微步 Flocks 技术解析：开源AI原生安全运营多智能体平台

前言

Flocks（GitHub：https://github.com/AgentFlocks/flocks）是微步在线开源的AI原生安全运营平台，基于多智能体（Multi-Agent）架构，主打本地私有化部署，核心目标是通过AI自动化简化安全运营流程，降低人工运维成本，适用于各类企业的安全运营场景。

一、核心技术架构

Flocks 采用原生多智能体协同架构，基于Python和TypeScript开发（Python占比62.6%，TypeScript占比36.4%），核心由主Agent、专项子Agent和共享黑板（Blackboard）三大组件构成，架构解耦且可扩展。

• 主Agent：作为核心调度节点，负责接收自然语言指令，拆解任务、规划工作流，并调度子Agent执行，支持动态生成Workflow和Skill。

• 专项子Agent：针对安全运营场景设计，包括告警研判、威胁狩猎、攻击溯源、自动处置、设备巡检等，各自承担专项任务，实现分工协同。

• 共享黑板（Blackboard）：作为Agent间的信息共享中枢，负责上下文存储、数据交互和事件通信，支持跨时域告警关联和历史数据记忆。

二、核心技术特性

1. 多模型与生态集成

支持Anthropic、OpenAI、Google等主流AI模型，内置微步威胁情报，同时集成VirusTotal、FOFA、GreyNoise等第三方接口，可对接防火墙、EDR、NDR、SIEM等主流安全设备，提供开放API便于二次集成。

2. 自动化安全运营能力

基于AI驱动实现全流程自动化，包括告警聚合去重、威胁实时监测、攻击链溯源、自动处置（封禁、隔离）、设备巡检和报告自动生成，有效降低无效告警干扰，提升运营效率。

3. 本地私有化部署

支持Docker容器化部署和本地源码部署，所有数据（模型推理、日志、配置）均在内网运行，不涉及数据上云，满足等保2.0及数据安全合规要求。

4. 双交互界面支持

提供WebUI（浏览器端）和TUI（终端端）两种交互方式，WebUI支持对话式操作和数据可视化，TUI适配终端运维场景，操作简洁高效。

三、部署与快速上手

Flocks支持两种主流部署方式，操作简洁，无需复杂配置，适合快速落地。

1. 环境要求

基础依赖：uv、Node.js（npm 22.+）、agent-browser，可选bun（用于TUI安装），安装脚本可自动检测并补全依赖。

2. 快速部署（推荐Docker方式）

# 拉取镜像
docker pull ghcr.io/agentflocks/flocks:latest

# 启动容器（映射端口与数据目录）
docker run -d \
 --name flocks \
 -p 8000:8000 \
 -p 5173:5173 \
 --shm-size 2gb \
 -v "${HOME}/.flocks:/home/flocks/.flocks" \
 ghcr.io/agentflocks/flocks:latest

3. 源码部署

git clone https://github.com/AgentFlocks/flocks.git
cd flocks
# macOS/Linux
./scripts/install.sh
# Windows PowerShell（管理员）
powershell -ep Bypass -File .\scripts\install.ps1

# 启动服务
flocks start

4. 访问方式

默认服务地址：后端API（http://127.0.0.1）、WebUI（http://127.0.0.1），支持配置远程访问。

四、适用场景与技术价值

Flocks 定位为开源AI安全运营工具，核心价值在于通过多智能体协同和AI自动化，替代安全运营中的重复人工操作，适用于安全运营团队、安全工程师及开发者：

• 安全运营团队：实现7×24小时值守，降低告警处理成本，提升威胁响应速度。

• 安全工程师：快速搭建自动化响应流程，减少脚本编写工作量，聚焦高价值威胁对抗。

• 开发者：基于开源代码二次开发，定制适配自身业务的安全运营能力。

五、总结

Flocks 以多智能体架构为核心，结合AI与安全威胁情报，实现了安全运营的全流程自动化，同时具备开源免费、本地部署、生态灵活的优势，为企业提供了低成本、高可控的智能安全运营解决方案。其简洁的部署方式和丰富的集成能力，使其能够快速适配各类企业的安全场景，助力安全运营效率提升。