更新日志

v2.11.0 2026-06-04

Feature

WebUI Agentic IR 支持 Claude / Codex Provider 选择：新建或恢复 AIR 会话时可选择 Claude 或 Codex；Claude 仍是默认 Provider，Codex 会使用同一会话视图展示 AI 回复、工具调用和结果

Improvement

AIR 配置改为 air.providers.<name> 结构，Claude 与 Codex 可分别配置 CLI 路径、模型、推理强度和额外参数；示例配置默认 Claude claude-opus-4-8[1m]，Codex gpt-5.5 + xhigh
WebUI AIR 继续使用结构化 /api/air/stream 会话；旧的浏览器 PTY AIR 路由已移除，服务端 REPL 的 air 命令保持原有交互式体验

Bugfix

修复 MCP run 工具在慢命令场景下提前判定超时的问题；等待时间现在跟随 recon.commandTimeout 并保留额外缓冲
修复客户端 Files 中指向目录的 symlink 被标记为普通文件的问题，浏览器文件树可继续按目录展开和下载
修复 WebUI 进程分析错误状态不准确的问题：非 Linux 客户端返回 422，超时返回 504，其他通信失败返回 502

v2.10.0 2026-06-02

Feature

WebUI Investigations 新增进程分析：可在浏览器中对 Linux 客户端按 PID、监听端口或进程名查询进程详情，结果包含进程树、网络连接、容器信息、systemd 服务信息和可疑信号标记
Clients 列表新增进程分析快捷入口，可从指定客户端直接跳转到 Investigations 的 Process Analysis 查询
WebUI Agentic IR 支持恢复 Claude 历史会话：Resume 模式会列出当前服务端工作目录对应的 Claude Code 会话，展示历史 transcript，并使用原 session ID 继续对话

Improvement

SOAR 平台凭证优先支持独立的 SOAR_ACCESS_KEY_ID / SOAR_ACCESS_KEY_SECRET，同时保留 Alibaba Cloud SDK 默认凭证链兼容；在 SIREN Server REPL 中更新任一 SOAR 凭证变量都会自动重新初始化客户端
内部日志、SOAR 调用、升级、插件下载、IP 校验和 Shell 引号处理复用 log0-core 共享实现，减少 SIREN 本地重复工具代码
plugins update 会保留插件原有启用/禁用状态，并在配置写入失败时返回明确错误，避免更新 disabled 插件后被短暂启用
CLI 命令执行失败时会按错误边界退出；客户端收到中断信号后会主动关闭当前连接并等待处理协程退出，减少退出时的悬挂连接
WebUI deploy-batch 请求体上限提升到 8 KiB，可覆盖 20 台目标的真实实例 ID 与公网 IP 输入

Bugfix

修复部分 AIR stream 状态、重复错误提示和 Artifacts 大文件下载错误处理问题
加强插件安装/更新、WebUI 请求处理和客户端协议边界的错误处理
修复 WebUI Shell 与 Agentic IR 在浏览器连接半断开时可能长时间阻塞输出转发的问题；Recon 进度事件拉取失败时会显示错误并停止轮询
修复 Windows 文件 Recon 中最近修改事件日志命令的异常引号，避免 PowerShell 路径解析失败
修复进程分析中启动时间缓存的并发访问问题，并补齐用户删除、用户计数、插件注册等错误处理路径

v2.9.0 2026-05-21

Feature

WebUI Agentic IR 新界面：浏览器中按顺序展示 AI 回复、工具调用和结果，并支持在同一会话继续追问；服务端 REPL 的 air 命令保持原有交互式体验

Bugfix

修复客户端握手后断线时，重连等待时间可能过长的问题

v2.8.0 2026-05-18

Feature

客户端自动重连与稳定身份：客户端会持久化本机身份，服务端短暂下线或升级重启后自动重新连接

Improvement

客户端备注按稳定身份持久化，重连后会恢复此前设置的备注
WebUI Shell 与 AIR 终端启动、尺寸同步、滚轮和隐藏标签页切换更加稳定
Recon 模块复用统一的命令执行与输出处理逻辑，减少不同平台模块之间的错误处理差异

Bugfix

修复 WebUI AIR 终端文本选择和剪贴板复制在部分场景下失效的问题
修复升级包解压、二进制替换和 SOAR 调用中的部分错误处理路径，失败时返回更明确的错误

