Die meisten OSINT-Tools veralten schnell. Das Web ändert sich, Websites verschieben Endpunkte, Captchas entwickeln sich weiter, und das Tool stirbt innerhalb von zwei Jahren. Maigret ist die Ausnahme. Es läuft seit Jahren, unterstützt über 3.000 Websites, bietet ein Python-Paket, einen Telegram-Bot und eine Web-Benutzeroberfläche, und die dahinterstehende Technik ist eine kleine Meisterleistung darin, wie man einen Scanner baut, der nicht jedes Mal kaputtgeht, wenn sich eine Website ändert.
Dieser Leitfaden richtet sich an Ingenieure, nicht an Gelegenheitsnutzer. Er erklärt, was Maigret leistet, die legitimen Forschungs- und Sicherheitsanwendungsfälle, die es rechtfertigen, die Architektur, die es ermöglicht, auf Tausende von Websites zu skalieren, und wie die gleichen Testmuster, die Maigret verwendet (Signaturdatenbanken, Drift-Erkennung, rekursive Verifizierung), sich auf die API-Testarbeit übertragen lassen, die Sie täglich mit Apidog erledigen.
Falls Sie es noch nicht gelesen haben, behandelt unser Beitrag API-Tests ohne Postman im Jahr 2026 ähnliche Ideen zur Mustererkennung und Drift-Erkennung in einem zugänglicheren Bereich.
TL;DR
- Maigret sammelt ein öffentliches Dossier über eine Person nur anhand des Benutzernamens, prüft über 3.000 Websites auf Konten und extrahiert öffentliche Profilinformationen.
- Die technische Umsetzung ist beeindruckend: eine versionierte Site-Signaturdatenbank, rekursive Suche, automatische Drift-Erkennung, Captcha-Umgehung und ein optionaler KI-Zusammenfassungsmodus.
- Legitime Anwendungen umfassen OSINT-Ermittlungen durch Journalisten, Kontowiederherstellung, Personensuche, Sicherheitsaudits und die Überwachung von Markenmissbrauch durch Unternehmen.
- Autorisierte Red-Teaming-Einsätze verlassen sich auf Tools wie Maigret, um die öffentliche Angriffsfläche einer Organisation zu kartieren; die Nutzung bei Personen ohne deren Zustimmung fällt unter Belästigung und Stalking.
- Die architektonischen Ideen (signaturgesteuerte Erkennung, rekursive Verifizierung, automatisierte Drift-Warnungen) lassen sich direkt auf API-Tests übertragen; wir zeigen, wie man sie mit Apidog anwendet.
- Laden Sie Apidog herunter, um signaturähnliche Behauptungen für Ihre eigenen APIs auf die gleiche Weise zu entwerfen und zu testen, wie Maigret Websites testet.
Was Maigret ist und was nicht
Maigret ist ein Python-Tool, MIT-lizenziert und wird von soxoj gepflegt. Der README-Slogan: „Sammeln Sie ein Dossier über eine Person anhand des Benutzernamens von über 3.000 Websites.“ Führen Sie pip install maigret aus, geben Sie einen Benutzernamen ein, und es fragt die Websites in seiner Datenbank ab, extrahiert alle öffentlichen Profilinformationen, die hinter jedem gefundenen Konto liegen, und erstellt einen Bericht.
Drei Dinge, die klar sein müssen.
Es verwendet nur öffentliche Daten. Kein Login, kein Missbrauch von Zugangsdaten, keine API-Schlüssel. Wenn eine Website ein Profil anonymen Besuchern zugänglich macht, liest Maigret es; wenn nicht, meldet es „Benutzername nicht gefunden“ oder eine markierte Seite.
Es wird in legitimen Forschungskontexten weit verbreitet eingesetzt. Journalisten großer investigativer Medien, Freiwillige bei der Suche nach Vermissten, Betrugs- und Markenschutzteams sowie autorisierte Red Teams nutzen es täglich. Die Maigret README selbst verweist auf akademische OSINT-Lehrpläne.
