PQC KHEPRA MCP Server

chính thức

We need to translate the given text from English to Vietnamese, preserving the name "PQC KHEPRA MCP Server" if it appears, but the instruction says "Do not include the name unless it appears in the source text." The source text starts with "KHEPRA MCP Server smithery badge MCP Registry License Container PQC ..." So the name "KHEPRA MCP Server" appears, but the full name "PQC KHEPRA MCP Server" is not exactly there. However, the directory item type is "MCP server" and the name to preserve is "PQC KHEPRA MCP Server". The source text has "KHEPRA MCP Server" and later "PQC" separately. I think we should preserve the exact name as given: "PQC KHEPRA MCP Server" if it appears. But it doesn't appear as a whole. The instruction says "Translate only the text inside <text>. Do not include the name unless it appears in the source text." So we

Tài liệu

Máy chủ PQC KHEPRA MCP

smithery badge MCP Registry License Container PQC Live

Công cụ tuân thủ chủ quyền với 36.195 ánh xạ STIG/CCI/NIST/CMMC. 72 công cụ. v2.0.0.

Có khả năng hoạt động trên mạng biệt lập. Không tốn phí token. Chạy ert_scan → nhận Báo cáo Godfather với tác động kinh doanh quy đổi bằng đô-la.
Máy chủ MCP tuân thủ duy nhất chạy trên chính phần cứng của bạn — tích hợp sẵn STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng.

PQC-01-STIG-V1R1 — Sách trắng đầy đủ →
17 biện pháp kiểm soát bao gồm CNSA 2.0, FIPS 203/204/205 và tư vấn bảo mật MCP tháng 5 năm 2026 của NSA.
STIG Mật mã Hậu lượng tử kiểu Bộ Quốc phòng đầu tiên trên thế giới, bao gồm các biện pháp kiểm soát PQC đầu tiên cho AI tác tử và triển khai MCP.

Điểm cuối được lưu trữ trực tiếp: https://mcp.souhimbou.ai/sse — không cần cài đặt, kết nối trong 30 giây.
Tự lưu trữ cho chế độ chủ quyền/biệt lập: Docker hoặc tệp nhị phân.


Các gói

GóiKhóa bản quyềnCông cụĐo lường từ xaKết nối ra ngoài
Cộng đồng❌ Không yêu cầupqc_stig + 12 công cụ cốt lõiTình báo Mật mã Tối (tự chọn tham gia)Không (chế độ chủ quyền)
Chủ quyền✅ Yêu cầuTất cả 72 công cụKhôngKhông
Pharaoh✅ Yêu cầuTất cả 72 công cụ + hỗ trợ ưu tiên + SLAKhôngKhông

Gói Cộng đồng miễn phí. Chạy pqc_stig để đánh giá mức độ sẵn sàng lượng tử của dự án của bạn dựa trên
PQC-01-STIG-V1R1 — STIG Mật mã Hậu lượng tử kiểu Bộ Quốc phòng đầu tiên trên thế giới — không cần khóa bản quyền.


Chức năng

KHEPRA MCP kết nối trợ lý AI của bạn trực tiếp với một công cụ tuân thủ được tăng cường bảo mật. Yêu cầu Claude hoặc bất kỳ máy khách MCP nào quét hệ thống, ánh xạ các phát hiện sang các biện pháp kiểm soát STIG/NIST/CMMC và tạo báo cáo rủi ro sẵn sàng cho lãnh đạo — tất cả mà không cần gửi dữ liệu đến các API bên ngoài.

Các khả năng chính:

  • 36.195 ánh xạ STIG/CCI/NIST 800-53/800-171/CMMC (ngoại tuyến, đóng gói sẵn)
  • Chứng thực mật mã hậu lượng tử trên mỗi lần gọi công cụ (ML-DSA-65 / FIPS 204)
  • STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng — 17 biện pháp kiểm soát bao gồm CNSA 2.0 / FIPS 203/204/205 + AI tác tử / MCP (PQC-01-STIG-V1R1)
  • Báo cáo Godfather: tác động kinh doanh quy đổi bằng đô-la cho mỗi phát hiện (mô hình FAIR)
  • Tương thích mạng biệt lập và SCIF — chế độ chủ quyền/ironbank không thực hiện cuộc gọi ra ngoài
  • Cấp phép thường niên phẳng — không tính phí theo token hoặc truy vấn
  • Chạy trên chính phần cứng của bạn: tại chỗ, Bộ Quốc phòng, Cộng đồng Tình báo, môi trường mật

