PQC KHEPRA MCP Server
ทางการKHEPRA MCP Server smithery badge MCP Registry License Container PQC Sovereign compliance engine พร้อมการแมป STIG/CCI/NIST/CMMC จำนวน 36,195 รายการ รองรับการทำงานแบบ Air-gap ต้นทุนโทเค็นเป็นศูนย์ เรียกใช้ ert_scan → รับ Godfather Report ที่แสดงผลกระทบทางธุรกิจในรูปสกุลเงินดอลลาร์ MCP compliance server เพียงตัวเดียวที่ทำงานบนเครื่องของคุณ — พร้อม DoD PQC STIG ตัวแรกของโลกในตัว PQC-01-STIG-V1R1 — เอกสาร Whitepaper ฉบับเต็ม → 17 มาตรการควบคุมที่ครอบคลุม CNSA 2.0, FIPS 203/204/205 และคำแนะนำด้านความปลอดภัย MCP ของ NSA เดือนพฤษภาคม 2026 STIG ด้านการเข้ารหัสหลังควอนตัมแบบ DoD ตัวแรกของโลก รวมถึงมาตร
เอกสาร
KHEPRA MCP Server
เครื่องมือปฏิบัติตามข้อกำหนดแบบอธิปไตย พร้อมการแมป STIG/CCI/NIST/CMMC 36,195 รายการ มีเครื่องมือ 72 ชนิด เวอร์ชัน 2.0.0
ทำงานแบบแยกเครือข่ายได้ ไม่มีค่าใช้จ่ายต่อโทเค็น รัน ert_scan → รับรายงาน Godfather ที่แสดงผลกระทบทางธุรกิจเป็นมูลค่าเงินดอลลาร์
เซิร์ฟเวอร์ปฏิบัติตามข้อกำหนด MCP เพียงหนึ่งเดียวที่ทำงานบนฮาร์ดแวร์ของคุณ — พร้อม STIG ด้าน PQC สำหรับ DoD ตัวแรกของโลก ในตัว
PQC-01-STIG-V1R1 — เอกสารทางเทคนิคฉบับเต็ม →
การควบคุม 17 รายการครอบคลุม CNSA 2.0, FIPS 203/204/205 และคำแนะนำด้านความปลอดภัย MCP ของ NSA ประจำเดือนพฤษภาคม 2026
STIG ด้าน Post-Quantum Cryptography สไตล์ DoD ตัวแรกของโลก รวมถึงการควบคุม PQC ตัวแรกสำหรับ AI แบบเอเจนต์และการปรับใช้ MCP
ปลายทางโฮสต์สด:
https://mcp.souhimbou.ai/sse— ไม่ต้องติดตั้ง เชื่อมต่อใน 30 วินาที
โฮสต์เองสำหรับโหมดอธิปไตย/แยกเครือข่าย: Docker หรือ ไบนารี
ระดับ
| ระดับ | ลิขสิทธิ์ | เครื่องมือ | เทเลเมทรี | การส่งออกข้อมูล |
|---|---|---|---|---|
| Community | ❌ ไม่จำเป็น | pqc_stig + 12 เครื่องมือหลัก | เลือกเข้าร่วม Dark Crypto Intel | ศูนย์ (โหมดอธิปไตย) |
| Sovereign | ✅ จำเป็น | ทั้งหมด 72 เครื่องมือ | ศูนย์ | ศูนย์ |
| Pharaoh | ✅ จำเป็น | ทั้งหมด 72 เครื่องมือ + การสนับสนุนลำดับความสำคัญ + SLA | ศูนย์ | ศูนย์ |
ระดับ Community ฟรี รัน
pqc_stigเพื่อประเมินความพร้อมด้านควอนตัมของโปรเจกต์ของคุณเทียบกับ
PQC-01-STIG-V1R1 — STIG ด้าน Post-Quantum Cryptography สไตล์ DoD ตัวแรกของโลก — ไม่จำเป็นต้องใช้ลิขสิทธิ์
สิ่งที่ทำได้
KHEPRA MCP เชื่อมต่อผู้ช่วย AI ของคุณเข้ากับเครื่องมือปฏิบัติตามข้อกำหนดที่แข็งแกร่งโดยตรง ถาม Claude หรือไคลเอนต์ MCP ใดๆ เพื่อสแกนระบบ แมปสิ่งที่พบกับการควบคุม STIG/NIST/CMMC และสร้างรายงานความเสี่ยงที่พร้อมสำหรับผู้บริหาร — ทั้งหมดนี้โดยไม่ต้องส่งข้อมูลไปยัง API ภายนอก
