progress

src/pages/api/ai/enhance-input.ts

@@ -1,4 +1,4 @@
-// src/pages/api/ai/enhance-input.ts
+// src/pages/api/ai/enhance-input.ts - ENHANCED with forensics methodology
 import type { APIRoute } from 'astro';
 import { withAPIAuth } from '../../../utils/auth.js';
 import { apiError, apiServerError, createAuthErrorResponse } from '../../../utils/api.js';
@@ -63,31 +63,31 @@ function cleanupExpiredRateLimits() {
 setInterval(cleanupExpiredRateLimits, 5 * 60 * 1000);
 
 function createEnhancementPrompt(input: string): string {
-  return `Du bist eine KI für digitale Forensik-Anfragen. Der Nutzer beschreibt ein forensisches Szenario oder Problem. Analysiere die Eingabe auf Vollständigkeit und Klarheit.
+  return `Sie sind ein DFIR-Experte mit Spezialisierung auf forensische Methodik. Ein Nutzer beschreibt ein forensisches Szenario oder Problem. Analysieren Sie die Eingabe auf Vollständigkeit für eine wissenschaftlich fundierte forensische Untersuchung.
 
-ANALYSIERE DIESE KATEGORIEN:
-1. **Vorfalltyp**: Was ist passiert? (Malware, Datendiebstahl, Compliance-Verstoß, etc.)
-2. **Betroffene Systeme**: Welche Technologien/Plattformen? (Windows, Linux, Mobile, Cloud, etc.)
-3. **Verfügbare Datenquellen**: Was kann untersucht werden? (Logs, Images, Memory Dumps, etc.)
-4. **Untersuchungsziel**: Was soll erreicht werden? (IOCs finden, Timeline erstellen, etc.)
-5. **Zeitrahmen & Dringlichkeit**: Wann ist etwas passiert? Wie dringend?
-6. **Ressourcen & Constraints**: Budget, Skills, Tools, rechtliche Aspekte
-7. **Beweisziele**: Dokumentation, Gerichtsverfahren, interne Aufklärung?
+ANALYSIEREN SIE DIESE FORENSISCHEN KATEGORIEN:
+1. **Incident Context**: Was ist passiert? Welche Angriffsvektoren oder technischen Probleme liegen vor?
+2. **Affected Systems**: Welche spezifischen Technologien/Plattformen sind betroffen? (Windows/Linux/ICS/SCADA/Mobile/Cloud/Network Infrastructure)
+3. **Available Evidence**: Welche forensischen Datenquellen stehen zur Verfügung? (RAM-Dumps, Disk-Images, Log-Files, Network-Captures, Registry-Hives)
+4. **Investigation Objectives**: Was soll erreicht werden? (IOC-Extraktion, Timeline-Rekonstruktion, Attribution, Impact-Assessment)
+5. **Timeline Constraints**: Wie zeitkritisch ist die Untersuchung?
+6. **Legal & Compliance**: Rechtliche Anforderungen, Chain of Custody, Compliance-Rahmen (DSGVO, sector-specific regulations)
+7. **Technical Constraints**: Verfügbare Ressourcen, Skills, Infrastrukturbeschränkungen
 
-WENN die Beschreibung vollständig und spezifisch ist: Gib eine leere Liste [] zurück.
+WENN die Beschreibung alle kritischen forensischen Aspekte abdeckt: Geben Sie eine leere Liste [] zurück.
 
-WENN wichtige Details fehlen: Formuliere 2-3 präzise Fragen, die die kritischsten Lücken schließen. Fokussiere auf Details, die die Tool-/Methoden-Auswahl stark beeinflussen.
+WENN wichtige forensische Details fehlen: Formulieren Sie 2-3 präzise Fragen, die die kritischsten Lücken für eine wissenschaftlich fundierte forensische Analyse schließen.
 
-FRAGE-QUALITÄT:
-- Spezifisch, nicht allgemein (❌ "Mehr Details?" ✅ "Welche Betriebssysteme sind betroffen?")
-- Handlungsrelevant (❌ "Wann passierte das?" ✅ "Haben Sie Logs aus der Vorfallzeit verfügbar?")
-- Priorisiert nach Wichtigkeit für die forensische Analyse
+QUALITÄTSKRITERIEN FÜR FRAGEN:
+- Forensisch spezifisch, nicht allgemein (❌ "Mehr Details?" ✅ "Welche forensischen Artefakte (RAM-Dumps, Disk-Images, Logs) stehen zur Verfügung?")
+- Methodisch relevant (❌ "Wann passierte das?" ✅ "Liegen Log-Dateien aus dem Incident-Zeitraum vor, und welche Retention-Policy gilt?")
+- Priorisiert nach Auswirkung auf die forensische Untersuchungsqualität
 
-ANTWORTFORMAT (NUR JSON):
+ANTWORTFORMAT (NUR JSON, KEIN ZUSÄTZLICHER TEXT):
 [
-  "Spezifische Frage 1?",
-  "Spezifische Frage 2?",
-  "Spezifische Frage 3?"
+  "Forensisch spezifische Frage 1?",
+  "Forensisch spezifische Frage 2?",
+  "Forensisch spezifische Frage 3?"
 ]
 
 NUTZER-EINGABE:
@@ -139,7 +139,11 @@ export const POST: APIRoute = async ({ request }) => {
             }
           ],
           max_tokens: 300,
-          temperature: 0.7
+          temperature: 0.7,
+          // Enhanced: Better parameters for consistent forensics output
+          top_p: 0.9,
+          frequency_penalty: 0.2,
+          presence_penalty: 0.1
         })
       }), taskId);
 
@@ -167,14 +171,20 @@ export const POST: APIRoute = async ({ request }) => {
         throw new Error('Response is not an array');
       }
       
-      // Enhanced validation and cleaning
+      // Enhanced validation and cleaning for forensics context
       questions = questions
-        .filter(q => typeof q === 'string' && q.length > 10 && q.length < 150) // More reasonable length limits
+        .filter(q => typeof q === 'string' && q.length > 20 && q.length < 200) // More appropriate length for forensics questions
         .filter(q => q.includes('?')) // Must be a question
+        .filter(q => {
+          // Enhanced: Filter for forensics-relevant questions
+          const forensicsTerms = ['forensisch', 'log', 'dump', 'image', 'artefakt', 'evidence', 'incident', 'system', 'netzwerk', 'zeitraum', 'verfügbar'];
+          const lowerQ = q.toLowerCase();
+          return forensicsTerms.some(term => lowerQ.includes(term));
+        })
         .map(q => q.trim())
         .slice(0, 3); // Max 3 questions
         
-      // If no valid questions, return empty array (means input is complete)
+      // If no valid forensics questions, return empty array (means input is complete)
       if (questions.length === 0) {
         questions = [];
       }
@@ -185,7 +195,7 @@ export const POST: APIRoute = async ({ request }) => {
       questions = [];
     }
 
-    console.log(`[AI Enhancement] User: ${userId}, Questions: ${questions.length}, Input length: ${sanitizedInput.length}`);
+    console.log(`[AI Enhancement] User: ${userId}, Forensics Questions: ${questions.length}, Input length: ${sanitizedInput.length}`);
 
     return new Response(JSON.stringify({
       success: true,