Upgrade Notes

自动重连只恢复客户端连接和备注元数据；交互式 Shell、端口转发和正在执行的命令属于当前连接上的活动会话，服务端重启后需要重新打开

v2.7.0 2026-05-15

Breaking Change

移除本地与远程 ti 威胁情报沙箱上传入口，相关上传能力不再出现在 CLI、协议处理和 WebUI 调查流程中

Improvement

WebUI 与 MCP 的启停开关拆分：mcp.enabled 可在浏览器 WebUI 关闭时继续提供 /mcp，WebUI 也可在 MCP 关闭时单独运行
Dossier 左侧入口改为打开 webui.dossierDir/report.md，该目录可以位于服务端工作目录外；报告正文和粘贴图片仍通过受保护的 WebUI 报告接口读写

Bugfix

修复 MCP 在 Windows PowerShell 命令中丢失 $_，以及执行错误被吞掉的问题
修复客户端文件浏览中 UTF-16 文本文件被当作二进制文件而无法预览的问题
修复外部 Dossier 路径、默认报告路径和报告侧边资源解析中的边界问题

v2.5.0 2026-05-14

Feature

WebUI 新增 Dossier 直接入口：左侧导航可直接打开 Dossier，无需先在 Artifacts 中选中 Markdown 文件再进入编辑器
Artifacts Markdown 报告接入 Dossier：.md 报告可从 Artifacts 打开到 Dossier，直接进入编辑流程

Improvement

Dossier 未部署或路径配置错误时，WebUI 会显示错误提示，不再让用户直接进入浏览器 404 页面

Upgrade Notes

使用 Dossier 前需要先部署 Dossier 编辑器文件和默认 report.md，默认目录为 /opt/siren/dossier，自定义路径请参考 Dossier 配置文档
Artifacts 不再直接预览 HTML 报告；历史 HTML 报告可下载后查看，新的应急报告建议使用 Markdown + Dossier

v2.4.0 2026-05-11

Feature

服务端 REPL 新增 deploy-batch 命令：支持对同一 Alibaba Cloud UID 下的 2-20 台 ECS 批量部署 SIREN 客户端，目标格式为 instanceId 或 instanceId,publicIp
WebUI Clients 页面支持批量部署：Deploy SIREN 区域新增 Single / Batch 模式切换，Batch 模式可按行输入实例 ID 与可选公网 IP，运行结果按目标逐台流式展示

Improvement

批量部署固定并发 3 台，单台失败不会中断后续目标，最终按输入顺序汇总成功/失败结果
Clients 页面的 allow 与 deploy 操作区重新布局，放行、单机部署、批量部署的输入和运行状态更易扫描

Bugfix

Artifacts 的 HTML 报告预览支持同目录资源与下载链接，打开旧报告时更稳定

v2.3.0 2026-04-29

Feature

WebUI 新增 Files 页面：在浏览器中选择在线客户端后，可直接浏览该客户端本机文件系统；Linux/macOS 默认从 / 打开，Windows 默认从 C:\ 打开
客户端文件支持预览、下载与上传：文本文件可在线预览，二进制文件会明确提示不可预览；普通文件可下载到本地，也可上传单个文件到当前目录，单文件上限为 100 MiB
Clients 列表新增 Files 快捷入口：每个客户端行提供文件浏览按钮，可从客户端列表直接跳转到对应客户端的 Files 页面

Improvement

Files 与 Artifacts 复用一致的文件浏览交互：树形目录、刷新、文件预览、下载按钮、可拖拽目录宽度等行为保持统一
客户端文件操作改为结构化请求/响应协议，目录读取、文件过大、二进制预览等状态会以明确错误或提示返回 WebUI
SOAR 操作日志与运行按钮组件复用到多个 WebUI 页面，Clients、Investigations 等页面的等待态和结果展示更一致

Bugfix

修复端口转发参数超出 1..65535 时错误信息显示为 %!w(<nil>) 的问题，改为返回可读的端口范围错误

v2.2.0 2026-04-29

Feature

WebUI 新增 Investigations 页面：在浏览器内统一执行 AccessKey 调查与客户端 Recon，不再需要回到服务端 REPL 操作
AccessKey 调查迁移到 WebUI：输入 UID、AccessKey ID 与 Region 后由服务端复用现有 SOAR 剧本生成 Markdown 报告；运行完成后可直接跳转到 Artifacts 查看完整报告
Recon 支持 WebUI 触发与阶段化进度展示：选择在线客户端即可下发 Recon，WebUI 会展示 Recon.Basic、Recon.User、Recon.Upload 等服务端解析后的阶段状态，并在报告生成后跳转到对应 artifact
Artifacts Markdown 预览新增悬浮目录：Markdown 报告包含多个章节时自动生成 TOC，点击目录项可跳转到对应章节；窄屏下目录会降级为正文顶部导航