Bắt đầu nhanh — Điểm cuối được lưu trữ (Không cần cài đặt)

Con đường nhanh nhất để có công cụ tuân thủ trực tiếp trong máy khách AI của bạn. Không cần Docker, không cần tệp nhị phân, không cần build:

{
  "mcpServers": {
    "khepra": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
    }
  }
}

Hoặc nếu máy khách của bạn hỗ trợ truyền tải SSE gốc:

https://mcp.souhimbou.ai/sse

Kiểm tra tình trạng: https://mcp.souhimbou.ai/mcp/v1/health

Lưu ý về dữ liệu: Điểm cuối được lưu trữ chạy ở chế độ edge — DAG nằm trong bộ nhớ và tạm thời. Để có dấu vết kiểm toán được ký và triển khai mạng biệt lập bền vững, hãy sử dụng các tùy chọn tự lưu trữ bên dưới.


Cài đặt Tự lưu trữ

Dành cho triển khai chủ quyền/mạng biệt lập: Docker (khuyến nghị, không cần build) hoặc tệp nhị phân đã biên dịch (khởi động nhanh nhất, sẵn sàng cho SCIF). Cả hai đều hỗ trợ các biến môi trường giống nhau và tất cả các máy khách MCP.

Chọn con đường của bạn:

Phương phápPhù hợp nhấtKhởi động
Điểm cuối được lưu trữBắt đầu nhanh nhất, công cụ đám mâyNgay lập tức
DockerHầu hết người dùng, tự lưu trữ dễ nhất~2 giây
Tệp nhị phân đã biên dịchMạng biệt lập, SCIF, hiệu suất~300ms

Tùy chọn A: Docker (Khuyến nghị)

Yêu cầu Docker Desktop hoặc Docker Engine. Ảnh được build sẵn và chứa toàn bộ cơ sở dữ liệu tuân thủ — không cần tải xuống thêm ở chế độ chủ quyền.

# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest

# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
  | docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest

Tùy chọn B: Tệp nhị phân đã biên dịch

Yêu cầu Go 1.21+ để build, hoặc tải xuống bản phát hành build sẵn từ GitHub Releases.

git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP

# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp        # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp    # Windows

# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
  | KHEPRA_MODE=sovereign ./khepra-mcp

Windows — sử dụng trình khởi chạy batch

Kho lưu trữ đi kèm trình khởi chạy run-mcp.bat cho Windows. Nó sử dụng tệp nhị phân build sẵn (con đường nhanh) và tự động chuyển sang dùng go run:

:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat

Thêm vào Máy khách AI của bạn

Claude Desktop

Vị trí tệp cấu hình:

  • macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
  • Windows: %APPDATA%\Claude\claude_desktop_config.json
  • Linux: ~/.config/Claude/claude_desktop_config.json

Gói Cộng đồng — Docker (macOS / Linux)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Gói Cộng đồng — Docker (Windows)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Gói Cộng đồng — Tệp nhị phân (Windows, khởi động nhanh nhất)

{
  "mcpServers": {
    "khepra": {
      "command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_NETWORK_POLICY": "lan",
        "MCP_PQC_ENABLED": "true",
        "KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
      }
    }
  }
}

Gói Cộng đồng — Tệp nhị phân qua trình khởi chạy batch (Windows)

{
  "mcpServers": {
    "khepra": {
      "command": "cmd",
      "args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_NETWORK_POLICY": "lan",
        "MCP_PQC_ENABLED": "true"
      }
    }
  }
}

Gói Chủ quyền / Pharaoh (có khóa bản quyền)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_LICENSE_KEY",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "-v", "/var/log/khepra:/var/log/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ],
      "env": {
        "KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
      }
    }
  }
}

Sau khi chỉnh sửa, khởi động lại Claude Desktop. Xác minh trong Cài đặt → Nhà phát triển — bạn sẽ thấy khepra với trạng thái đang chạy và tất cả các công cụ được liệt kê.


