авторы продвигают мысль о том, что память — это множитель эффективности: когда организация перестаёт терять знания из-за текучки и забытых заметок, а ИИ получает контекст о прошлых проверках и особенностях окружения, он превращается из «чат-бота наугад» в помощника, который действительно усиливает эксперта. В качестве иллюстрации в репозитории приводят пример охоты, где удалось обнаружить macOS-инфостилер, собиравший cookie-файлы Safari через AppleScript, и отдельно подчёркивают ценность поведенческих сигналов по сравнению с чисто сигнатурными.

Проект опубликован на GitHub, распространяется под MIT-лицензией и, судя по описанию, рассчитан на работу с любыми SIEM/EDR и любыми методологиями вроде PEAK или TaHiTI. Общий посыл сформулирован максимально практично: начать с малого — задокументировать одну охоту, придать ей структуру и постепенно нарастить «память» программы, которая со временем начнёт работать на команду.