Improvement

WebUI 调查流程的等待态改为真实可观测状态：AK 调查只展示 SOAR playbook 运行中，Recon 展示客户端实际回传阶段，避免虚构进度
Recon 报告在服务端本地保留一份，并继续按配置上传 OSS，便于远程部署时通过 Artifacts 页面直接打开
Investigation 结果面板增加空状态说明、字段占位提示和更清晰的打开 Artifacts 入口

Bugfix

修复远程部署环境下 Recon OSS 上传实际成功但 WebUI 仍显示卡在上传阶段的问题
修复 WebUI 打开 artifact 链接时无法正确跳转到生成报告的问题

v2.1.0 2026-04-24

Feature

Artifacts 页面支持整目录打包下载：文件树每个目录行悬停显示下载图标，点击以 tar.gz 流式下载（使用 gzip.BestSpeed，针对应急响应证据目录中常见的二进制文件优化吞吐）。dotfile 与 dotdir 自动排除，与浏览逻辑保持一致
Artifacts 页面原生预览 HTML 报告：针对 Agentic IR 等场景生成的 HTML 报告，可直接在浏览器中查看，并支持同目录下的 CSS、JS、字体、图片等相对资源
目录下载按钮可键盘导航，默认低调显示，行悬停或按钮聚焦时高亮

Bugfix

修复 Agentic IR 初始化失败时服务端仍继续运行的问题，改为启动时直接退出
修复会话 token 生成失败时 panic 的问题，改为返回错误并以 500 响应
修复部分 HTML 报告在 Artifacts 中预览异常的问题
修复 WebUI 客户端 shell 与 AIR WebSocket 握手未校验 Origin 头的问题
修复信息收集插件执行错误被吞掉的问题
修复 TI 文件上传可能因无超时导致长时间挂起的问题
修复 OSS 与 SOAR 客户端在凭证重置与消息处理并发时可能出现的 nil 指针与数据竞争问题

v2.0.0 2026-04-17

Feature

全新 WebUI：浏览器访问 SIREN 服务端，支持客户端列表、备注编辑、交互式 Shell、Agentic IR 自动应急响应、SOAR 命令调用(allow/deploy/clean)、Artifacts 取证文件浏览
- Shell 页面支持多标签 WebSocket 终端，切换页面时会话不中断
- Agentic IR 页面内嵌 Claude Code CLI，基于 PTY 在浏览器里完成全程自动响应
- Artifacts 文件浏览器支持 Markdown 渲染、文件下载，文件树宽度可拖拽调整并持久化
【BREAKING】MCP 服务合并到 WebUI 端口（默认 :8080），移除 mcpPort 配置和 --mcp-port 参数。MCP 客户端 URL 需指向 http://<host>:8080/mcp。
服务端、客户端启动时打印 banner 显示版本信息

Bugfix

修复 Artifacts 打开大二进制文件时显示红色"failed to read"错误的问题，改为友好的"不支持预览"提示
修复 Artifacts 浏览 Markdown 时文件树跟随滚动的问题
Makefile 目标依赖修正：pack → build、release → pack、deploy → build、update → clean

v1.16.0 2026-04-14

Feature

deploy 命令支持跳过公网 IP 查询、同时提升了受害主机出口 IP 获取稳定性

Bugfix

修复 MCP 工具 run 黑名单过于严格的问题
修复按下 Ctrl+C 直接退出服务端的问题
修复自动升级功能中潜在的路径穿越漏洞

v1.15.0 2026-03-25

Feature

MCP 工具 run 支持配置命令黑名单
服务端支持从 .env 加载环境变量
远程模式新增子命令 reload：命令客户端主动重载配置
air 功能支持自由调查模式（使用自定义 prompt，不依赖安全告警）
信息收集新增伪造时间戳相关检测项

Bugfix

修复 MCP 工具 run 无法并发调用的问题

v1.14.0 2026-02-08

Feature

新增插件系统，客户端/服务端均可通过 plugins 命令管理插件
- 命令插件：为客户端、服务端新增一项子命令
- 信息收集插件：为信息收集功能新增一项检查项，可引入外部工具
AK 泄露排查信息富化，覆盖更多场景并设置默认 region
支持通过 OpenClaw 调用

