What methodology does the CyberSecurity AD agent use?

A sequential, multi-stage pipeline: threat-intel ingest, NVD enrichment, MITRE ATT&CK mapping, deterministic scoring with LLM reasoning, and — scope-gated — authorized validation. Each stage is reproducible and recorded in an audit log.

How many stages are in the analysis pipeline?

The core pipeline has four stages — CVE extraction, NVD enrichment, MITRE ATT&CK mapping, and scoring/defense alert — followed by optional openMythos active validation and reporting.

How is traceability maintained?

Every action and decision is recorded in an immutable audit log. Deterministic risk math (no eval) ensures identical inputs produce identical scores, enabling independent verification.

How does the agent avoid touching unauthorized systems?

Every active action passes through ScopeGuard, an allowlist that permits only pre-registered, owned assets. Actions are dry-run-gateable, rate-limited, and fully logged. Out-of-scope targets are denied.

Which sources and standards does the pipeline use?

Threat intel comes from forum.xcom.dev/c/threat-intel via the Discourse admin API. Enrichment uses the NVD 2.0 REST API (CVSS, CWE) and MITRE ATT&CK (STIX 2.1 / TAXII 2.1). Active validation uses nmap and nuclei.

Methodologie – CyberSecurity AD

1. Overzicht

CyberSecurity AD is de Infrastructure Research-laag van het Xcom.dev intel-netwerk. De pentest-agent verzamelt CVE-dreigingsintel, verrijkt en mapt deze via NVD en MITRE ATT&CK, en compileert defense alerts. Scope-gated. Reproduceerbaar. Aantoonbaar.

De agent voert uitsluitend geautoriseerde tests uit binnen een geregistreerde scope-allowlist. Hij onderneemt geen actie buiten scope, voert geen exploitatie of dataexfiltratie uit, en legt elke actie vast in een audit-log. Besluitvorming over vervolgacties blijft bij het security-team van de opdrachtgever.

2. Infrastructuurcomponenten

De kern van de CSAD-agent bestaat uit de volgende componenten:

FastAPI-service: een standalone Python-agent die de pijplijn orkestreert en endpoints aanbiedt voor health, ingest, analyse, alerts, validatie, scope en tool-uitvoering.
SQLite + Qdrant: SQLite als system of record voor posts, CVE’s, mappings en alerts; een Qdrant cve_intel-collectie houdt embeddings bij voor semantisch zoeken.
ScopeGuard + tools: een allowlist-laag die actieve tools (nmap, nuclei, terminal, browser, HackRF SDR) beperkt tot geregistreerde, eigen assets, met dry-run en audit-log.

Deze infrastructuur is specifiek ontworpen voor geautoriseerd testen en sluit aan bij erkende cybersecurity-principes en responsible disclosure.

3. Threat-intel ingest

De agent pollt forum.xcom.dev/c/threat-intel via de Discourse admin API en zet nieuwe posts om in gestructureerde intel.

Extractie van CVE-identifiers (CVE-\d4-\d+)
Deduplicatie op basis van het laatst geziene topic-id
Opslag in SQLite + Qdrant
Geen verwerking van data buiten de eigen scope

De agent acteert uitsluitend op de eigen geregistreerde assets en intel.

4. Fase 1 – CVE-extractie

Deze fase voert een gestructureerde extractie uit van CVE-identifiers en context uit binnengehaalde threat-intel posts.

Functie:

Identificeren en structureren van CVE-referenties
Controleren op volledigheid en dedupliceren
Vastleggen van bron- en topic-metadata
Voorbereiden van items voor verrijking

Doel: een reproduceerbare intel-basis creëren zonder voortijdige interpretatie.

5. Fase 2 – NVD-verrijking

Deze fase verrijkt elke CVE via de NVD 2.0 REST API op technische juistheid en context.

Functie:

Ophalen van CVSS-scores en severity
Toevoegen van CWE-classificatie
Verzamelen van referenties en advisories
Valideren van de consistentie van het record

Doel: technische betrouwbaarheid verhogen vóór de mapping.