ความสามารถหลัก:
- การแมป STIG/CCI/NIST 800-53/800-171/CMMC 36,195 รายการ (ออฟไลน์ รวมมาในตัว)
- การรับรองการเข้ารหัสแบบ Post-quantum ในทุกการเรียกใช้เครื่องมือ (ML-DSA-65 / FIPS 204)
- STIG ด้าน PQC สำหรับ DoD ตัวแรกของโลก — การควบคุม 17 รายการครอบคลุม CNSA 2.0 / FIPS 203/204/205 + AI แบบเอเจนต์ / MCP (PQC-01-STIG-V1R1)
- รายงาน Godfather: ผลกระทบทางธุรกิจเป็นมูลค่าเงินดอลลาร์ต่อสิ่งที่พบ (โมเดล FAIR)
- เข้ากันได้กับระบบแยกเครือข่ายและ SCIF — โหมด sovereign/ironbank ไม่มีการเรียกส่งออกข้อมูล
- ลิขสิทธิ์รายปีแบบคงที่ — ไม่มีค่าใช้จ่ายต่อโทเค็นหรือต่อคำถาม
- ทำงานบนฮาร์ดแวร์ของคุณ: ในองค์กร, DoD, IC, สภาพแวดล้อมที่มีการจัดชั้นความลับ
เริ่มต้นอย่างรวดเร็ว — ปลายทางโฮสต์ (ไม่ต้องติดตั้ง)
เส้นทางที่เร็วที่สุดสู่เครื่องมือปฏิบัติตามข้อกำหนดที่ใช้งานได้จริงในไคลเอนต์ AI ของคุณ ไม่ต้องใช้ Docker, ไบนารี หรือการสร้าง:
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
หรือหากไคลเอนต์ของคุณรองรับการขนส่ง SSE แบบเนทีฟ:
https://mcp.souhimbou.ai/sse
การตรวจสอบสถานะ: https://mcp.souhimbou.ai/mcp/v1/health
หมายเหตุข้อมูล: ปลายทางโฮสต์ทำงานในโหมด
edge— DAG อยู่ในหน่วยความจำและชั่วคราว สำหรับเส้นทางการตรวจสอบที่ลงนามถาวรและการปรับใช้แบบแยกเครือข่าย ให้ใช้ตัวเลือกโฮสต์เองด้านล่าง
การติดตั้งแบบโฮสต์เอง
สำหรับการปรับใช้แบบอธิปไตย/แยกเครือข่าย: Docker (แนะนำ ไม่ต้องสร้าง) หรือ ไบนารีที่คอมไพล์แล้ว (เริ่มต้นเร็วที่สุด พร้อมสำหรับ SCIF) ทั้งสองรองรับตัวแปรสภาพแวดล้อมเดียวกันและไคลเอนต์ MCP ทั้งหมด
เลือกเส้นทางของคุณ:
| วิธีการ | เหมาะสำหรับ | การเริ่มต้น |
|---|---|---|
| ปลายทางโฮสต์ | เริ่มต้นเร็วที่สุด เครื่องมือคลาวด์ | ทันที |
| Docker | ผู้ใช้ส่วนใหญ่ โฮสต์เองง่ายที่สุด | ~2 วินาที |
| ไบนารีที่คอมไพล์แล้ว | แยกเครือข่าย, SCIF, ประสิทธิภาพ | ~300 มิลลิวินาที |
ตัวเลือก A: Docker (แนะนำ)
ต้องใช้ Docker Desktop หรือ Docker Engine อิมเมจถูกสร้างไว้ล่วงหน้าและมาพร้อมฐานข้อมูลการปฏิบัติตามข้อกำหนดฉบับเต็ม — ไม่ต้องดาวน์โหลดเพิ่มเติมในโหมดอธิปไตย
# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest
# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
ตัวเลือก B: ไบนารีที่คอมไพล์แล้ว
ต้องใช้ Go 1.21+ สำหรับการสร้าง หรือดาวน์โหลดรุ่นที่สร้างไว้ล่วงหน้าจาก GitHub Releases
git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP
# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp # Windows
# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
Windows — ใช้ตัวเรียกใช้แบบแบตช์
ที่เก็บมาพร้อมตัวเรียกใช้ run-mcp.bat สำหรับ Windows มันใช้ไบนารีที่สร้างไว้ล่วงหน้า (เส้นทางเร็ว) และถอยกลับไปใช้ go run โดยอัตโนมัติ:
:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat
การเพิ่มลงในไคลเอนต์ AI ของคุณ
Claude Desktop
ตำแหน่งไฟล์การกำหนดค่า:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json - Windows:
%APPDATA%\Claude\claude_desktop_config.json - Linux:
~/.config/Claude/claude_desktop_config.json
ระดับ Community — Docker (macOS / Linux)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
ระดับ Community — Docker (Windows)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
ระดับ Community — ไบนารี (Windows, เริ่มต้นเร็วที่สุด)
{
"mcpServers": {
"khepra": {
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
ระดับ Community — ไบนารีผ่านตัวเรียกใช้แบบแบตช์ (Windows)
{
"mcpServers": {
"khepra": {
"command": "cmd",
"args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true"
}
}
}
}
ระดับ Sovereign / Pharaoh (พร้อมลิขสิทธิ์)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_LICENSE_KEY",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"-v", "/var/log/khepra:/var/log/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
],
"env": {
"KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
}
}
}
}
หลังจากแก้ไข ให้รีสตาร์ท Claude Desktop ตรวจสอบใน Settings → Developer — คุณควรเห็น khepra ที่มีสถานะ running และเครื่องมือทั้งหมดแสดงอยู่
Cursor
ไฟล์การกำหนดค่า: .cursor/mcp.json ในรากโปรเจกต์ของคุณ หรือ ~/.cursor/mcp.json แบบโกลบอล
Docker (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
ไบนารี (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "/path/to/khepra-mcp",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
}
}
}
}
ไบนารี (Windows)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
VS Code (พร้อมส่วนขยาย GitHub Copilot หรือ Cline)
ไฟล์การกำหนดค่า: .vscode/mcp.json ในโปรเจกต์ของคุณ หรือการตั้งค่าผู้ใช้
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "${env:HOME}/.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
หรือผ่าน settings.json ของผู้ใช้สำหรับส่วนขยาย Cline:
{
"cline.mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Windsurf
ไฟล์การกำหนดค่า: ~/.codeium/windsurf/mcp_config.json
