Referencia CLI
Comando principal: osint-agent
osint-agent [OPTIONS] [COMMAND]Modos de ejecucion
Modo interactivo (default)
osint-agentAbre el prompt osint> para sesion interactiva.
Query unica
osint-agent -q "Investiga la IP 185.220.101.34"osint-agent -q "Analiza el dominio evil.com" --json| Flag | Descripcion |
|---|---|
-q, --query TEXT | Query a ejecutar en modo no interactivo |
--json | Salida en formato JSON |
Modo batch desde fichero
osint-agent --batch iocs.txtosint-agent --batch iocs.txt --limit 20 --json| Flag | Descripcion |
|---|---|
--batch PATH | Ruta a fichero con un IOC por linea |
--limit N | Maximo de IOCs a procesar (default: 10) |
--json | Salida JSON por IOC |
Modo batch desde feed
osint-agent --feed feodo --limit 5osint-agent --feed urlhaus --limit 3 --json| Flag | Descripcion |
|---|---|
--feed NAME | Nombre del feed: feodo, urlhaus, ipsum, c2intel, cloudflare |
--limit N | Numero de IOCs a analizar del feed |
--json | Salida JSON |
Flags globales
| Flag | Descripcion |
|---|---|
--help | Muestra ayuda |
--version | Muestra la version |
--verbose | Salida detallada (debug) |
Subcomandos de investigacion
investigation create
osint-agent investigation create "Caso Acme Corp" --goal "Due diligence"| Flag | Descripcion |
|---|---|
NAME | Nombre de la investigacion |
--goal TEXT | Objetivo de la investigacion |
investigation list
osint-agent investigation listLista todas las investigaciones con su estado (activa, archivada).
investigation use
osint-agent investigation use caso-acme-corpActiva una investigacion por su slug. Escribe el slug en data/.active.
investigation archive
osint-agent investigation archive caso-acme-corpinvestigation reactivate
osint-agent investigation reactivate caso-acme-corpComandos de estado
status
osint-agent statusMuestra el resumen de la investigacion activa: nombre, objetivo, numero de evidencias, entidades, claims.
limits
osint-agent limitsMuestra el consumo de cuotas mensuales de operaciones.
Comandos en el prompt interactivo
Una vez dentro del prompt osint>:
| Comando | Descripcion |
|---|---|
/dashboard | Tabla de riesgo de todos los IOCs investigados en la sesion |
/report save | Guarda informe Markdown en reports/ |
/report preview | Muestra preview del informe en terminal |
/cache stats | Estadisticas del cache SQLite |
/cache clear | Limpia el cache (siguiente consulta ira a la API) |
/feeds list | Lista los feeds disponibles |
/feeds <nombre> --limit N | Analiza los N IOCs mas recientes de un feed |
/help | Lista de comandos disponibles |
exit / quit | Salir del agente |
MCP Server: osint-mcp
osint-mcp # STDIOosint-mcp --transport streamable-http --port 8080 # HTTPosint-mcp --helpA2A Server: osint-a2a
osint-a2a # default: 0.0.0.0:9000osint-a2a --port 9090 # puerto personalizadoosint-a2a --host 127.0.0.1 # solo localhostosint-a2a --helpEjemplos practicos
# Investigacion rapida de un IOCosint-agent -q "Investiga la IP 8.8.8.8"
# Analisis de dominio con salida JSON para scriptingosint-agent -q "Analiza el dominio google.com" --json | jq '.risk_score'
# Analizar los 5 C2 mas activos de Feodoosint-agent --feed feodo --limit 5
# Batch de una lista de IOCs con pausa de 3s entre cada unoBATCH_DELAY_SECONDS=3 osint-agent --batch suspicious_ips.txt
# Iniciar investigacion y activarlaosint-agent investigation create "Phishing-Q1-2026" --goal "Identificar infraestructura"osint-agent investigation use phishing-q1-2026
# Ver estadoosint-agent status