mcp-threatintel - 支持多源查询，集成多平台，免密钥追踪僵尸网络的MCP威胁情报服务器

MCP Threatintel

MCP威胁情报服务器提供统一访问多个威胁情报源的能力，支持IP、域名、哈希和URL查询，集成AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch等平台，无需API密钥即可使用Feodo Tracker进行僵尸网络追踪。

安全研究与数据 #威胁情报 #安全分析 #多源查询 #僵尸网络追踪 .TypeScript

评分 : 2分

下载量 : 5.7K

更新时间 : 2025-12-29

打开站点

什么是MCP威胁情报服务器？

这是一个Model Context Protocol (MCP)服务器，专门为安全研究人员、事件响应人员和威胁分析师设计。它允许您通过统一的接口查询多个威胁情报源，无需在不同平台间切换。无论是检查IP地址、域名、文件哈希还是URL，都可以在一个地方完成所有查询。

如何使用威胁情报服务器？

首先需要配置Claude Desktop或Claude Code，添加服务器配置并设置API密钥。然后就可以通过自然语言提问来查询威胁情报，例如'检查这个IP是否恶意'或'查找这个域名的信誉信息'。服务器会自动将您的查询分发到所有已配置的情报源并汇总结果。

适用场景

适用于安全事件调查、威胁狩猎、恶意软件分析、网络监控和日常安全运营。特别适合需要快速验证威胁指标、关联不同情报源信息或减少误报的场景。

主要功能

统一查询

支持IP地址、域名、文件哈希(MD5/SHA1/SHA256)和URL的统一查询，一次查询即可获取多个情报源的结果。

多源整合

整合AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch(URLhaus、MalwareBazaar、ThreatFox、Feodo Tracker)等多个权威威胁情报源。

免费层友好

支持各服务的免费API层，Feodo Tracker甚至无需API密钥即可使用，降低使用门槛。

优雅降级

当某个情报源不可用时，其他源仍能正常工作，确保查询服务的高可用性。

僵尸网络追踪

通过Feodo Tracker免费追踪活跃的僵尸网络C2服务器，包括QakBot、Emotet、Dridex等威胁。

威胁脉搏

访问AlienVault OTX的威胁脉搏，获取最新的威胁情报和攻击活动信息。

优势

一站式查询：无需在多个浏览器标签页间切换，所有情报源查询在一个界面完成

节省时间：并行查询多个情报源，大幅提高调查效率

情报关联：自动关联不同情报源的信息，提供更全面的威胁视图

成本效益：充分利用各服务的免费层，降低运营成本

易于集成：通过MCP协议轻松集成到Claude等AI助手

零配置可用：即使没有API密钥，Feodo Tracker功能仍可正常使用

局限性

API限制：免费层有查询频率限制，可能影响大规模查询

依赖外部服务：服务可用性取决于第三方API的稳定性

需要配置：需要手动配置API密钥才能使用完整功能

数据延迟：某些情报源的数据更新可能有延迟

功能限制：免费层可能无法访问某些高级功能或历史数据

如何使用

获取API密钥

根据需要使用的情报源，前往相应网站注册并获取API密钥。AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch都提供免费层。

配置Claude Desktop

在Claude Desktop配置文件中添加MCP服务器配置。macOS用户编辑~/Library/Application Support/Claude/claude_desktop_config.json，Windows用户编辑%APPDATA%\Claude\claude_desktop_config.json。

重启Claude

保存配置文件后重启Claude Desktop或Claude Code，服务器将自动启动。

开始查询

使用自然语言向Claude提问，例如'检查这个IP地址'或'查找域名的威胁情报'。

使用案例

IP地址调查

在安全事件响应中，收到可疑IP地址需要快速验证其威胁等级。

域名信誉检查

收到可疑邮件包含的链接域名需要验证是否恶意。

文件哈希验证

下载的可疑文件需要验证是否已知恶意软件。

僵尸网络监控

监控当前活跃的僵尸网络基础设施以加强防御。

威胁情报搜索

搜索特定威胁活动的最新情报。

常见问题

没有API密钥可以使用吗？

免费层有什么限制？

查询结果不完整怎么办？

如何获取API密钥？

数据更新频率如何？

支持哪些文件哈希类型？

遇到'429 Too Many Requests'错误怎么办？

🚀 MCP威胁情报服务器

MCP威胁情报服务器为安全研究和分析提供对多个威胁情报源的统一访问，能帮助用户更高效地获取和分析威胁情报。

🚀 快速开始

MCP服务器可提供对多个威胁情报源的统一访问，适用于安全研究、事件响应或威胁分析等场景。

✨ 主要特性

统一查询：可同时跨多个来源查询 IP、域名、哈希值和 URL。
减少上下文切换：无需为不同的情报源打开多个浏览器标签。
关联情报：在一个响应中查看所有配置来源的结果。
免费层级友好：可与免费 API 层级配合使用，当来源不可用时能优雅降级。
无密钥可用：Feodo Tracker（僵尸网络 C2）无需任何 API 密钥即可使用。