Es kann missbraucht werden. Wie jedes OSINT-Tool überschreitet die Anwendung bei einer Privatperson ohne deren Zustimmung ethische und in vielen Gerichtsbarkeiten rechtliche Grenzen. Stalking-Gesetze in der EU, den USA und den meisten anderen Regionen finden Anwendung. Lesen Sie Ihre lokalen Vorschriften, bevor Sie dies auf eine Person anwenden.
Der Rest dieses Artikels konzentriert sich auf die technische Umsetzung und übertragbare Testmuster, nicht auf den Workflow der Personenidentifizierung.
Die Site-Signaturdatenbank
Die beste technische Idee in Maigret ist die Site-Signaturdatenbank. Jeder Eintrag beschreibt eine Website mit genügend Informationen, damit der Scanner entscheiden kann:
- Existiert der Benutzername auf dieser Website?
- Wie sieht eine „gefunden“-Seite aus?
- Wie sieht eine „nicht gefunden“-Seite aus?
- Welche Informationen können wir von einer gefundenen Seite extrahieren?
- Wendet diese Website eine Ratenbegrenzung oder ein Captcha an?
Die Datenbank ist im JSON-Format, im Repository versioniert und wird bei Ausführung des Tools einmal alle 24 Stunden automatisch von GitHub aktualisiert. Wenn die Maintainer eine Signatur für eine kürzlich geänderte Website aktualisieren, übernimmt jede Maigret-Installation diese am nächsten Tag ohne Neuinstallation.
Dieses Muster ist genau das, was Sie für eine API-Testsuite wünschen. Ihr Projekt hat 50, 500 oder 5.000 Endpunkte. Jeder Endpunkt hat eine Signatur: erwartete Statuscodes, Antwortstrukturen, Fehlerhüllen. Wenn ein Anbieter die Struktur ändert, möchten Sie, dass die Testsuite schnell mit einem nützlichen Diff fehlschlägt. Wir haben die gleiche Idee in der Contract-First-API-Entwicklung und im MCP-Server-Test-Playbook behandelt.
Wie Maigret „Benutzername gefunden“ vs. „nicht gefunden“ erkennt
Ein naiver Scanner führt einen HTTP-GET auf https://example.com/user/<username> aus und prüft den Statuscode. Das funktioniert vielleicht bei 10 Prozent der realen Websites. Die anderen 90 Prozent geben 200 mit einer „Benutzer nicht gefunden“-Seite zurück, oder 200 mit einer gecachten Homepage, oder 200 mit einer Captcha-Herausforderung.
Maigrets Datenbank beschreibt jede Website mit einem reichhaltigeren Satz von Erkennungsregeln:
- Ein
urlMain- undurl-Template - Eine
presenseStrs-Liste (Teilzeichenketten, die erscheinen müssen, wenn der Benutzer existiert) - Eine
absenceStrs-Liste (Teilzeichenketten, die bestätigen, dass der Benutzer nicht existiert) - Ein Regex zur Benutzernamenextraktion von der Seite
- Optionale Header (einige Websites benötigen einen benutzerdefinierten User Agent)
- Tags für Kategorie und Land
Ein „gefunden“-Urteil erfordert, dass alle presenseStrs in der Antwort vorhanden sind und keine der absenceStrs. Ein „nicht gefunden“-Urteil ist das Gegenteil. Alles andere ist ein „unbekanntes“ Ergebnis, das der Benutzer manuell untersuchen kann.
Dies ist die gleiche Art von Multi-Signal-Assertion, die Sie beim Testen komplexer APIs wünschen. Ein 200er-Status ist nicht ausreichend; Sie müssen auch den Body-Inhalt überprüfen. Apidog unterstützt sowohl Statuscode- als auch Body-Inhalts-Assertions in derselben Anfrage, was dem API-Test-Äquivalent von Maigrets presenseStrs plus absenceStrs entspricht.
Rekursive Suche und Informationsgewinnung
Sobald Maigret ein Konto findet, tut es zwei weitere Dinge.
