Über das System
Wie der CTI-Swarm funktioniert
Auto-CTI-Swarm ist eine 6-Phasen-Pipeline in Python, die täglich Cyber-Threat-Quellen einliest, mit Claude anreichert, deterministisch scort und nach Cloudflare R2 schreibt. Diese Website ist das Lese-Frontend: sie hält keine eigene Datenbank, sondern rendert direkt aus R2.
Architektur
Datenfluss
Von der RSS-Zeile bis zum Browser:
-
Ingestion
RSS (Alerts, News, Research, Strategic), NVD, CISA KEV, FIRST.org EPSS. HTML-Cleanup, CVE-Extraktion, Regex-Filter gegen Prompt-Injection.
-
Enrichment
Claude Haiku triagiert (relevant für Joel Traber AG?), Correlator fasst CVE-Cluster zusammen, NVD-CPE/EPSS/KEV-Bulk-Lookup, Vendor-Konsistenz.
-
Risk Scoring
Rein deterministisch: CVSS + KEV-Bonus + EPSS + Industry-Gewicht + Freshness-Decay. Kein LLM, reproduzierbar.
-
Deep Dive
Nur für hochbewertete Alerts (Score ≥ 65 oder KEV): Claude Sonnet erzeugt Impact + Mitigation, MITRE-ATT&CK-Mapping wird gegen die offizielle Matrix validiert.
-
Consensus
6 Regex-Regeln finden Widersprüche (KEV-Denial, CVSS-Lowrisk …). Top-5-Alerts mit Score ≥ 85 gehen zusätzlich durch ein Multi-Model-Vote (Sonnet vs. DeepSeek).
-
Output → R2
Executive- + Technical-Report (JSON + PDF), Weekly-Dossier, Telegram + Email für KEV ≥ 85, alles persistent in Cloudflare R2 unter index/{date}.json.
-
Diese Website
Astro 5 + Cloudflare Pages Functions lesen R2 mit einem R2-Binding (kein S3-Roundtrip, kein API-Key in der Edge). 60s Edge-Cache pro Endpoint.
Kosten · alles im Free Tier
Die ganze Stack läuft auf Free-Tier-Quotas. Einzige bezahlte Komponente: die Claude-API-Calls (mit Prompt-Caching ~90% günstiger).
| Dienst | Free-Tier-Limit | Aktuell |
|---|---|---|
| Cloudflare R2 (storage) | 10 GB | 160.6 MB |
| Cloudflare R2 (Class A ops, MTD) | 1 000 000 / Monat | 42’180 |
| Cloudflare R2 (Class B ops, MTD) | 10 000 000 / Monat | 614’325 |
| Cloudflare Pages | unbegrenzte Requests · 500 Builds / Monat | · |
| GitHub Actions | 2 000 min / Monat | · |
| Anthropic Claude API | kostenpflichtig (~90% Caching-Rabatt) | $7.18 MTD · cache hit 81% |
| Resend (Email) | 3 000 / Monat | · |
| Telegram Bot API | frei (Bot Rate-Limit) | · |
| Jina Reader | 1 M Tokens / Monat | · |
| NVD · CISA KEV · FIRST.org EPSS | frei (öffentlich) | · |
Stand: 19.5.2026, 07:30:00
Tech-Stack
Pipeline (cti-agents)
- · Python 3.12
- · Pydantic v2 + pydantic-settings
- · httpx + tenacity (Retries)
- · Anthropic SDK + OpenAI-SDK (DeepSeek-kompatibel)
- · boto3 (Cloudflare R2 / S3-API)
- · feedparser (RSS/Atom)
- · structlog (JSON Logs)
- · WeasyPrint + Jinja2 (PDF)
- · Matplotlib (Charts, Agg-Backend)
- · pytest + respx (385 Tests)
Web (cti-swarm-web)
- · Astro 5 + @astrojs/cloudflare (output: server)
- · React 19 (optional, shadcn)
- · Tailwind CSS v4 + @tailwindcss/vite
- · Zod (R2-Schema-Validierung)
- · Cloudflare Pages Functions + R2-Binding
- · Playwright + axe (E2E + a11y)
- · Lighthouse (Self-Review-Loop)
Quellcode
Beide Repositories sind privat. Architektur-Details, Prompts, Konsens-Regeln und Tests liegen vollständig im Code, keine versteckte Logik in Closed-Source-Diensten.