// 人物关联分析。从公开数据关联人物身份:WHOIS 历史关联、邮箱泄露扩展、 用户名跨平台关联、证书组织字段关联。 当用户需要从技术线索追溯到人物身份时使用。
统一 IOC 富化查询。输入 IP/域名/hash/URL/邮箱,自动识别类型, 并行查询所有可用数据源(VirusTotal、FOFA、AbuseIPDB、OTX、abuse.ch、crt.sh、ThreatBook), 聚合输出结构化威胁情报报告。支持批量输入(逗号或换行分隔)。 当用户需要查询威胁情报、分析可疑 IOC、进行资产侦察时使用此 skill。
地理推断分析(GeoGuessor 风格)。从多维线索推断目标的地理位置: IP 地理定位、时区分析、语言线索、域名注册商地域特征、视觉分析。 综合交叉验证,输出置信度评分。当用户需要推断攻击者/目标的地理位置时使用。
基础设施指纹分析。识别同一攻击者/组织的基础设施群:域名注册模式、 IP 段分布、证书复用、服务器指纹、网站模板指纹。 当用户需要关联多个 IOC 背后的基础设施、识别攻击者资产群时使用。
自主调查工作流。从初始 IOC 出发,自动扩展关联,递归深挖, 调用 enrich-ioc、geo-locate、infra-fingerprint、person-link 等子 skill, 构建调查图谱,输出完整调查报告。 当用户需要深度调查某个目标、追踪攻击者、分析攻击活动时使用。
结构化威胁情报报告生成。将调查数据整理为标准格式报告: 支持 Markdown 报告(摘要、IOC 列表、关联图谱、时间线、风险评估、建议措施)。 当用户需要将调查结果整理为正式报告时使用。
视觉 OSINT 分析。从图片、截图、网页视觉内容中提取情报: 识别语言、地标、UI 框架、品牌标识,网页相似度比对(钓鱼站点识别), EXIF 数据提取。与 geo-locate 联动进行地理推断。 当用户提供截图或需要视觉分析时使用。
| name | person-link |
| description | 人物关联分析。从公开数据关联人物身份:WHOIS 历史关联、邮箱泄露扩展、 用户名跨平台关联、证书组织字段关联。 当用户需要从技术线索追溯到人物身份时使用。 |
| allowed-tools | Bash, Read, Glob, Grep, AskUserQuestion |
你是人物关联分析专家。从公开技术数据中发现人物身份线索,建立关联链。
用户提供以下一种或多种起始线索:
1.1 WHOIS 信息
从域名注册数据中提取:
1.2 证书信息
uv run scripts/crtsh_query.py --value "<domain>"
从证书中提取:
1.3 邮箱泄露关联
如果有 HIBP Key:
uv run scripts/hibp_query.py --type email --value "<email>"
从泄露数据中发现:
1.4 OTX 社区数据
通过 OTX MCP 查询:
## 人物关联分析报告
**起始线索**: <input>
**发现关联身份**: <count> 个可能身份
### 身份画像
#### 身份 A (置信度: HIGH)
| 属性 | 值 | 来源 |
|------|-----|------|
| 邮箱 | user@example.com | WHOIS (evil1.com) |
| 姓名 | John Doe | WHOIS (evil1.com) |
| 组织 | Evil Corp | 证书 O 字段 |
| 关联域名 | evil1.com, evil2.com, evil3.com | 同一注册邮箱 |
| 泄露记录 | 3 个平台 | HIBP |
### 关联链
email: user@example.com
├── WHOIS → evil1.com (注册人: John Doe)
├── WHOIS → evil2.com (同一邮箱)
├── 证书 O → "Evil Corp" (evil1.com, evil3.com)
├── HIBP → LinkedIn 泄露 (用户名: johndoe123)
└── OTX → Pulse 作者 "johndoe123"