Es durchsucht die öffentliche Profilseite nach zusätzlichen Identifikatoren: verknüpfte E-Mail-Adressen, Telefonnummern, echte Namen, andere Benutzernamen. Die Extraktionsregeln sind ebenfalls signaturgesteuert und pro Website definiert. Ein LinkedIn-Profil liefert andere Felder als ein GitHub-Profil.
Dann erfolgt eine Rekursion. Neue Identifikatoren werden in die Suchschleife zurückgeführt, wodurch das Dossier über verknüpfte Konten erweitert wird. Ein Benutzername auf einer Website könnte zu einem echten Namen führen; dieser Name könnte ein anderes Konto auf einer anderen Website freischalten; dieses Konto könnte auf einen Instagram-Handle verlinken; und so weiter.
Für OSINT ist dies der Unterschied zwischen „Ich habe ein Twitter-Konto gefunden“ und „Ich habe diese Person über 12 Dienste hinweg verfolgt.“ Für eine API-Testsuite ist dasselbe Muster wertvoll: Wenn Sie ein undokumentiertes Feld in der Antwort eines Endpunkts entdecken, folgen Sie ihm. Es weist oft auf einen verwandten Endpunkt, ein nachgeschaltetes System oder einen fehlenden Testfall hin.
Captcha- und Ratenbegrenzungs-Handhabung
Maigret umgeht teilweise Captchas und erkennt Ratenbegrenzungen durch Auslesen der Antwortstruktur. Umgehungsstrategien umfassen:
- Rotation von User Agents
- Berücksichtigung von Website-spezifischen Retry-Headern
- Rückgriff auf die mobile oder vereinfachte Domain der Website
- Routing über Tor oder I2P, wenn die Website dies erlaubt
Die README gibt ehrlich zu, dass dies nur teilweise funktioniert. Wenn eine Website aggressive Anti-Automatisierungsmaßnahmen hat, vermerkt Maigret „Captcha erkannt“ und lässt den Benutzer manuell untersuchen. Das Tool versucht nicht, feindliche Abwehrmaßnahmen zu überwinden; es arbeitet mit Websites, die einen grundlegenden anonymen Zugriff erlauben.
Das Muster überträgt sich: Wenn Sie einen API-Client oder Test-Runner entwickeln, gestalten Sie ihn so, dass er Ratenbegrenzungsantworten erkennt und sich elegant zurückzieht, anstatt sie gewaltsam zu durchbrechen. Die gleiche defensive Haltung, die Maigret auf der richtigen Seite der Anbieterbedingungen hält, verhindert, dass Ihre API-Tests die IP des Teams sperren lassen.
Das Problem der Signaturdrift
Eine Datenbank mit 3.000 Websites ist nur nützlich, wenn sie aktuell bleibt. Websites gestalten Profilseiten neu, ändern URL-Muster, fügen Captchas hinzu oder werden übernommen und umbenannt. Eine veraltete Signatur führt zu falsch Negativen (Ihre Suche findet nichts) oder falsch Positiven (sie findet Konten, die nicht existieren).
Maigret begegnet diesem Problem mit drei Schichten:
- Automatisches Update vom zentralen GitHub-Repository alle 24 Stunden
- Community-Pull-Requests, die individuelle Site-Signaturen pflegen
- Ein
--update-Flag, das ein frisches Abrufen erzwingt - Ein integriertes Test-Harness, das jede Signatur vor der Auslieferung gegen einen bekannten, existierenden Benutzernamen validiert
Der dritte Punkt ist derjenige, den die meisten Engineering-Teams übersehen. Maigret speichert für jede Website einen bekannten, existierenden Benutzernamen (typischerweise einen Entwickler oder Maintainer, der zugestimmt hat). Das Harness fragt diesen Benutzernamen ab und bestätigt, dass die Signatur noch funktioniert. Drift erkannt, Signatur markiert, Mitwirkende benachrichtigt.
