Saltar al contenido
OSINT AI One

Que es OSINT AI One

En una frase

OSINT AI One es una plataforma autonoma de threat intelligence e investigacion que combina 28 herramientas OSINT con un agente de IA que razona sobre los resultados, sigue pistas automaticamente y produce informes estructurados.

El problema que resuelve

Investigar una amenaza tipicamente implica:

  1. Buscar la IP en VirusTotal manualmente
  2. Abrir AbuseIPDB en otra pestana
  3. Consultar Shodan
  4. Mirar si el dominio esta en feeds de amenazas
  5. Buscar en WHOIS quién lo registró
  6. Intentar correlacionar todo eso en tu cabeza
  7. Escribir el informe a mano

Eso para un solo IOC. Si tienes una lista de 50, es un trabajo de horas.

OSINT AI One automatiza todo este proceso: un agente ReAct selecciona las herramientas correctas, las ejecuta en paralelo, hace auto-pivot hacia IOCs relacionados, calcula un score de riesgo y escribe el informe.

Para quien es

  • Analistas de seguridad que investigan incidentes o IOCs
  • Blue teams que necesitan enriquecer alertas rapidamente
  • Pentesters que hacen reconocimiento previo a un engagement
  • Investigadores OSINT que gestionan investigaciones complejas con multiples fuentes
  • Threat hunters que monitorizan feeds y buscan indicadores
  • Desarrolladores que quieren integrar capacidades OSINT en sus aplicaciones

Lo que incluye

Threat Intelligence autonoma

  • 28 herramientas OSINT organizadas por tipo de IOC: IPs, dominios, URLs, hashes, y analisis contextual (noticias, geopolitica, mercados)
  • Agente ReAct (LangGraph) que razona en multiples pasos, selecciona tools y sigue pistas
  • Auto-pivot: extrae IOCs relacionados de los resultados y los sigue automaticamente (max 2 niveles)
  • Risk Dashboard: puntuacion compuesta 0-100 con niveles LIMPIO / BAJO / MEDIO / ALTO / CRITICO
  • Cache inteligente: SQLite con TTL configurable para evitar llamadas redundantes
  • Feeds en vivo: Feodo Tracker, URLhaus, IPsum, C2IntelFeeds, Cloudflare Radar

Gestion de investigaciones

  • Ciclo de vida completo: crear, archivar, reactivar investigaciones
  • Pipeline de evidencias: SHA-256 → dedup → extraccion de texto → chunks → embeddings ChromaDB
  • 12 tipos de entidad siguiendo la ontologia FollowTheMoney
  • Claims con trazabilidad: cada afirmacion enlazada a evidence_id + chunk_id + snippet
  • Busqueda semantica: ChromaDB con sentence-transformers multilingue
  • Alertas: busquedas programadas y deteccion de picos de actividad de entidades
  • Informes de 9 secciones: resumen ejecutivo, metodologia, hallazgos, entidades, evidencias, riesgos, proximos pasos

Protocolos y integraciones

  • MCP Server: 44 tools/resources/prompts para Claude Desktop, VS Code, Cursor
  • A2A Server: 5 skills via protocolo Google Agent-to-Agent
  • Claude Code: 15 skills + 4 agentes especializados
  • Python: todas las herramientas son funciones async importables directamente

Lo que NO es

  • No es un scanner activo: solo hace reconocimiento pasivo (DNS, APIs publicas, CT logs)
  • No es una herramienta de ataque: no hace brute-force, exploitation ni scanning de puertos
  • No reemplaza al analista: enriquece y acelera, el juicio humano sigue siendo necesario
  • No guarda datos en la nube: todo es local (SQLite, ChromaDB, ficheros)

Stack tecnico

CapaTecnologia
LLMOllama (Qwen3), OpenAI, Anthropic
AgenteLangChain + LangGraph (patron ReAct)
MCPFastMCP (STDIO + Streamable HTTP)
A2Aa2a-sdk (Google Agent-to-Agent)
Vector DBChromaDB + sentence-transformers multilingue
Base de datosSQLite con WAL mode
HTTPhttpx (async)
TerminalRich (paneles, tablas, Markdown)
ConfiguracionPydantic Settings con ficheros .env