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Continue.dev
ไฟล์การกำหนดค่า: ~/.continue/config.json — เพิ่มลงในอาร์เรย์ experimental.modelContextProtocolServers:
{
"experimental": {
"modelContextProtocolServers": [
{
"name": "khepra",
"transport": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
]
}
}
เครื่องมือ AI บนคลาวด์ / SaaS (Claude.ai, ChatGPT, Gemini, ฯลฯ)
ใช้ ปลายทางโฮสต์สด ที่ mcp.souhimbou.ai — ไม่ต้องตั้งค่า:
ตัวเลือก 1 — ปลายทางโฮสต์สด (แนะนำ ไม่ต้องตั้งค่า)
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
หรือ URL SSE โดยตรงสำหรับเครื่องมือที่ยอมรับ:
https://mcp.souhimbou.ai/sse
| เครื่องมือคลาวด์ | ตำแหน่งที่เพิ่ม URL MCP |
|---|---|
| Claude.ai (Pro/Team) | Settings → Integrations → MCP Servers |
| Cursor | .cursor/mcp.json → ฟิลด์ url |
| OpenAI Assistants | ฟิลด์ API tools พร้อม type: "mcp" |
| Glama.ai | Workspace → MCP Servers |
| Smithery.ai | Catalog → Self-hosted server |
ตัวเลือก 2 — พร็อกซี mcp-remote (ไบนารีท้องถิ่นหลังบริดจ์)
หากคุณต้องการโหมดอธิปไตย (ไม่มีการส่งออกข้อมูล) ที่พร็อกซีไปยังเครื่องมือคลาวด์:
# Install once
npm install -g mcp-remote
# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
--server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
--port 3000
# Point cloud tool to:
# http://localhost:3000/sse
หมายเหตุความปลอดภัย: ในโหมด
sovereign/ironbankKHEPRA ไม่มีการเรียกส่งออกข้อมูล — เฉพาะการเชื่อมต่อบริดจ์ไปยังเครื่องมือคลาวด์เท่านั้นที่นำพาข้อมูล
ตัวเลือก 3 — Smithery / MCP Registry (ระดับ Community)
KHEPRA ถูกแสดงรายการบน Smithery.ai และ MCP Registry เครื่องมือคลาวด์ที่รองรับการค้นพบผ่านรีจิสทรีสามารถติดตั้งได้โดยตรง:
Registry ID: io.github.nouchix/pqc-khepra-mcp
การตรวจสอบ — ทดสอบการติดตั้งของคุณ
รันคำสั่งนี้จากเทอร์มินัลของคุณเพื่อตรวจสอบว่าเซิร์ฟเวอร์ตอบสนองอย่างถูกต้อง:
# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| & ".\khepra-mcp.exe"
ผลลัพธ์ที่คาดหวัง: การตอบสนอง JSON-RPC ที่แสดงรายการเครื่องมือที่มีทั้งหมด หากคุณเห็น "tools": [...] พร้อมรายการ 12+ รายการ — แสดงว่าคุณเชื่อมต่อแล้ว
การตรวจสอบโปรโตคอลเต็มรูปแบบ (Windows)
# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"
# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation
เครื่องมือ MCP
ระดับ Community (ฟรี — ไม่ต้องใช้ลิขสิทธิ์)
pqc_stig — STIG ด้าน PQC สำหรับ DoD ตัวแรกของโลก ⭐