Cursor

Tệp cấu hình: .cursor/mcp.json trong thư mục gốc dự án của bạn, hoặc ~/.cursor/mcp.json toàn cục.

Docker (macOS / Linux)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Tệp nhị phân (macOS / Linux)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "/path/to/khepra-mcp",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
      }
    }
  }
}

Tệp nhị phân (Windows)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
      }
    }
  }
}

VS Code (với tiện ích mở rộng GitHub Copilot hoặc Cline)

Tệp cấu hình: .vscode/mcp.json trong dự án của bạn, hoặc cài đặt người dùng.

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "${env:HOME}/.khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Hoặc qua settings.json người dùng cho tiện ích mở rộng Cline:

{
  "cline.mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Windsurf

Tệp cấu hình: ~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Continue.dev

Tệp cấu hình: ~/.continue/config.json — thêm vào mảng experimental.modelContextProtocolServers:

{
  "experimental": {
    "modelContextProtocolServers": [
      {
        "name": "khepra",
        "transport": {
          "type": "stdio",
          "command": "docker",
          "args": [
            "run", "--rm", "-i",
            "-e", "KHEPRA_MODE=sovereign",
            "ghcr.io/nouchix/pqc-khepra-mcp:latest"
          ]
        }
      }
    ]
  }
}

Công cụ AI Đám mây / SaaS (Claude.ai, ChatGPT, Gemini, v.v.)

Sử dụng điểm cuối được lưu trữ trực tiếp tại mcp.souhimbou.ai — không cần thiết lập:

Tùy chọn 1 — Điểm cuối được lưu trữ trực tiếp (khuyến nghị, không cần thiết lập)

{
  "mcpServers": {
    "khepra": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
    }
  }
}

Hoặc URL SSE trực tiếp cho các công cụ chấp nhận nó:

https://mcp.souhimbou.ai/sse
Công cụ Đám mâyNơi thêm URL MCP
Claude.ai (Pro/Team)Cài đặt → Tích hợp → Máy chủ MCP
Cursor.cursor/mcp.json → trường url
OpenAI AssistantsTrường API tools với type: "mcp"
Glama.aiKhông gian làm việc → Máy chủ MCP
Smithery.aiDanh mục → Máy chủ tự lưu trữ

Tùy chọn 2 — Proxy mcp-remote (tệp nhị phân cục bộ phía sau cầu nối)

Nếu bạn cần chế độ chủ quyền (không kết nối ra ngoài) được ủy quyền tới một công cụ đám mây:

# Install once
npm install -g mcp-remote

# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
  --server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
  --port 3000

# Point cloud tool to:
# http://localhost:3000/sse

Lưu ý bảo mật: Ở chế độ sovereign/ironbank, KHEPRA không thực hiện cuộc gọi ra ngoài — chỉ kết nối cầu nối tới công cụ đám mây mang dữ liệu.

Tùy chọn 3 — Smithery / MCP Registry (Gói Cộng đồng)

KHEPRA được liệt kê trên Smithery.aiMCP Registry. Các công cụ đám mây hỗ trợ khám phá dựa trên registry có thể cài đặt trực tiếp:

Registry ID: io.github.nouchix/pqc-khepra-mcp

Xác thực — Kiểm tra Cài đặt của bạn

Chạy lệnh này từ terminal của bạn để xác minh máy chủ phản hồi chính xác:

# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest

# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | KHEPRA_MODE=sovereign ./khepra-mcp

# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | & ".\khepra-mcp.exe"

Đầu ra mong đợi: một phản hồi JSON-RPC liệt kê tất cả các công cụ có sẵn. Nếu bạn thấy "tools": [...] với hơn 12 mục — bạn đã kết nối.

