一个真正利用 AI 的离线终端安全工具
像烛光照亮黑暗一样,把你看不见的威胁照出来、讲清楚 —— 全程离线,数据永不出本机。
📥 下载 Candlelight DemoThe Problem
传统杀毒与 EDR 有三个长期痛点,恰恰是烛光的突破口。
告警只有一堆进程名、事件编号和哈希值,普通人甚至 IT 人员都难判断到底危不危险。
云端安全产品要把终端行为数据上传服务器,隐私与合规上让人顾虑,断网内网更是无法使用。
海量低质告警淹没真正的威胁,误报多、噪声大,重要的事反而被忽略。
The Idea
烛光是一款全程离线运行、纯 C++ 打造的 Windows 桌面端 AI 终端安全防护系统(EDR)。它在内核级采集终端行为,用本地引擎识别攻击链,再由本地 AI 模型把冰冷的告警翻译成人人都能看懂的威胁故事 —— 而这一切,数据永不出本机。
Why It's Truly AI-Powered
传统 EDR 给你一堆 Event ID;烛光给你一段攻击故事 —— 谁、做了什么、为什么危险、影响多大。
本地 AI 对告警自动去重、压制误报、按真实风险分级,把"海量噪声"压缩成"几条真正要看的事"。
在完全断网的环境下依然具备"检测 + 解释 + 处置建议"的完整能力,把过去依赖云端和专家的能力装进本机。
"检测到一个伪装成 svchost.exe 的进程,从临时目录 %TEMP% 启动,其父进程为一个 Office 文档宏。该进程随后尝试写入注册表启动项以实现开机自启,并向一个境外 IP 发起加密外联。综合判断:这是一次典型的'钓鱼文档 → 木马下载器 → 持久化驻留'攻击链。建议立即隔离该进程并断开网络。"
● 风险等级:高AI De-noising
本地 AI 分级压制后,需要人工关注的告警数量大幅下降,真正的高危威胁被凸显出来。
Architecture
除前端浏览器外,采集、分析、AI 推理、后端服务同处一个 C++ 进程,靠线程安全队列与直接函数调用协作。ONNX Runtime 与 llama.cpp 本身即 C++ 库,原生亲和。
flowchart TB UI["前端可视化层 · HTML/JS + ECharts
风险时间线 · 行为可视化 · 一键导出报告"] subgraph PROC["单一 C++ 进程"] direction TB API["后端服务 · cpp-httplib
REST + WebSocket"] AI["本地智能模块 · ONNX Runtime + llama.cpp
风险解释 · 日志总结 · 告警分类(全离线)"] ENGINE["行为分析引擎 · C++
行为序列 · 风险评分 · 攻击链识别 · 异常检测"] KERNEL["内核监控层 · C++ / ETW
文件 · 注册表 · 进程 · 驱动加载事件"] API -.直接函数调用.- AI AI -.直接函数调用.- ENGINE ENGINE -.线程安全队列.- KERNEL end UI <-->|"本地 HTTP / WebSocket"| API
How It Works
Users & Scenarios
Value
全程离线推理,行为数据与 AI 分析都留在本机、物理断网也能工作,把过去依赖云端和安全专家的能力,安全地装进每个人的电脑,特别适配隐私敏感的办公场景。
AI 自动把原始告警翻译成"谁、做了什么、为什么危险"的中文威胁故事,并降噪分级、一键生成报告,让非专业用户也能几秒看懂、快速处置,大幅降低安全运维门槛。