Czym jest Robin i jak działa?
Robin to narzędzie OSINT (Open Source Intelligence) stworzone przez Apurva Singha Gautama, analityka zagrożeń z firmy Cyble. Repozytorium znajdziesz na GitHubie: github.com/apurvsinghgautam/robin.
Działanie Robina opiera się na trzech etapach:
Etap 1 – AI doprecyzowuje Twoje zapytanie
Wpisujesz pytanie zwykłym językiem (np. „znajdź adres forum Cebulka w darknecie”). Model AI przetwarza to na zoptymalizowane frazy, które mają większą szansę trafić w odpowiednie wyniki – to nie jest zwykłe wyszukiwanie po słowach kluczowych, tylko analiza semantyczna.
Etap 2 – wyszukiwanie w sieci Tor
Robin przeszukuje jednocześnie kilkanaście wyszukiwarek darknetu i agreguje wyniki. Przy standardowym wyszukiwaniu możesz dostać setki linków – Robin używa AI do oceny trafności każdego wyniku i filtruje je do kilkunastu najbardziej relevantnych.
Etap 3 – raport ze śledztwa
Na końcu dostajesz plik Markdown z podsumowaniem: co zostało znalezione, jakie adresy .onion są powiązane z Twoim zapytaniem, jakie obserwacje AI wyciągnęła z treści znalezionych stron. Raport możesz od razu zaimportować np. do Obsidiana.
konsultacje
Wzmocnij cyberbezpieczeństwo
swojej firmy już dziś!
Zapisz się na 30-minutową darmową konsultację, aby wstępnie omówić potrzeby związane z cyberbezpieczeństwem w Twojej firmie.
Wspólnie znajdziemy rozwiązanie dopasowane do specyfiki Twojej działalności!
Dlaczego lokalne modele AI zamiast chmury?
Robin wspiera kilku dostawców AI: OpenAI (GPT-4), Anthropic (Claude), Google (Gemini) i lokalne modele przez Ollama. Mógłbyś podpiąć klucz API od OpenAI i korzystać z GPT-5 – to by działało.
Ale pomyśl o tym z perspektywy śledczego. Prowadzisz dochodzenie OSINT. Twoje zapytania mogą zawierać wrażliwe informacje – nazwy osób, adresy, frazy związane z konkretnymi incydentami. Jeśli wyślesz to do chmury, te dane trafiają na serwery zewnętrznej firmy.
Korzystając z lokalnych modeli przez Ollama, wszystko zostaje na Twoim sprzęcie. Żadne zapytanie nie opuszcza Twojej sieci. To nie jest paranoja – to podstawowa higiena operacyjna (OPSEC) przy prowadzeniu śledztw.
Czego potrzebujesz do uruchomienia?
Robin działa w kontenerze Docker, co izoluje go od Twojego głównego systemu. Do pełnej konfiguracji z lokalnymi modelami AI potrzebujesz:
|
Komponent |
Wymaganie |
Do czego służy |
|
Docker |
Zainstalowany i działający |
Uruchomienie Robina w izolowanym kontenerze |
|
Ollama |
Zainstalowana (na tym samym lub innym komputerze) |
Serwowanie lokalnych modeli AI |
|
Model AI |
np. Llama 3.3, Qwen 2.5-Coder lub inny z Ollama |
Analiza i filtrowanie wyników wyszukiwania |
|
GPU z VRAM |
Min. 16 GB (lepiej 24+ GB) |
Szybkie generowanie odpowiedzi przez model |
|
Tor |
Zainstalowany w kontenerze (Docker robi to za Ciebie) |
Połączenie z siecią Tor do przeszukiwania darknetu |
Jeśli nie masz karty graficznej z dużym VRAM, Robin zadziała też z API chmurowym (np. OpenAI). Tracisz wtedy prywatność zapytań, ale samo narzędzie działa tak samo.
Instalacja krok po kroku
Przygotowanie Ollama z modelami
Jeśli jeszcze nie masz Ollama, zainstaluj ją:
curl -fsSL https://ollama.com/install.sh | sh
Pobierz model, który będzie napędzał analizę. Do zadań OSINT sprawdzi się np. Llama 3.3 lub Qwen 2.5:
ollama pull llama3.3
ollama pull qwen2.5
Upewnij się, że Ollama działa i odpowiada na porcie 11434:
curl http://localhost:11434/api/tags
Powinieneś zobaczyć listę zainstalowanych modeli.
Uruchomienie Robina w Dockerze
Najpierw przygotuj plik .env z konfiguracją. Kluczowe zmienne to adres Ollama i wyzerowanie kluczy API chmurowych dostawców (nie chcemy z nich korzystać):
OLLAMA_URL=http://host.docker.internal:11434
OPENAI_API_KEY=
ANTHROPIC_API_KEY=
GOOGLE_API_KEY=
Jeśli Ollama działa na innej maszynie w sieci, zamiast host.docker.internal podajesz jej adres IP.
Uruchom Robina:
docker run –rm \
-v „$(pwd)/.env:/app/.env” \
–add-host=host.docker.internal:host-gateway \
-p 8501:8501 \
apurvsg/robin:latest
Po chwili interfejs webowy będzie dostępny pod adresem http://localhost:8501. Zobaczysz panel wyszukiwania, listę dostępnych modeli i pole do wpisania zapytania.
konsultacje z cyberguru
Gotowy na wzmocnienie cyberbezpieczeństwa swojej firmy?
Zarezerwuj darmową 30-minutową konsultację, aby omówić potrzeby Twojej firmy w zakresie ochrony danych i cyberbezpieczeństwa. Wspólnie zidentyfikujemy zagrożenia i znajdziemy najlepsze rozwiązania dopasowane do Twojego biznesu.