Xác thực giao thức đầy đủ (Windows)

# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"

# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation

Công cụ MCP

Gói Cộng đồng (Miễn phí — Không cần Khóa bản quyền)

pqc_stig — STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng ⭐

Đánh giá một thư mục mã nguồn dựa trên PQC-01-STIG-V1R1: 12 biện pháp kiểm soát bao gồm phê duyệt thuật toán CNSA 2.0, độ mạnh khóa ML-DSA-65, đóng gói ML-KEM-768, mật mã lai, lưu trữ khóa, triển khai thời gian hằng số và các yêu cầu chuỗi chứng chỉ.

pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")

Ví dụ: "Chạy pqc_stig trên dự án của tôi và cho tôi biết liệu tôi có tuân thủ CNSA 2.0 không"

nist_map

Ánh xạ các định danh CCI hoặc phát hiện STIG sang các biện pháp kiểm soát NIST 800-53 Rev 5.

khepra_query_stig

Truy vấn cơ sở dữ liệu tuân thủ STIG/CCI/NIST/CMMC 36.195 hàng theo ID kiểm soát.

dark_crypto_contribute (tự chọn tham gia)

Đóng góp dữ liệu đo lường từ xa thuật toán mật mã ẩn danh vào Mạng lưới Tình báo Mật mã Tối SouHimBou AI. Không có PII. Chỉ tự chọn tham gia — không bao giờ kích hoạt nếu không có lệnh gọi rõ ràng.


Gói Chủ quyền / Pharaoh

ert_scan

Quét Rủi ro & Đe dọa Doanh nghiệp trên STIG, NIST 800-53, NIST 800-171, CMMC và FedRAMP. Trả về Báo cáo Godfather với tác động kinh doanh quy đổi bằng đô-la.

ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")

Ví dụ: "Chạy ert_scan trên /etc và tạo Báo cáo Godfather"

stig_check

Quét tuân thủ RHEL-09-STIG-V1R3 tự động trên hệ thống trực tiếp hoặc đường dẫn cấu hình.

cmmc_assess

Đánh giá CMMC Cấp độ 1, 2 hoặc 3 đầy đủ với phân tích khoảng cách và tạo POA&M.

godfather_report

Tạo Báo cáo Godfather cho lãnh đạo từ kết quả quét trước đó: 10 phát hiện hàng đầu được xếp hạng theo mức độ rủi ro đô-la, ROI khắc phục và tác động kinh doanh mô hình FAIR.

+ 20 công cụ bổ sung

agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets, và hơn thế nữa.


Báo cáo Godfather

Không giống như các trình quét tuân thủ xuất ra một loạt CVE, KHEPRA chuyển các phát hiện thành ngôn ngữ mà các nhà lãnh đạo quan tâm:

Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x

Mỗi phát hiện bao gồm ID kiểm soát, ánh xạ khung, tác động kinh doanh bằng đô-la, ước tính chi phí khắc phục và ROI.


Chế độ Triển khai

Chế độMạng biệt lậpKết nối ra ngoàiĐo lường từ xaTrường hợp sử dụng
sovereign✅ CóKhôngKhôngTại chỗ, SCIF, mật (MẶC ĐỊNH)
ironbank✅ CóKhôngKhôngSản xuất Bộ Quốc phòng/Cộng đồng Tình báo, chỉ FIPS
hybrid❌ KhôngLANKhôngPhối hợp biên + đám mây
edge❌ KhôngKhông giới hạnKhôngSaaS hoàn toàn phi trạng thái

Đặt qua biến môi trường KHEPRA_MODE. Các giá trị không xác định bị từ chối khi khởi động và quay về sovereign (đóng khi lỗi).


Biến Môi trường

BiếnYêu cầuMặc địnhMô tả
KHEPRA_LICENSE_KEYChỉ Chủ quyền/PharaohKhóa bản quyền. Gói Cộng đồng chạy mà không cần. Lấy tại nouchix.com
KHEPRA_MODEKhôngsovereignChế độ triển khai: sovereign, ironbank, hybrid, edge
KHEPRA_MANIFEST_PATHKhôngmanifest.jsonĐường dẫn đến tệp kê khai công cụ đã ký
KHEPRA_HOMEKhông/var/lib/khepraThư mục dữ liệu và cơ sở dữ liệu tuân thủ
KHEPRA_LOG_DIRKhông/var/log/khepraThư mục nhật ký
KHEPRA_DAG_PATHKhông~/.khepra/dagĐường dẫn lưu trữ chuỗi kiểm toán DAG
KHEPRA_AUDIT_LOG_PATHKhông~/.khepra/audit.ndjsonĐường dẫn nhật ký kiểm toán đã ký
KHEPRA_MAX_CONCURRENTKhông5Số lần gọi công cụ đồng thời tối đa cho mỗi tác tử
KHEPRA_NETWORK_POLICYKhônglanPhạm vi mạng: lan, none, unrestricted
MCP_PQC_ENABLEDKhôngtrueBật chứng thực PQC ML-DSA-65 trên tất cả các phản hồi