Dies ist genau die Art von Regressionstest-Suite, die Sie für Ihre eigenen API-Verträge wünschen. Apidog unterstützt dasselbe Muster: Speichern Sie eine bekanntermaßen gute Antwort pro Endpunkt, wiederholen Sie die Anfrage gegen den Live-Endpunkt nach einem Zeitplan, vergleichen Sie das Ergebnis und warnen Sie bei Drift. Unser DeepSeek V4 API-Leitfaden behandelt die manuelle Seite dessen für einen bestimmten Anbieter.
Der optionale KI-Zusammenfassungsmodus
Das --ai-Flag wandelt Maigrets Rohdaten in eine kurze Untersuchungszusammenfassung um, indem es einen OpenAI-kompatiblen LLM-Endpunkt verwendet. Sie stellen den API-Schlüssel bereit; Maigret strukturiert den Prompt und den Aufruf.
Dies ist ein gutes Beispiel für einen richtig umgesetzten LLM als Postprozessor. Das Modell entscheidet niemals, ob ein Benutzername übereinstimmt; das ist regelbasiert und deterministisch. Das Modell fasst lediglich zusammen, worin es gut ist, und arbeitet mit begrenzten Eingaben. Halluzinationen sind begrenzt.
Dieselbe Architektur funktioniert gut für die API-Überwachung: deterministische, regelbasierte Assertions in Apidog, mit einem LLM-Postprozessor, der den Laufbericht am Ende in eine Slack-freundliche Zusammenfassung umwandelt. Unser Beitrag Computernutzung vs. strukturierte APIs erklärt, warum die strukturierte Ebene immer zuerst kommen sollte.
Wissenswerte, legitime Anwendungsfälle
Fünf Kontexte, in denen die Ausführung von Maigret unzweifelhaft angemessen ist.
Kontowiederherstellung für sich selbst. Finden Sie jedes alte Konto, das mit einem Benutzernamen verknüpft ist, den Sie 2014 verwendet haben. Nützlich vor Datenschutzprüfungen oder beim Löschen eines digitalen Fußabdrucks.
Überwachung von Markenmissbrauch. Unternehmen führen Maigret für ihre Marken- oder Produktnamen aus, um Nachahmungs-Konten zu erkennen. Die meisten Gerichtsbarkeiten fördern diese Art der Überwachung; einige schreiben sie vor.
Freiwilligenarbeit bei der Personensuche. Such- und Rettungsorganisationen sowie Organisationen für vermisste Personen nutzen Maigret mit Zustimmung der Familie, um digitale Spuren zu verfolgen. Stimmen Sie sich immer mit den Strafverfolgungsbehörden ab; eigenständige Ermittlungen erschweren Untersuchungen oft.
Autorisierte Red-Team-Einsätze. Pentest-Teams nutzen Maigret im Rahmen eines unterzeichneten Vertrags, um die öffentliche Angriffsfläche einer Organisation zu kartieren. Der Vertrag definiert den Umfang; das Tool ist nur die Implementierung.
Investigativer Journalismus. Reporter, die Betrug, Fehlverhalten von Persönlichkeiten des öffentlichen Lebens oder organisierte Kriminalität untersuchen, verwenden OSINT-Tools unter redaktioneller und rechtlicher Prüfung.
Was nicht auf dieser Liste steht: einen Fremden aus Neugier nachschlagen, einen Ex-Partner überwachen oder einen Datensatz über Personen erstellen, die nicht zugestimmt haben. Diese Verwendungen überschreiten in den meisten Gerichtsbarkeiten rechtliche Grenzen und überall ethische Grenzen.
Muster von Maigret, die Sie auf API-Tests anwenden können
Fünf technische Ideen, die sich direkt übertragen lassen.
- Signaturdatenbanken statt handgeschriebener Prüfungen. Definieren Sie das erwartete Verhalten jedes Endpunkts als Daten, nicht als Code. Neue Anbieter werden ohne Neukompilierung hinzugefügt.
- Multi-Signal-Assertions. Statuscode plus Body-Inhalt plus Header-Prüfung, alles erforderlich. Reduziert falsch Positive durch zwischengespeicherte Antworten oder generische Fehlerseiten.
