- SharkBot v1.8.0 ra mắt ngày 23/04/2026 với hệ thống guided handrail, playbook TCP/DNS/HTTP/Wi-Fi mạnh hơn, investigation trail UI mới, baseline save/compare và hướng dẫn menu path trực quan ngay trong Wireshark.
TL;DR
SharkBot v1.8.0 (ra mắt 23/04/2026) là companion app mã nguồn mở chạy song song với Wireshark, biến packet capture thành một cuộc điều tra có hướng dẫn từng bước. Phiên bản này bổ sung guided handrail system chọn next-step dựa trên metadata, playbook TCP/DNS/HTTP/Wi-Fi 802.11 mạnh hơn, investigation trail UI, baseline save/compare, và mở rộng payload native cho receiver + Lua handoff. v1.8.1 phát hành cùng ngày, polish menu paths thành nav cue rõ ràng.
What's new trong v1.8.0
- Guided handrail v1.8: next-step selection dựa trên metadata thay vì heuristic tự do — investigation đi thẳng tuyến tính, dễ export/transcript.
- Investigation trail UI: theo dõi toàn bộ các bước đã thực hiện, resume bằng investigation ID, download chat history ra Markdown.
- Baseline save/compare: lưu một capture "known-good" làm baseline, so sánh capture mới để phát hiện drift.
- Protocol-native payload expansion cho receiver + Lua handoff — context gửi từ Wireshark sang Python receiver giàu hơn, AI trả lời chuẩn hơn.
- v1.8.1 (cùng ngày): menu path trong hướng dẫn render như navigation cue (ví dụ
Statistics > Conversations), không còn bị chìm trong câu văn.
Why it matters
Hầu hết tool "AI + Wireshark" hiện tại đi theo model batch: đẩy .pcap vào, LLM nhả kết quả. SharkBot đi hướng khác — nó ngồi cạnh Wireshark live, người dùng click chuột phải vào packet rồi chọn SharkBot: New Investigation, và tool dẫn dắt theo playbook có cấu trúc. Đây là workflow phù hợp với SOC L1 analyst đang học nghề: họ thấy chính xác phải click vào menu nào tiếp theo, tại sao, và làm gì với output.
Với v1.8.0, tính "giáo viên kèm riêng" này được hệ thống hoá: mỗi bước trong playbook có metadata, engine tự chọn next-step dựa trên context packet thay vì phụ thuộc vào prompt freeform — transcript vì thế có thể replay được, dùng làm tài liệu đào tạo hoặc báo cáo incident.
Technical facts
| Property | Value |
|---|---|
| Version | v1.8.0 (23/04/2026) · v1.8.1 polish cùng ngày |
| Runtime | Python 3.11+, Wireshark với Lua enabled |
| Tech stack | Python 68.7% · JavaScript 16.0% · CSS 7.4% · Lua 6.7% · HTML 1.2% |
| AI backends (optional) | OpenAI, Anthropic (Claude), Gemini, Ollama local |
| Mặc định | Rule-based; AI gọi on-demand qua +AI hoặc +Claude |
| Assistant profiles | specialist, packet_analyst, incident_response |
| Protocol coverage | TCP, DNS, HTTP, suspicious traffic, Wi-Fi/802.11 (BLE/BTLE hạn chế) |
| License | Open source trên GitHub (elkentaro/sharkbot) |
Các Wireshark view được reference trong playbook mới: Conversations, Endpoints, Protocol Hierarchy, Expert Information, Follow Stream, IO Graphs, Flow Graph, Packet Lengths, TCP RTT.
So sánh với các tool AI-Wireshark khác
| Tool | Mô hình | Điểm khác biệt SharkBot |
|---|---|---|
| Wireshark-MCP / WireMCP | MCP server, LLM query tshark trên .pcap | SharkBot chạy live cạnh Wireshark, workflow interactive theo playbook |
| AI Shark (packetsafari) | Batch LLM analysis pcap | SharkBot ưu tiên dạy SOC L1 từng bước, không phải one-shot report |
| Wireshark.com AI | Commercial SaaS | SharkBot open source, self-host, bring-your-own-key |
Use cases
- SOC L1 triage: click chuột phải vào packet nghi vấn → chọn playbook TCP/DNS/HTTP/Suspicious → làm theo handrail, thấy menu path cần click, lấy filter suggest sẵn.
- Beginner học Wireshark: rule-based mặc định, không cần API key, giải thích packet bằng tiếng analyst chứ không phải RFC.
- Incident response: profile
incident_responsenhấn mạnh compromise indicators và containment. - Baseline drift detection: lưu capture "bình thường" làm baseline, so với capture sau để thấy lệch.
- Đào tạo/báo cáo: investigation linear nên export ra Markdown dùng được làm runbook hoặc tài liệu training.
Limitations & pricing
- Miễn phí, open source (GitHub elkentaro/sharkbot).
- BLE/BTLE coverage hạn chế — tác giả ghi rõ.
- Không cloud/SaaS — phải self-host, cần Python 3.11+ và Wireshark với Lua bật.
- AI backend là bring-your-own-key cho OpenAI/Anthropic/Gemini; hoặc chạy local Ollama nếu muốn offline.
- Community còn nhỏ: ~20 sao, 4 fork, 1 contributor — bus factor thấp, cân nhắc nếu đưa vào production workflow.
What's next
Tác giả elkentaro chưa public roadmap chính thức; announcement chạy qua @elkentaro trên X. Với tốc độ v1.8.0 → v1.8.1 trong một ngày, kỳ vọng UX polish tiếp tục nhanh, và nhiều khả năng BLE/BTLE playbook sẽ được bổ sung nếu có đóng góp từ community.
Nếu bạn là SOC analyst, học viên CCNA/Security hoặc đang build lab network, SharkBot v1.8.0 đáng clone về thử — đặc biệt khi bạn đang cần một workflow Wireshark có structure để dạy junior.
Nguồn: GitHub elkentaro/sharkbot, CHANGELOG, tweet công bố.
