做安全运维的朋友都知道,每天最头疼的不是那些“高级攻击”,而是无穷无尽的告警和杂活。
凌晨三点,SIEM系统响了——“检测到可疑登录”。你爬起来一看,哦,是出差同事从国外登的。确认完,关掉告警,写下“已核实无误”,躺回去。刚睡着,又一条告警。一晚上就这么折腾没了。
这就是安全运营的日常:90%的时间在重复做低价值的体力活,只有10%的时间真正在对付威胁。而市面上那些自动化工具(SOAR平台),动不动几十万一年,小团队根本用不起。
于是有了Tracecat。
Tracecat是干嘛的?
一句话:一个开源的、让AI帮你自动处理安全杂活的平台。
它是给安全团队用的“自动化工具箱”,核心做三件事:
第一,自动化跑流程。 那些每天都要干的破事儿——收到告警、查威胁情报、判断真假、打标签、建工单——你可以画一条自动化流程,让系统自己跑。比如“Slack收到一个IP,自动去VirusTotal查一下,如果是恶意IP就锁定,然后发个通知”。不用写代码,拖拖拽拽就行。
第二,工单管理。 所有安全事件统一收进一个“工单系统”,谁在处理、什么状态、处理了多久,一目了然。不用在微信群里@来@去问“这个谁在看”。
第三,AI干活。 这是它最骚的地方。你可以在流程里塞一个“AI节点”,让它帮你干需要动脑子的事儿——给告警打MITRE ATT&CK标签、用自然语言总结告警内容、判断是真攻击还是误报。
最酷的是:AI不光能“跑流程”,还能“帮你写流程”
Tracecat最新版本搞了个特别牛的功能:MCP支持。
什么意思呢?你可以用自然语言跟AI说“帮我建一个流程:每天凌晨两点,扫描所有AWS S3存储桶的公开权限配置”,AI直接帮你把整个流程写出来。
甚至你可以在Cursor、Claude Code这些IDE里,直接让AI调用Tracecat的功能——建立流程、查工单、跑任务,全部用自然语言搞定。
也就是说,安全运维人员的“工具箱”不再是静态的按钮和脚本,而是一个“会听你说话的AI助手”。
比商业SOAR强在哪?
传统SOAR平台的痛点很明显:贵、封闭、维护成本高。
Tracecat的解法很直接:
- 开源免费:你可以自己部署,不用付一分钱授权费
- 自己掌控数据:部署在自己服务器上,所有日志、工单都不经过第三方
- AI原生设计:不是“加个AI插件”,而是从一开始就把AI当作核心组件来设计
谁在用?
Tracecat虽然2023年才成立(Y Combinator孵化,种子轮融资50万美金),但GitHub上已经有超过10,000颗星,社区活跃度很高。
一个典型的用户场景:某中型SaaS公司,安全团队就2个人,每天收到几百条云告警。用Tracecat搭了一套自动化:告警进来→AI打标签→低风险自动归档、高风险推到Slack人工确认。两个人的团队,一天处理500条告警,还能正常上班不加班。
上手有多难?
官方提供了Docker Compose一键部署,跑几条命令,几分钟就能把整套环境搭起来。
如果你不想折腾服务器,官方也有云服务版本,开箱即用。
对于喜欢“命令行式工作”的安全工程师,它还有个CLI工具,可以直接在终端里管理流程和工单。
说人话总结
Tracecat就是给安全团队用的“自动化流水线”。
- 以前:告警来了→人工查→人工判断→人工打标签→人工处理
- 现在:告警来了→AI过滤→自动化跑流程→只有需要人介入的才推给你
它不是在抢你的饭碗,是在帮你把时间从“对着一堆告警点头摇头”里解放出来,让你只做那些真正需要人脑判断的事情。
如果你是个恨不得把一切都自动化、但又不想被商业软件绑架的安全工程师,Tracecat值得你花一天试试。
夜雨聆风