Porozmawiajmy! Kliknij w poniższy przycisk i umów się na bezpłatną konsultację.
Test w praktyce – wyszukiwanie w darknecie
W filmie pokazuję cały proces na żywo. Mój setup wygląda tak: Robin działa w Dockerze na jednej maszynie, a modele AI serwuje Ollama na dedykowanym serwerze z kartą NVIDIA RTX 6000 Pro (96 GB VRAM). Dzięki temu mogę uruchamiać nawet duże modele z 70 miliardami parametrów.
Jako testowe zapytanie wpisuję: „znajdź adres URL forum Cebulka w darknecie”. Robin:
- Przekazuje zapytanie do modelu AI, który je doprecyzowuje.
- Przeszukuje kilkanaście wyszukiwarek Dark Webu równolegle – to trwa kilkanaście sekund do kilku minut, bo połączenia przez Tor są wolniejsze niż zwykły internet.
- Filtruje wyniki za pomocą AI – z setek wyników zostaje kilkanaście trafnych.
- Generuje raport Investigation Summary w formacie Markdown.
W raporcie pojawia się konkretny adres .onion, który mogę zweryfikować. Kopiuję go, otwieram w przeglądarce Tor – i trafia dokładnie tam, gdzie powinien. Adres zgadza się z tym dostępnym w znanych katalogach linków darknetu.
Cała operacja zajęła kilka minut. Bez AI to samo zadanie wymagałoby ręcznego przeszukiwania kilku wyszukiwarek, otwierania dziesiątek linków i ręcznego weryfikowania, które z nich prowadzą do prawdziwych stron.
Bezpieczeństwo – jak się chronić podczas wyszukiwania
Zanim zaczniesz przeglądać wyniki z darknetu, zadbaj o podstawy OPSEC:
- Nigdy nie przeglądaj stron .onion na swoim głównym systemie – Korzystaj z maszyny wirtualnej (VM). Jeśli coś pójdzie nie tak – kasujesz VM i Twój główny system pozostaje nietknięty. Na moim kursie „Mistrzostwo w białym wywiadzie” pokazuję krok po kroku, jak taką maszynę przygotować. Jest też darmowy skrypt na GitHubie, który automatycznie konfiguruje Debiana z potrzebnymi narzędziami.
- Tor + VPN to minimum – Sam Tor szyfruje ruch wewnątrz sieci onion, ale Twój dostawca internetu (ISP) widzi, że łączysz się z siecią Tor. Jeśli dodasz VPN przed Torem (tzw. Tor over VPN), ISP widzi tylko połączenie z serwerem VPN – nie wie, że korzystasz z Tora.
- Robin w Dockerze to dodatkowa warstwa izolacji – Kontener Docker jest odseparowany od Twojego systemu operacyjnego. To nie jest pełna wirtualizacja (jak VM), ale daje solidną separację na poziomie procesów i systemu plików.
- Sprawdzaj swój adres IP – W filmie pokazuję, jak w przeglądarce Tor weryfikuję, że mój rzeczywisty adres IP nie jest widoczny. To prosta czynność, ale łatwo o niej zapomnieć – a konsekwencje mogą być poważne.
Do czego jeszcze można użyć Robina?
Forum Cebulka to był prosty test demonstracyjny. W praktyce Robin przydaje się do poważniejszych zadań:
- Monitorowanie grup ransomware – Grupy ransomware publikują informacje o ofiarach na swoich stronach w darknecie. Robin potrafi przeszukać te strony i dostarczyć raport z aktywnością konkretnej grupy.
- Wyszukiwanie wycieków danych – Jeśli podejrzewasz, że dane Twojej firmy lub klienta wyciekły do darknetu, Robin może pomóc w ich zlokalizowaniu.
- Threat intelligence – Analitycy bezpieczeństwa mogą używać Robina do systematycznego monitorowania darknetu w poszukiwaniu nowych zagrożeń, exploitów i narzędzi hakerskich.
- Śledztwa OSINT – Jeśli prowadzisz biały wywiad – czy to zawodowo, czy prywatnie – Robin automatyzuje najtrudniejszą część pracy: wyszukiwanie i filtrowanie informacji w sieci, która z definicji utrudnia wyszukiwanie.
współpraca
Szukasz stałej, kompleksowej obsługi bezpieczeństwa IT Twojej firmy?
Współpracuj ze mną w modelu CISO as a Service
Zostanę zewnętrznym szefem cyberbezpieczeństwa Twojej firmy
CISO as a Service od Cyberguru to:
- działania dot. cyberbezpieczeństwa dostosowane do specyfiki Twojej branży i skali działalności
- strategiczne podejście do bezpieczeństwa IT obejmujące zarządzanie ryzykiem i wdrażanie polityk
- wsparcie operacyjne: od monitorowania bezpieczeństwa IT, przez reagowanie na incydenty, aż po audyty i testy penetracyjne
- stałe podnoszenie świadomości dot. cyberbezpieczeństwa u Twoich pracowników poprzez cykliczne szkolenia
- korzystanie z wiedzy specjalisty, który jest na bieżąco z najnowszymi trendami w branży cyberbezpieczeństwa
- zapewnienie zgodności z lokalnymi i międzynarodowymi przepisami dot. ochrony danych i bezpieczeństwa informacji
- regularne raportowanie o obecnej sytuacji bezpieczeństwa IT w Twojej firmie i zalecanych krokach
- redukcja kosztów związanych z zatrudnieniem pełnoetatowego CISO, szczególnie dla mniejszych firm
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.