6. Fase 3 – MITRE ATT&CK-mapping

Deze fase relateert verrijkte CVE’s aan aanvalstechnieken via MITRE ATT&CK (STIX 2.1 / TAXII 2.1).

Functie:

Mappen van CVE’s op ATT&CK-technieken
Identificeren van exposure en prevalentie
Signaleren van relevante tactieken voor verdedigers
Structureren van bevindingen binnen het ATT&CK-raamwerk

Deze fase voert geen actieve scans uit en trekt geen eindconclusies. Zij rapporteert gestructureerde technique-mappings.

Doel: verdedigers techniek-context bieden zonder te acteren.

7. Fase 4 – Scoring & defense alert

Deze fase compileert alle gevalideerde bevindingen in een geprioriteerde, reproduceerbare defense alert.

Functie:

Deterministische risk-math (CVSS × exposure × prevalentie)
LLM-reasoning uitsluitend over grounded facts
Volledige traceerbaarheid vastleggen in de audit-log
Reproduceerbaarheid van de score documenteren

Het taalmodel bepaalt nooit scores of acties; het verwoordt enkel onderbouwde feiten.

Doel: een geprioriteerde, aantoonbare defense alert genereren.

Meer over de agent-pijplijn →

8. Rapportage & API

De agent ontsluit alerts en findings via een FastAPI op poort 8100. Beschikbaar zijn onder meer:

Defense alerts met risk-score en ATT&CK-techniek;
Scan-runs en gestructureerde findings;
Audit-records voor volledige herleidbaarheid.

Orchestratie van de pijplijn

De pijplijn ketent ingest → enrich → mitre → score → alert → (optioneel) validate. Elke fase is afzonderlijk aanroepbaar en testbaar, zodat resultaten reproduceerbaar blijven.

Elke actieve actie passeert ScopeGuard en wordt vastgelegd in de audit-log; buiten scope wordt elke actie geweigerd.

9. Scope-control & Compliance

De agent waarborgt:

Scope-allowlist als harde grens
Dry-run als standaard
Geen shell-injectie (binary-allowlist)
Deterministische scoring zonder eval
Volledige, herleidbare audit-log

De infrastructuur is afgestemd op:

Geldende Nederlandse en Europese wetgeving
Erkende cybersecurity-principes
De NIS2-richtlijn (Cybersecuritywet 2026)
Responsible disclosure en gecoördineerde kwetsbaarheidsmelding

10. Oprichter & Achtergrond

CyberSecurity AD is ontworpen en ontwikkeld door P.W. Oldenburger, cum laude cijferlijst in Associate Degree Cybersecurity aan de Amsterdam University of Applied Sciences in 2025, met een gewogen gemiddelde van 8,02. Met specialisatie in Artificial Intelligence, cybersecurity, offensive security en agentic systemen richt CyberSecurity AD zich op controleerbare, reproduceerbare technische infrastructuur. Verificatie van het diploma is mogelijk via een DUO-uittreksel en HvA-gecertificeerde documentatie (gewaarmerkte kopie diploma/cijferlijst).

De agent-architectuur is gebouwd door iemand die zelf beveiligde applicaties en infrastructuren ontwerpt, complexe analyse- en verificatieketens implementeert, en werkt met controleerbare en verifieerbare code-structuren.

CyberSecurity AD levert scope-gated infrastructuur en geautomatiseerde analyse, geen ongecontroleerde acties. Elke test blijft technisch afgebakend binnen de geautoriseerde scope.

Vragen?
[email protected] · Contact

Versie 2.0 — februari 2026

Methodologie & Technische Documentatie

1. Overzicht

2. Infrastructuurcomponenten

3. Threat-intel ingest

4. Fase 1 – CVE-extractie

5. Fase 2 – NVD-verrijking

6. Fase 3 – MITRE ATT&CK-mapping

7. Fase 4 – Scoring & defense alert

8. Rapportage & API

9. Scope-control & Compliance

10. Oprichter & Achtergrond