ประเมินไดเรกทอรีซอร์สโค้ดเทียบกับ PQC-01-STIG-V1R1: การควบคุม 12 รายการครอบคลุมการอนุมัติอัลกอริทึม CNSA 2.0, ความแข็งแกร่งของคีย์ ML-DSA-65, การห่อหุ้ม ML-KEM-768, การเข้ารหัสแบบผสม, การจัดเก็บคีย์, การนำไปใช้แบบเวลาคงที่ และข้อกำหนดห่วงโซ่ใบรับรอง
pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")
ตัวอย่าง: "รัน pqc_stig บนโปรเจกต์ของฉันและบอกฉันว่าฉันปฏิบัติตาม CNSA 2.0 หรือไม่"
nist_map
แมปตัวระบุ CCI หรือสิ่งที่พบจาก STIG กับการควบคุม NIST 800-53 Rev 5
khepra_query_stig
สอบถามฐานข้อมูลการปฏิบัติตามข้อกำหนด STIG/CCI/NIST/CMMC 36,195 แถวด้วย ID การควบคุม
dark_crypto_contribute (เลือกเข้าร่วม)
ส่งเทเลเมทรีอัลกอริทึมการเข้ารหัสแบบไม่ระบุตัวตนไปยัง SouHimBou AI Dark Crypto Intelligence Network ไม่มี PII เลือกเข้าร่วมเท่านั้น — ไม่มีการเรียกใช้โดยไม่ได้รับคำสั่งอย่างชัดแจ้ง
ระดับ Sovereign / Pharaoh
ert_scan
การสแกนความเสี่ยงและภัยคุกคามระดับองค์กรครอบคลุม STIG, NIST 800-53, NIST 800-171, CMMC และ FedRAMP ส่งคืนรายงาน Godfather พร้อมผลกระทบทางธุรกิจเป็นมูลค่าเงินดอลลาร์
ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")
ตัวอย่าง: "รัน ert_scan บน /etc และสร้างรายงาน Godfather"
stig_check
การสแกนการปฏิบัติตามข้อกำหนด RHEL-09-STIG-V1R3 อัตโนมัติกับระบบสดหรือเส้นทางการกำหนดค่า
cmmc_assess
การประเมิน CMMC ระดับ 1, 2 หรือ 3 เต็มรูปแบบพร้อมการวิเคราะห์ช่องว่างและการสร้าง POA&M
godfather_report
สร้างรายงาน Godfather สำหรับผู้บริหารจากผลการสแกนก่อนหน้า: 10 สิ่งที่พบสูงสุดจัดอันดับตามความเสี่ยงทางการเงิน, ROI การแก้ไข และผลกระทบทางธุรกิจตามโมเดล FAIR
+ เครื่องมือเพิ่มเติม 20 รายการ
agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets และอื่นๆ
รายงาน Godfather
แตกต่างจากเครื่องสแกนการปฏิบัติตามข้อกำหนดที่แสดงผลเป็นกำแพงของ CVE, KHEPRA แปลสิ่งที่พบเป็นภาษาที่ผู้บริหารใส่ใจ:
Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x
ทุกสิ่งที่พบรวมถึง ID การควบคุม, การแมปเฟรมเวิร์ก, ผลกระทบทางธุรกิจเป็นดอลลาร์, การประมาณการค่าใช้จ่ายในการแก้ไข และ ROI
โหมดการปรับใช้
| โหมด | แยกเครือข่าย | การส่งออกข้อมูล | เทเลเมทรี | กรณีการใช้งาน |
|---|---|---|---|---|
sovereign | ✅ ใช่ | ศูนย์ | ศูนย์ | ในองค์กร, SCIF, มีการจัดชั้นความลับ (ค่าเริ่มต้น) |
ironbank | ✅ ใช่ | ศูนย์ | ศูนย์ | การผลิต DoD/IC, FIPS เท่านั้น |
hybrid | ❌ ไม่ | LAN | ศูนย์ | การประสานงาน Edge + คลาวด์ |
edge | ❌ ไม่ | ไม่จำกัด | ศูนย์ | SaaS แบบไร้สถานะเต็มรูปแบบ |