Bugfix

修复远程模式下 env 命令设置环境变量后不生效的问题
修复 jdump 命令中的 PID 参数 bug
修复 MCP 服务中的 mcpResponse 在工具调用后未重置的问题
其他多项 bug 修复与代码优化

v1.13.0 2026-01-06

Feature

本地 & 远程模式新增子命令 info：展示任意 PID/进程名/端口对应的进程信息
远程模式子命令 shell 支持终端尺寸自适应
规避云安全中心"异常的伪终端 Shell 创建行为"等告警
信息收集报告默认上传至 OSS 的 latest 目录
OSS 上传进度条显示优化
表格显示、日志输出相关代码重构

Bugfix

一键下载脚本 OSS 地址更新
MkDocs 站点稳定性与样式优化
修复 shell 运行时阻塞客户端响应其他命令的 bug

v1.12.0 2025-12-18

Feature

远程模式子命令 shell 使用独立信道和界面
客户端、服务端均支持通过 upgrade 命令一键升级
信息收集支持系统软件包完整性校验

Bugfix

Linux 下依赖工具安装失败时，避免阻塞后续运行

v1.11.0 2025-12-12

Feature

帮助信息与自动补全优化
远程模式新增子命令 ak：基于 SOAR 平台能力，一键调查 AK 调用记录
远程模式新增子命令 note：为客户端添加备注，可在 ls 中显示
远程模式子命令 clean 支持主动终止客户端进程，实现完全清理

Bugfix

修复终端显示尺寸异常问题
修复由云墙规则延迟导致的首次 deploy 无法回连问题

v1.10.0 2025-11-06

Feature

远程模式新增子命令 deploy：基于 SOAR 平台能力，通过云助手在阿里云 ECS 上一键部署并启动客户端
远程模式新增子命令 allow：基于 SOAR 平台能力，一键放行受害主机出口 IP 访问控制主机

Bugfix

修复子命令 clean 在 Windows 下无法删除可执行文件自身的问题，当前在所有平台均会删除整个可执行文件所在目录

v1.9.0 2025-10-30

Feature

【重要】远程模式新增子命令 air：使用大模型 CLI 进行自动化应急响应
MCP 服务器新增工具 get_alarm_detail，可基于 SOAR 平台能力获取指定的安全告警详情
子命令 shell 在 Windows 客户端支持全交互式终端（基于 WinPTY）
优化 Linux 客户端终端大小设置

Bugfix

修复下载脚本中下载链接错误
调整 Windows 平台客户端打包方式，使用 zip 格式
修复子命令 shell 在 Windows 客户端的终端交互 bug
修复子命令 recon 命令执行超时机制部分情况下失效的问题

v1.8.0 2025-09-12

Feature

子命令 recon 全面支持 Windows 客户端
Unix/Windows 配置文件分离

Bugfix

修复子命令 recon 输出结果模块之间顺序错误的问题

v1.7.0 2025-08-25

Feature

子命令 run 添加 Windows 支持
子命令 recon 执行命令时新增超时机制，默认 30s 超时
Unix/Windows 相关实现代码分离
说明文档与 README 完善

v1.6.0 2025-07-30

Feature

工具下载方式优化，支持命令行一键安装
客户端/服务端添加版本号信息
远程模式新增子命令 run：在指定客户端执行命令获取返回结果
新增 MCP 支持，服务端启动时同时启动 MCP 服务器，支持获取客户端信息（对应子命令 ls）、在客户端上执行命令（对应子命令 run）

Bugfix

修复部分子命令参数解析错误的问题

v1.5.0 2025-06-25

Feature

客户端支持 Windows 平台，当前仅支持远程 shell 功能
客户端列表显示 OS 信息、端口转发列表显示客户端 ID 信息
本地/远程模式新增子命令 jdump：对指定 Java 进程进行堆内存转储

v1.4.2 2025-06-03

Feature

端口转发添加并发连接支持、相关代码可维护性优化
网络连接增加超时取消机制

v1.4.0 2025-05-28

Feature

远程模式新增本地端口转发功能相关子命令
- forward：开始本地端口转发
- stopforward：停止本地端口转发
- lsforward：查看本地端口转发列表
子命令 recon 生成的文档现在以 SIREN_ 开头，子命令 clean 在清理文档时逻辑一致
代码结构优化
通信协议中 Raw 消息定义调整，避免消息模式切换问题