- Automatisch aktualisierende Signaturen. Laden Sie die neuesten Assertions nach einem Zeitplan von einem zentralen Repository. Apidog-Projekte unterstützen Cloud-Synchronisierung; nutzen Sie diese. Wir haben den Workflow in API-Tests ohne Postman behandelt.
- Drift-Erkennung. Planen Sie eine periodische Wiederholung gegen ein bekannt gutes Fixture und vergleichen Sie das Ergebnis. Warnen Sie bei Strukturänderungen, bevor sie die Produktion beeinträchtigen.
- LLM als Postprozessor, nicht als Richter. Lassen Sie deterministische Regeln über Bestehen/Nichtbestehen entscheiden. Verwenden Sie den LLM nur, um den Bericht in etwas Lesbares zu verwandeln.
Wenden Sie diese an, und Ihre API-Testsuite erhält die gleiche Langlebigkeit wie Maigret. Die meisten Testsuiten sterben, weil sie einmal geschrieben, handcodiert und nie aktualisiert wurden. Maigrets Architektur ist ein Modell für eine, die überlebt.
Häufige Fallstricke bei der Ausführung von Maigret
Für Ingenieure, die mit dem Tool selbst experimentieren.
- Ausführung ohne
-aund Annahme der Vollständigkeit. Standardmäßig werden die Top-500 Websites nach Traffic gescannt. Wenn Ihre Untersuchung den „Long Tail“ benötigt, verwenden Sie-afür die vollen über 3.000+. Beachten Sie, dass der Durchlauf länger dauert. - Tags ignorieren. Das
--tags-Flag grenzt nach Kategorie oder Land ein. Ein Benutzer in Russland oder Japan würde von einer US-zentrischen Standardeinstellung übersehen werden; die Tag-Filterung erfasst sie. - Das automatische Update überspringen. Alte Signaturdatenbanken führen zu falsch Positiven und falsch Negativen. Lassen Sie das automatische Update laufen oder verwenden Sie
--updatemanuell vor ernsthaften Untersuchungen. - Ausführung über Tor ohne Erlaubnis der Zielseite. Einige Websites blockieren Tor-Exit-Knoten; Maigret erkennt dies. Interpretieren Sie eine Tor-Blockierung nicht als Signal über den Benutzer.
- Extrahierte Felder ohne Überprüfung glauben. Das Tool extrahiert, was die Seite preisgibt. Seiten können gefälscht sein. Behandeln Sie Ergebnisse als Hinweise, nicht als Beweismittel.
Praktische Anwendungsfälle
Eine Sicherheitsberatung nutzt Maigret als ersten Schritt bei jedem Red-Team-Scoping-Engagement. Das Ergebnis fließt in den Kickoff-Bericht ein, sodass der Kunde seine öffentliche Angriffsfläche vor Beginn des Engagements sieht.
Ein freiberuflicher Betrugsermittler verwendet Maigret mit dem --ai-Flag, um einen Scan von 3.000 Websites in eine 200-Wörter-Zusammenfassung für nicht-technische Kunden zu verwandeln. Die deterministische Suche liefert die Daten; der LLM ist die lesbare Ebene.
Ein Engineering-Team verwendet dieselben architektonischen Ideen (Signaturdatenbank, Drift-Erkennung, periodische Wiederholung), um seine interne API-Testsuite über 200 Mikroservices hinweg aktuell zu halten. Sie haben es in Apidog gebaut; die Prinzipien stammen von Maigret.
Fazit
Maigret ist ein funktionierendes Beispiel dafür, wie man ein Tool baut, das auf Tausende von Erkennungsregeln skaliert, ohne jedes Mal kaputtzugehen, wenn sich die zugrunde liegenden Oberflächen ändern. Die technische Umsetzung ist es wert, studiert zu werden, selbst wenn Sie nie eine OSINT-Untersuchung durchführen: Signaturdatenbanken, Multi-Signal-Assertions, sich automatisch aktualisierende Daten, Drift-Erkennung und LLM-Nachbearbeitung sind alle auf die API-Testarbeit übertragbar, die Sie täglich erledigen.