ตั้งค่าผ่านตัวแปรสภาพแวดล้อม KHEPRA_MODE ค่าที่ไม่รู้จักจะถูกปฏิเสธเมื่อเริ่มต้นและถอยกลับไปเป็น sovereign (fail-closed)
ตัวแปรสภาพแวดล้อม
| ตัวแปร | จำเป็น | ค่าเริ่มต้น | คำอธิบาย |
|---|---|---|---|
KHEPRA_LICENSE_KEY | เฉพาะ Sovereign/Pharaoh | — | ลิขสิทธิ์ ระดับ Community ทำงานได้โดยไม่ต้องใช้ รับได้ที่ nouchix.com |
KHEPRA_MODE | ไม่ | sovereign | โหมดการปรับใช้: sovereign, ironbank, hybrid, edge |
KHEPRA_MANIFEST_PATH | ไม่ | manifest.json | เส้นทางไปยังไฟล์รายการเครื่องมือที่ลงนาม |
KHEPRA_HOME | ไม่ | /var/lib/khepra | ไดเรกทอรีข้อมูลและฐานข้อมูลการปฏิบัติตามข้อกำหนด |
KHEPRA_LOG_DIR | ไม่ | /var/log/khepra | ไดเรกทอรีบันทึก |
KHEPRA_DAG_PATH | ไม่ | ~/.khepra/dag | เส้นทางการจัดเก็บห่วงโซ่การตรวจสอบ DAG |
KHEPRA_AUDIT_LOG_PATH | ไม่ | ~/.khepra/audit.ndjson | เส้นทางบันทึกการตรวจสอบที่ลงนาม |
KHEPRA_MAX_CONCURRENT | ไม่ | 5 | จำนวนการเรียกใช้เครื่องมือพร้อมกันสูงสุดต่อเอเจนต์ |
KHEPRA_NETWORK_POLICY | ไม่ | lan | ขอบเขตเครือข่าย: lan, none, unrestricted |
MCP_PQC_ENABLED | ไม่ | true | เปิดใช้งานการรับรอง PQC ML-DSA-65 ในการตอบสนองทั้งหมด |
การปรับใช้แบบแยกเครือข่ายและ SCIF
KHEPRA ไม่มีการเรียกเครือข่ายภายนอก ในโหมด sovereign และ ironbank:
- ลิขสิทธิ์ตรวจสอบแบบออฟไลน์ผ่านไฟล์
license.adinkhepraที่ลงนามด้วย ML-DSA-65 - ฐานข้อมูลการปฏิบัติตามข้อกำหนด (36,195 การแมป) รวมอยู่ในคอนเทนเนอร์ — ไม่มีการดาวน์โหลดภายนอก
- ไม่มีเทเลเมทรี, ไม่มีสัญญาณ heartbeat, ไม่มีการส่งออกข้อมูล — ตรวจสอบแล้วที่ชั้นการขนส่ง
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz
# On air-gapped host:
docker load < khepra-mcp.tar.gz
หมายเหตุเกี่ยวกับเทเลเมทรี: เครื่องมือ
dark_crypto_contribute(ระดับ Community) ส่งเทเลเมทรีอัลกอริทึมการเข้ารหัสแบบไม่ระบุตัวตนไปยังเครือข่ายข่าวกรอง SouHimBou AI เฉพาะเมื่อผู้ใช้เรียกใช้อย่างชัดแจ้งเท่านั้น มันไม่ถูกกระตุ้นโดยอัตโนมัติ ในโหมด sovereign/ironbank การเรียกเครือข่ายทั้งหมดจะถูกบล็อกที่ชั้นการขนส่งโดยไม่คำนึงถึงกรณี
ความครอบคลุมการปฏิบัติตามข้อกำหนด
| เฟรมเวิร์ก | เวอร์ชัน | การแมป |
|---|---|---|
| STIG (RHEL 9) | V1R3 | การสแกนอัตโนมัติ |
| NIST 800-53 | Rev 5 | 2,120 CCI |
| NIST 800-171 | Rev 2 | 320 การควบคุม |
| CMMC | ระดับ 3 | ชุดการปฏิบัติเต็มรูปแบบ |
| FedRAMP | สูง | การสแกนพื้นฐาน |
| PQC-01-STIG-V1R1 | V1R1 | 17 การควบคุม PQC (CNSA 2.0) |
| รวม | 36,195+ การแมป |
ลิขสิทธิ์
การอนุญาตใช้งานแบบรายปีคงที่ — ไม่มีค่าใช้จ่ายต่อโทเค็นหรือต่อคำค้นหา