Triển khai Mạng biệt lập & SCIF

KHEPRA không thực hiện cuộc gọi mạng bên ngoài ở chế độ sovereignironbank:

  • Bản quyền được xác thực ngoại tuyến qua tệp license.adinkhepra đã ký ML-DSA-65
  • Cơ sở dữ liệu tuân thủ (36.195 ánh xạ) được đóng gói trong container — không tải xuống bên ngoài
  • Không đo lường từ xa, không heartbeat, không kết nối ra ngoài — được xác minh ở tầng truyền tải
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz

# On air-gapped host:
docker load < khepra-mcp.tar.gz

Lưu ý về đo lường từ xa: Công cụ dark_crypto_contribute (Gói Cộng đồng) gửi dữ liệu đo lường từ xa thuật toán mật mã ẩn danh đến mạng lưới tình báo SouHimBou AI chỉ khi được người dùng gọi một cách rõ ràng. Nó không bao giờ được kích hoạt tự động. Ở chế độ chủ quyền/ironbank, tất cả các cuộc gọi mạng đều bị chặn ở tầng truyền tải bất kể thế nào.


Phạm vi Tuân thủ

KhungPhiên bảnÁnh xạ
STIG (RHEL 9)V1R3Quét tự động
NIST 800-53Rev 52.120 CCI
NIST 800-171Rev 2320 biện pháp kiểm soát
CMMCCấp độ 3Bộ thực hành đầy đủ
FedRAMPCaoQuét cơ sở
PQC-01-STIG-V1R1V1R117 biện pháp kiểm soát PQC (CNSA 2.0)
Tổng cộngHơn 36.195 ánh xạ

Cấp phép

Cấp phép thường niên trọn gói — không tính phí theo token hay theo truy vấn.

BậcChi phíKhóa cấp phépCông cụ
Cộng đồngMiễn phíKhông yêu cầupqc_stig + 12 công cụ cốt lõi
SovereignPhí thường niên trọn góiYêu cầuTất cả 34 công cụ, air-gap, on-prem
PharaohPhí thường niên trọn góiYêu cầuTất cả 34 công cụ + hỗ trợ ưu tiên + SLA
  • Bậc Cộng đồng miễn phí vĩnh viễn — đóng góp vào việc áp dụng PQC mã nguồn mở
  • Sovereign/Pharaoh: liên hệ [email protected] hoặc truy cập nouchix.com

Bảo mật

Báo cáo lỗ hổng

Không mở issue công khai cho các lỗ hổng bảo mật.

Báo cáo riêng tư qua GitHub Security Advisories hoặc email [email protected].

SLAMục tiêu
Xác nhận24 giờ
Đánh giá ban đầu5 ngày làm việc
Bản vá / biện pháp giảm thiểu (Nghiêm trọng)30 ngày

Chúng tôi chấp nhận báo cáo được mã hóa qua PGP (keys/security_contact.asc) và các kênh Hậu lượng tử (khóa Dilithium / ML-DSA-65 trong keys/). Xem SECURITY.md để biết chính sách tiết lộ đầy đủ và phân loại sự kiện ASAF.


Tư thế bảo mật

Triển khai mật mã hậu lượng tử tiên tiến, cách ly air-gap và ánh xạ STIG toàn diện — được xây dựng phù hợp trực tiếp với hướng dẫn Model Context Protocol của NSA & ASD.

