The Flywheel: Every Scan Makes Everyone Safer
How Threat Crystallization works: LLM catches a novel attack, generates a regex rule, distributes to all users in under 1 hour. Zero barrier -- users just scan. 3+ confirmations auto-promote to production. One scan protects the whole network.
中心化偵測的問題
傳統資安產品的運作模式:廠商養一支威脅研究團隊,團隊發現新攻擊模式,團隊寫偵測規則,廠商把更新推給客戶,客戶等待。這個循環要花數天到數週。在發現到部署的空窗期裡,每個客戶都暴露在新攻擊之下。在 MCP 生態系中,新攻擊模式每天都在出現,新套件每小時都在發布。以天為單位的更新週期太慢了。
Threat Crystallization 如何運作
Threat Crystallization 是把 LLM 偵測到的新型攻擊轉化為正式 regex 規則並分發給所有使用者的流程。管線分四個階段: 階段 1 -- 偵測:使用者執行 `pga scan`。ATR regex 引擎執行 71 條規則。如果 regex 引擎標記了什麼,立即回報。如果 regex 引擎沒發現但可選的 LLM 審查偵測到威脅,發現會升級到階段 2。 階段 2 -- 結晶:LLM 發現會被分析,提取出使其具有惡意性的特定文字模式。系統自動從這個模式生成候選 regex 規則,並對已知安全的 Skills 語料庫進行測試,確保不會產生誤報。 階段 3 -- 確認:候選規則上傳到 Threat Cloud 作為待審規則。當 3 個以上獨立使用者掃描的 Skills 觸發同一條候選規則,它自動升級為正式規則。3 次確認門檻防止個別誤報變成全域規則。 階段 4 -- 分發:正式規則加入 ATR 規則集,在 1 小時內分發給所有 PanGuard 安裝。每個使用者都獲得新的偵測能力,不需要更新,不需要設定,不需要知道被發現的威脅是什麼。
零貢獻門檻
這個系統的關鍵設計決策:使用者不需要做任何特別的事就能貢獻。不需要寫規則,不需要回報發現,不需要懂資安。只需要掃描自己的 Skills。系統自動從掃描結果中提取威脅情報。MCP 生態系的使用者大多不是資安專家。要求他們寫偵測規則或填威脅報告,結果是零貢獻。把貢獻做成隱式的——正常掃描的副產品——每個使用者都是偵測網路中的一個感測器。
速度:1 小時 vs. 數週
委員會式安全標準(NIST、ISO、甚至 OWASP)的審查週期以週或月為單位。新威脅被回報、討論、分類、起草、審查、修改、發布。這個過程產出嚴謹標準,但新興威脅數週無法被處理。ATR 搭配 Threat Crystallization 在完全不同的時間尺度上運作:偵測新攻擊、生成 regex 規則、三次確認升級、1 小時內分發。從發現到全域防護:大多數情況下不到 60 分鐘。速度有代價——結晶化規則比手寫專家規則較不精細。但一條能在 1 小時內捕獲 80% 新攻擊模式的規則,比一條要 3 週才能捕獲 99% 的規則更有價值。
飛輪效應
網路效應讓系統隨時間變得更強:更多使用者掃描代表遇到更多新型攻擊。更多攻擊被遇到代表生成更多候選規則。更多候選規則代表更快達到確認門檻。更快確認代表更快分發。更快分發代表更好的防護。更好的防護代表更多使用者信任系統。更多使用者代表更多掃描。這和 Snort 在 IDS 領域、VirusTotal 在惡意程式分析、ClamAV 作為開源防毒的成功是同一個飛輪。網路就是產品,每個節點都讓其他每個節點更安全。
隱私
Threat Cloud 接收匿名威脅簽章,不是原始 Skills 內容。簽章包含:觸發的 ATR 規則 ID、匹配模式的雜湊值、嚴重等級和時間戳。不包含:Skills 名稱、使用者身分、檔案內容或任何個人識別資訊。使用者可以執行 `pga scan --offline` 完全退出 Threat Cloud 通訊,同時仍提供完整的本地掃描。
試試看
你的每一次掃描都讓網路更強: ```bash npm install -g @panguard-ai/panguard pga scan ``` 保護自己,同時保護所有人。這就是飛輪。