| ระดับ | ค่าใช้จ่าย | License Key | เครื่องมือ |
|---|---|---|---|
| Community | ฟรี | ไม่จำเป็นต้องใช้ | pqc_stig + 12 เครื่องมือหลัก |
| Sovereign | ค่าธรรมเนียมรายปีคงที่ | จำเป็นต้องใช้ | เครื่องมือทั้งหมด 34 รายการ, air-gap, on-prem |
| Pharaoh | ค่าธรรมเนียมรายปีคงที่ | จำเป็นต้องใช้ | เครื่องมือทั้งหมด 34 รายการ + การสนับสนุนลำดับความสำคัญ + SLA |
- ระดับ Community ฟรีตลอดไป — มีส่วนร่วมในการนำ PQC แบบโอเพนซอร์สไปใช้
- Sovereign/Pharaoh: ติดต่อ [email protected] หรือเยี่ยมชม nouchix.com
ความปลอดภัย
การรายงานช่องโหว่
อย่าเปิดประเด็นสาธารณะสำหรับช่องโหว่ด้านความปลอดภัย
รายงานแบบส่วนตัวผ่าน GitHub Security Advisories หรืออีเมล [email protected]
| SLA | เป้าหมาย |
|---|---|
| การตอบรับ | 24 ชั่วโมง |
| การประเมินเบื้องต้น | 5 วันทำการ |
| แพตช์ / การบรรเทา (วิกฤต) | 30 วัน |
เรารับรายงานที่เข้ารหัสผ่าน PGP (keys/security_contact.asc) และช่องทาง Post-Quantum (คีย์ Dilithium / ML-DSA-65 ใน keys/) ดู SECURITY.md สำหรับนโยบายการเปิดเผยข้อมูลฉบับเต็มและการจัดประเภทเหตุการณ์ ASAF
สถานะความปลอดภัย
การปรับใช้การเข้ารหัสลับหลังควอนตัมขั้นสูง การแยกส่วนแบบ air-gapped และการแมป STIG ที่ครอบคลุม — สร้างขึ้นโดยสอดคล้องโดยตรงกับแนวทาง Model Context Protocol ของ NSA และ ASD
การจัดแนวความปลอดภัย NSA และ ASD MCP
สำนักงานความมั่นคงแห่งชาติ (NSA) และ Australian Signals Directorate (ASD) ได้เผยแพร่เวกเตอร์ภัยคุกคามเฉพาะสำหรับระบบ AI ที่โต้ตอบกับสภาพแวดล้อมภายในเครื่อง KHEPRA MCP ได้รับการออกแบบอย่างชัดเจนเพื่อบรรเทาทุกเวกเตอร์ที่ระบุ:
| ข้อกำหนด NSA/ASD | การนำไปใช้ของ KHEPRA |
|---|---|
| การตรวจสอบความถูกต้องด้วยการเข้ารหัสลับของการตอบสนองของเครื่องมือ | ลายเซ็น ML-DSA-65 (Dilithium) บนเพย์โหลด JSON-RPC 2.0 ทั้งหมด |
| การตรวจสอบและฆ่าเชื้ออินพุต | ความต้านทานการแทรกพารามิเตอร์ผ่านการตรวจสอบ JSON Schema ที่เข้มงวด |
| หลักการของสิทธิ์ขั้นต่ำสุด | โทเค็นชั่วคราวอายุสั้นที่ผูกกับหน้าต่างการดำเนินงานเฉพาะ |
| การบันทึกการตรวจสอบที่ครอบคลุม | เหตุการณ์ที่ป้องกันการแก้ไขซึ่งรวบรวมเป็นโครงสร้าง DAG ที่เปลี่ยนแปลงไม่ได้ |
| ขีดจำกัดการใช้ทรัพยากร | การจำกัดอัตรา + backpressure สำหรับลูปคำขอ LLM |
| ประตูอนุญาตสำหรับการกระทำที่ละเอียดอ่อน | ประตู human-in-the-loop สำหรับการเปลี่ยนแปลงสถานะที่ทำลายล้าง |
| การแยกสภาพแวดล้อม | การดำเนินการแบบ containerized ด้วยโหมด sovereign แบบ zero-egress |