Sự phù hợp bảo mật MCP của NSA & ASD

NSA và Cơ quan Tín hiệu Úc (ASD) đã công bố các vector đe dọa cụ thể cho các hệ thống AI tương tác với môi trường cục bộ. KHEPRA MCP được thiết kế rõ ràng để giảm thiểu mọi vector đã xác định:

Yêu cầu NSA/ASDTriển khai KHEPRA
Xác thực mật mã các phản hồi công cụChữ ký ML-DSA-65 (Dilithium) trên tất cả payload JSON-RPC 2.0
Xác thực đầu vào & làm sạchChống chèn tham số thông qua xác thực JSON Schema nghiêm ngặt
Nguyên tắc đặc quyền tối thiểuToken tạm thời ngắn hạn gắn với các cửa sổ thực thi tác vụ cụ thể
Ghi nhật ký kiểm toán toàn diệnSự kiện chống giả mạo được biên dịch thành cấu trúc DAG bất biến
Giới hạn tiêu thụ tài nguyênGiới hạn tốc độ + áp lực ngược cho các vòng lặp yêu cầu LLM
Cổng ủy quyền cho hành động nhạy cảmCổng có sự can thiệp của con người cho các thay đổi trạng thái phá hủy
Cách ly môi trườngThực thi container hóa với chế độ sovereign không ra ngoài
Tính toàn vẹn chuỗi cung ứng phần mềmGhim manifest cho tất cả công cụ và phụ thuộc đã tải
Giảm thiểu lộ diện mạngCó khả năng air-gap — không truyền tải internet trong chế độ sovereign/ironbank
Khả năng phục hồi hậu lượng tửDấu vết DAG ký PQC bảo vệ chống lại thu thập-bây giờ-giải mã-sau

Chứng nhận tuân thủ

KhungTrạng tháiPhạm vi
CMMC Cấp 2Tự động thu thập bằng chứng cho các lĩnh vực AU, CM, SI, SC
NIST SP 800-171 Rev 2Ghi nhật ký, trách nhiệm giải trình, tính toàn vẹn hệ thống
NIST SP 800-53 Rev 5Giám sát liên tục (AU-2, SI-4)
FIPS 203 (ML-KEM)Đóng gói khóa cho truyền tải an toàn
FIPS 204 (ML-DSA)Chữ ký số cho xác thực payload
Ủy nhiệm PQC NSM-10Tuân thủ Bản ghi nhớ An ninh Quốc gia 10
DFARS 252.204-7012Dấu vết pháp y bất biến cho báo cáo sự cố mạng
Hướng dẫn Bảo mật MCP của NSAÁnh xạ trực tiếp tới tất cả các biện pháp giảm thiểu đe dọa tác nhân AI đã công bố

Triển khai thực tế — Biên vật lý

Chạy liên tục trên phần cứng biên hạn chế từ ngày 12 tháng 5 năm 2026 để chứng minh hiệu quả trong môi trường sovereign:

  • Phần cứng: Raspberry Pi 2 · 1 GB RAM · 900 MHz ARM · Bộ định tuyến Spectrum trực tiếp
  • SCADA Pod: STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · Xác minh chữ ký Dilithium trực tiếp
  • Kiểm soát đang hoạt động: 3 cổng mở được bảo mật · 12 vi phạm STIG được phát hiện · 100% giám sát tính toàn vẹn tệp (AIDE) · Hoạt động liên tục 24/7

Xác nhận học thuật

Sự kiệnNgàyTổ chức
Hội nghị chuyên đề UAlbany AI Plus 2026"Giao thức KHEPRA: Bảo mật AI Tác tử Kháng Lượng tử Sử dụng Mật mã Văn hóa"Ngày 7 tháng 3 năm 2026Tổ chức NSA CAE-CDE · 200+ khán giả
Trình diễn An ninh mạng SUNY Albany — Lễ khóa PQC đầu tiên trên thiết bị lớp STM32 (SCADA Pod)Ngày 12–13 tháng 5 năm 2026Demo trực tiếp · Poster kiến trúc SCADA

Bằng sáng chế tạm thời USPTO #73565085 — đang chờ xử lý.
🔒 Container Iron Bank đang trong quy trình thẩm định DISA.


Về NouchiX

Công ty tư vấn do cựu chiến binh lãnh đạo, chuyển dịch các ủy nhiệm CMMC, NIST và STIG thành lộ trình điều hành.

Được phát triển bởi SecRed Knowledge Inc. hoạt động dưới tên NouchiX, Albany, NY.