具体能力

类别	功能
统一查询	跨所有来源查询 IP、域名、文件哈希、URL
AlienVault OTX	威胁脉冲、妥协指标、社区情报
AbuseIPDB	IP 信誉、滥用报告、置信度分数
GreyNoise	区分互联网噪声和定向攻击、扫描器识别
abuse.ch	URLhaus、MalwareBazaar、ThreatFox、Feodo Tracker

📦 安装指南

使用 npm（推荐）

npx mcp-threatintel-server

或全局安装：

npm install -g mcp-threatintel-server

从源代码安装

git clone https://github.com/aplaceforallmystuff/mcp-threatintel.git
cd mcp-threatintel
npm install
npm run build

🛠️ 配置说明

针对 Claude Desktop

添加到 Claude Desktop 配置文件：

macOS：~/Library/Application Support/Claude/claude_desktop_config.json
Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

针对 Claude Code

添加到 ~/.claude.json：

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

API 密钥说明

服务	是否必需	免费层级	获取密钥
AlienVault OTX	可选	是（无限制）	otx.alienvault.com
AbuseIPDB	可选	是（每天 1000 次）	abuseipdb.com
GreyNoise	可选	是（有限制）	greynoise.io
abuse.ch	可选	是	auth.abuse.ch
Feodo Tracker	否	是	公共 JSON 源

注意：工具会根据你提供的 API 密钥动态启用。Feodo Tracker 无需身份验证（公共 JSON 源）即可使用。

💻 使用示例

检查可用来源

"What threat intel sources are configured?" "Show me threatintel status"

IP 调查

"Check if 185.220.101.1 is malicious" "Look up this IP across all threat intel sources"

域名分析

"Is evil-domain.com known to be malicious?" "Check domain reputation"

恶意软件哈希查询

"Look up this SHA256 hash in threat intel" "Is this file hash known malware?"

URL 分析

"Check if this URL is in any blocklists"

僵尸网络跟踪（无需 API 密钥）

"Show me active botnet C2 servers" "Get Feodo tracker data for Emotet"

威胁脉冲

"Search OTX for recent ransomware pulses" "Get latest threat intelligence pulses"

🛠️ 可用工具

状态检查

工具	描述
`threatintel_status`	检查配置了哪些威胁情报源

统一查询

工具	描述
`threatintel_lookup_ip`	在所有配置的来源中查询 IP
`threatintel_lookup_domain`	在所有配置的来源中查询域名
`threatintel_lookup_hash`	在所有来源中查询文件哈希（MD5/SHA1/SHA256）
`threatintel_lookup_url`	在所有来源中查询 URL

AbuseIPDB（需要 API 密钥）

工具	描述
`abuseipdb_check`	检查 IP 信誉和滥用历史

AlienVault OTX（需要 API 密钥）

工具	描述
`otx_get_pulses`	获取最近的威胁情报脉冲
`otx_search_pulses`	按关键字搜索脉冲

GreyNoise（需要 API 密钥）

工具	描述
`greynoise_ip`	检查 IP 是互联网噪声还是定向威胁

URLhaus（需要 abuse.ch 认证密钥）

工具	描述
`urlhaus_lookup`	在 URLhaus 中查询 URL、域名或 IP
`urlhaus_recent`	获取最近的恶意软件 URL

MalwareBazaar（需要 abuse.ch 认证密钥）

工具	描述
`malwarebazaar_hash`	按哈希值查询恶意软件样本
`malwarebazaar_recent`	获取最近的恶意软件样本
`malwarebazaar_tag`	按标签搜索样本

ThreatFox（需要 abuse.ch 认证密钥）

工具	描述
`threatfox_iocs`	从 ThreatFox 获取最近的 IOC
`threatfox_search`	搜索 ThreatFox 的 IOC

Feodo Tracker（无需密钥）

工具	描述
`feodo_tracker`	获取活跃的僵尸网络 C2 服务器（QakBot、Emotet、Dridex 等）

🛠️ 开发说明

# 开发时的监听模式
npm run watch

# 构建 TypeScript
npm run build

# 本地运行
node dist/index.js

🐞 故障排除

"No threat intel sources configured"

你可以在不使用任何 API 密钥的情况下使用服务器，Feodo Tracker 仍然可以正常工作。对于其他来源，请在配置中添加相应的 API 密钥。

"API error: 401 Unauthorized"

你的 API 密钥无效或已过期，请从相应服务生成新的密钥。

"API error: 429 Too Many Requests"

你已超出服务的速率限制，请等待一段时间或升级你的 API 层级。

部分结果

如果某些来源返回错误，统一查询工具仍将返回正常来源的结果。检查 threatintel_status 以查看哪些来源配置正确。

📚 详细文档

数据源说明

AlienVault OTX：开放威胁交换平台，是一个社区驱动的威胁情报平台，包含带有妥协指标的脉冲信息。
AbuseIPDB：众包 IP 信誉数据库，包含来自全球网络管理员的滥用报告。
GreyNoise：可识别扫描互联网的 IP 和定向攻击，有助于减少威胁检测中的误报。
abuse.ch 项目：
- URLhaus：恶意软件分发 URL 库。
- MalwareBazaar：恶意软件样本库。
- ThreatFox：IOC 共享平台。
- Feodo Tracker：僵尸网络 C2 基础设施跟踪工具。