| ความสมบูรณ์ของห่วงโซ่อุปทานซอฟต์แวร์ | การปักหมุด manifest สำหรับเครื่องมือและการพึ่งพาที่โหลดทั้งหมด |
| การลดการเปิดเผยเครือข่าย | Air-gappable — ไม่มีการส่งผ่านอินเทอร์เน็ตในโหมด sovereign/ironbank |
| ความยืดหยุ่นหลังควอนตัม | DAG trail ที่ลงนามด้วย PQC ป้องกันการเก็บเกี่ยวตอนนี้-ถอดรหัสทีหลัง |
การรับรองการปฏิบัติตาม
| กรอบงาน | สถานะ | ความครอบคลุม |
|---|---|---|
| CMMC Level 2 | ✅ | รวบรวมหลักฐานอัตโนมัติสำหรับโดเมน AU, CM, SI, SC |
| NIST SP 800-171 Rev 2 | ✅ | การบันทึก, ความรับผิดชอบ, ความสมบูรณ์ของระบบ |
| NIST SP 800-53 Rev 5 | ✅ | การตรวจสอบต่อเนื่อง (AU-2, SI-4) |
| FIPS 203 (ML-KEM) | ✅ | การห่อหุ้มคีย์สำหรับการส่งผ่านที่ปลอดภัย |
| FIPS 204 (ML-DSA) | ✅ | ลายเซ็นดิจิทัลสำหรับการรับรองความถูกต้องของเพย์โหลด |
| NSM-10 PQC Mandate | ✅ | การปฏิบัติตามบันทึกความมั่นคงแห่งชาติ 10 |
| DFARS 252.204-7012 | ✅ | เส้นทางการตรวจสอบทางนิติวิทยาศาสตร์ที่เปลี่ยนแปลงไม่ได้สำหรับการรายงานเหตุการณ์ทางไซเบอร์ |
| NSA MCP Security Guidelines | ✅ | การแมปโดยตรงกับการบรรเทาภัยคุกคามเอเจนต์ AI ที่เผยแพร่ทั้งหมด |
การปรับใช้จริง — Physical Edge
ทำงานต่อเนื่องบนฮาร์ดแวร์ edge ที่มีข้อจำกัดตั้งแต่ 12 พฤษภาคม 2026 เพื่อพิสูจน์ประสิทธิภาพในสภาพแวดล้อม sovereign:
- ฮาร์ดแวร์: Raspberry Pi 2 · RAM 1 GB · ARM 900 MHz · Live Spectrum Router
- SCADA Pod: STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · การตรวจสอบลายเซ็น Dilithium แบบสด
- การควบคุมที่ใช้งานอยู่: พอร์ตเปิด 3 พอร์ตที่รักษาความปลอดภัย · ตรวจพบการละเมิด STIG 12 รายการ · การตรวจสอบความสมบูรณ์ของไฟล์ 100% (AIDE) · การทำงานต่อเนื่องตลอด 24/7
การตรวจสอบทางวิชาการ
| กิจกรรม | วันที่ | สถาบัน |
|---|---|---|
| UAlbany AI Plus Symposium 2026 — "KHEPRA Protocol: Quantum-Resilient Agentic AI Security Using Cultural Cryptography" | 7 มีนาคม 2026 | สถาบัน NSA CAE-CDE · ผู้ชม 200+ คน |
| SUNY Albany Cybersecurity Showcase — พิธีคีย์ PQC ครั้งแรกบนอุปกรณ์ระดับ STM32 (SCADA Pod) | 12–13 พฤษภาคม 2026 | การสาธิตสด · โปสเตอร์สถาปัตยกรรม SCADA |
สิทธิบัตรชั่วคราว USPTO #73565085 — อยู่ระหว่างดำเนินการ
🔒 Iron Bank containers อยู่ในกระบวนการตรวจสอบ DISA
เกี่ยวกับ NouchiX
บริษัทที่ปรึกษาที่นำโดยทหารผ่านศึก แปลงคำสั่ง CMMC, NIST และ STIG เป็นแผนงานสำหรับผู้บริหาร
- ฝ่ายขาย / ทั่วไป: [email protected]
- ฝ่ายสนับสนุน: [email protected]
- เว็บไซต์: https://nouchix.com
- โทรศัพท์: (518) 304-4450
พัฒนาโดย SecRed Knowledge Inc. dba NouchiX, Albany, NY.