Fünf Erkenntnisse:
- Maigret prüft über 3.000 Websites auf einen Benutzernamen mithilfe einer versionierten, sich automatisch aktualisierenden Signaturdatenbank.
- Multi-Signal-Erkennung (Präsenzzeichenketten plus Abwesenheitszeichenketten) übertrifft einfache Statuscode-Prüfungen in puncto Zuverlässigkeit.
- Drift ist der Feind jeder langlebigen Testsuite; periodische Wiederholung gegen bekannte Fixtures erkennt sie frühzeitig.
- LLM als Postprozessor (das
--ai-Flag) ist die richtige Architektur: deterministische Regeln, zusammengefasste Ausgabe. - Die gleichen Muster funktionieren für API-Tests in Apidog; wir haben sie bei den Vertragssuiten unserer Kunden angewendet.
Nächster Schritt: Lesen Sie das Maigret-Site-Datenbankformat, öffnen Sie dann Apidog und entwerfen Sie einen Endpunkt in Ihrem Projekt auf die gleiche Weise: signaturgesteuert, Multi-Signal, mit einem gespeicherten Fixture zur Drift-Erkennung. Die Disziplin zahlt sich aus, wenn ein Anbieter um 2 Uhr morgens ein Feld umbenennt und Ihre Suite es erfasst, bevor die Benutzer es tun.
FAQ
Ist die Verwendung von Maigret legal?
Das hängt von der Gerichtsbarkeit und dem Ziel ab. Die Anwendung auf sich selbst, auf Konten, die Ihnen gehören, auf ein Unternehmen, für das Sie eine schriftliche Testberechtigung haben, oder im Rahmen von autorisiertem Journalismus ist in der Regel unbedenklich. Die Anwendung auf eine ahnungslose Person kann in der EU, den USA, Großbritannien und den meisten anderen Regionen Stalking- und Belästigungsgesetze verletzen. Lesen Sie Ihre lokalen Vorschriften, bevor Sie es auf Dritte anwenden.
Funktioniert Maigret ohne Python?
Das offizielle Paket ist Python 3.10+. Der Autor pflegt einen Telegram-Bot für gelegentliche Abfragen und eine Cloud-Shell-Einrichtung für Benutzer, die keine lokale Installation wünschen.
Wie genau ist die Behauptung von 3.000 Websites?
Die Site-Datenbank im Repository listet über 3.000 Einträge auf; nicht alle sind jederzeit aktiv. Das automatische Update hält eine funktionierende Untermenge aktuell. Die Tag-Filterung hilft Ihnen, sich auf Websites zu konzentrieren, die für Ihren Bereich relevant sind.
Was bewirkt der KI-Modus?
Das --ai-Flag verwendet einen OpenAI-kompatiblen LLM, um die deterministischen Ergebnisse in einem lesbaren Bericht zusammenzufassen. Es ändert die Suche selbst nicht; es verarbeitet sie nur nach. Bringen Sie Ihren eigenen API-Schlüssel mit.
Kann ich Maigret in CI verwenden?
Für OSINT-Untersuchungen, nein; das ist interaktive Arbeit. Die architektonischen Muster, die Maigret verwendet (Signaturdatenbanken, Drift-Erkennung, geplantes Replay), gehören genau in Ihre CI-Pipeline für API-Tests. Apidog implementiert sie nativ.
Worin unterscheidet sich dies von Sherlock?
Sherlock ist der ältere, einfachere Vorgänger. Maigret erweitert es um Informationsgewinnung, rekursive Suche, Captcha-Handhabung, den KI-Zusammenfassungsmodus und eine reichhaltigere Site-Datenbank. Beide sind MIT-lizenziert und wissenswert.
Wo melde ich eine veraltete Signatur?
Die README verweist auf GitHub-Issues und Pull-Requests im Maigret-Repository. Community-Beiträge halten die Datenbank aktuell; ein PR pro veralteter Website ist die Norm.