Flocks 文档

外观

概览

Flocks 是一套面向安全运营场景设计的 AI Native 平台。它不是单点问答助手,也不是只会执行固定规则的自动化引擎,而是把对话、分析、执行、编排、接入、沉淀和持续运营组织在同一套平台能力中,帮助团队把零散的安全工作串成可复用、可扩展的执行闭环。

项目介绍

安全运营的难点,往往不只是“告警很多”,而是任务链条很长、上下文很分散、跨系统协作成本很高。一次常见的告警研判,可能就需要在情报平台、资产系统、主机环境、网页控制台和工单系统之间来回切换。传统 SOAR 更擅长固定流程,通用聊天式 AI 又往往只能给建议而不能真正接管执行链路。

Flocks 的设计目标,就是解决这类“链路长、系统多、要持续运营”的问题。平台以主 Agent Rex 作为统一入口,围绕会话运行时、工具系统、工作流引擎、专家 Agent、Skills、记忆系统、任务调度和多入口接入构建能力底座。对用户来说,交互入口可以是 WebUI、CLI、TUI 或消息通道;对平台来说,这些入口背后共享同一套后端与运行时。

适合使用 Flocks 的典型场景包括:

  • 需要对告警进行多源关联和初步研判的安全运营团队
  • 需要把调查步骤沉淀为工作流、技能或专家 Agent 的团队
  • 需要接入多个安全设备、API、网页控制台或内网系统的场景
  • 希望把“分析一次问题”逐步变成“持续运行的能力”的团队

Flocks WebUI 首页全景

上图是 Flocks WebUI 首页的全景示意:左侧一览全部核心模块(Sessions、Workflows、Agents、Skills、Tools、Models、Channels 等),主区集中展示会话 / 工作流 / 智能体三大入口与关键指标卡片。可以把它理解为整个数字员工平台的统一工作台。

奖励计划

感谢大家对 Flocks 的支持✊。发布三周以来,我们收到了很多好的建议与场景分享。为感谢种子用户的支持,Flocks 将为符合条件的用户统一追加 30 天免费授权时长,原有每日 1000w Token 及 MCP 相关使用权益会在本次续期时长内正常延续使用。

我们诚挚邀请大家继续深度体验产品,踊跃反馈使用问题与优化建议,参与应用场景共建、产品反馈与分享,一起完善产品体验,打造真正懂安全、好用的安全 claw。

授权规则:

  • 3 月 30 日至 4 月 29 日注册的老用户,授权自动延期至 60 天。
  • 4 月 29 日之后注册的新用户,依旧默认获得 30 天注册授权。

权益说明:

应用场景探索奖励

提交 Flocks 的应用场景案例,或向 Flocks 团队提供应用场景设想,经团队评估后按场景质量发放奖励。场景需满足以下要求:

  • 与安全业务场景相关。
  • 应用 tools、workflow、skills、agent 四种插件中的任一种。其中 tools 主要指一种网安设备的 API 接入。

奖励方案:每天 500w 至 5000w Token 不等,自审核验证通过后 30 天内有效,奖励可叠加。

提交方式:可在群内反馈并 @群管理员 @陈杰 @老王;如有文件材料,也可发送至 flocks@threatbook.cn

活动周期:4 月 2 日至 5 月 6 日。

深度访谈奖励

如果你对 Flocks 的应用场景、代码质量、部署方式等有深入思考,并愿意接受 15 分钟深度访谈,欢迎结合业务场景与团队沟通共创、提出产品建议。

奖励方案:每天 3000w Token,访谈后发放,30 天内有效,奖励可叠加。

提交方式:可在群内反馈并 @群管理员 @陈杰 @老王;如有文件材料,也可发送至 flocks@threatbook.cn

提交内容:个人微信 ID、API key、详细内容。

活动周期:4 月 2 日至 5 月 6 日。

产品优化奖励

使用 Flocks 过程中参与共创并提交 Pull Request、Issue,或提出进入开发排期的新功能需求,均有机会获得奖励。

奖励方案:根据质量奖励每天 500w 至 2000w Token 不等,审核通过后即发放,30 天内有效,奖励可叠加。

提交方式:可在群内反馈并 @群管理员 @陈杰 @老王;也可发送至 flocks@threatbook.cn

提交内容:个人微信 ID、API key、详细内容。

活动周期:4 月 2 日至 5 月 6 日。

Flocks 分享奖励

符合以下任一分享形式即可参与:

  • 在朋友圈发布使用体验,内容需包含 Flocks 下载链接或群二维码,且非仅自己可见并保留 2 天以上。一周之内发布相同内容按一篇计。
  • 在 GitHub Discussion、小红书、知乎、FreeBuf、CSDN、看雪等技术社区发布产品使用体验、场景与技巧分享等,内容需包含 Flocks 下载链接或群二维码。一周之内同平台重复发布相同内容按一篇计。

奖励方案:每篇发布奖励每天 500w Token,同一平台按一篇激励计算,多平台可累加奖励。

提交方式:可将截图发送给群管理员 @老王;也可发送至 flocks@threatbook.cn

提交内容:个人微信 ID、API key、详细内容。

活动周期:4 月 2 日至 5 月 6 日。

核心能力

Flocks 的核心能力可以概括为“理解任务、接入能力、执行动作、沉淀经验、持续运营”五个层面。

1. 多智能体协作

平台并不是只有一个聊天角色。Rex 负责理解目标、拆解步骤、协调执行和汇总结论;专家 Agent 则负责情报分析、主机排查、漏洞分析、网页取数等具体问题域。这样既保留了统一入口,也避免所有职责都堆在一个“万能 Agent”身上。

2. 工具、MCP 与外部系统接入

Flocks 提供统一的工具体系,支持内置工具、API 工具、Python 工具以及 MCP 接入。对于很多安全团队来说,这意味着不必把每个系统都手工接成孤立脚本,而是可以把 ThreatBook、VirusTotal、GreyNoise、FOFA、内部平台接口和网页控制台统一纳入一个执行上下文。

3. 工作流与任务中心

工具回答的是“能做什么”,工作流回答的是“这些动作如何组织成稳定流程”。Flocks 的工作流不是静态流程图,而是可创建、可校验、可测试、可运行的自动化剧本。任务中心进一步把这些能力扩展到周期执行、批量处理和持续运营场景。

4. 技能与组织经验沉淀

Skills 适合承载规范、策略、方法论和任务模板。它们既可以来自团队内部沉淀,也可以来自外部来源安装。对企业来说,这意味着个人经验不必停留在对话里,而可以逐步转化为可复用的团队能力。

5. 多模型与多入口

Flocks 同时支持多模型管理、默认模型设置、自定义兼容接入,以及 WebUI、CLI、TUI、通道等多入口协作。模型不再只是某个局部组件里的固定配置,而是作为平台级资源被 Agent、Workflow 和任务中心共享使用。

架构与组成

从产品视角看,Flocks 可以理解为一个由五层组成的体系:

层级作用
多入口接入层提供 WebUI、CLI、TUI、通道等交互入口
平台服务层统一管理会话、模型、工具、工作流、技能和任务
Agent 运行时层负责任务拆解、工具调用、追问交互和结果汇总
能力扩展层承载 tools、workflows、agents、skills、MCP 等扩展能力
平台支撑层提供配置、记忆、Workspace、任务中心和存储能力

简单来说,入口负责访问平台,后端负责组织能力,Agent 运行时负责推进任务,工具、工作流、技能和专家 Agent 负责持续扩展。

这也是 Flocks 与单一聊天助手最大的区别。用户看到的是统一的数字员工平台,底层则是一个可编排、可扩展、可治理的 SecOps 底座。

Flocks 是不是“小龙虾套壳”?

从技术上看,Flocks 和“小龙虾”都属于多 Agent 技术架构。Flocks 的 Agent 主要沿用了 opencode 的架构设计:opencode 使用 TypeScript 开发,Flocks 则改为 Python 重新实现;记忆模块设计主要沿用了 OpenClaw 的记忆能力;同时,Flocks 还提供了 Workflow 模块,这是“小龙虾”不具备的能力,更适用于网安特定场景。

从场景上看,Flocks 预先集成了大量网安数据、工具、设备和 Agent,更聚焦在安全运营与网安场景落地。

白皮书与公开资料

如果你希望先快速理解 Flocks,再进入安装和使用,建议按下面的顺序阅读:

  1. README_zh.md:先理解项目定位、安装方式和默认访问入口
  2. Flocks 白皮书:再理解平台为什么是 AI Native SecOps 平台,以及它的整体架构
  3. Quick Start:最后按最短路径完成安装、启动和首次配置

公开资料可作为后续深入阅读入口:

基于 VitePress 构建

Copyright © Flocks