Temodar Agent

Temodar Agent 现已列入 awesome-bugbounty-tools — 一个精选的漏洞赏金资源列表，拥有 5.9k+ GitHub stars。

AI agent 驱动的 WordPress 安全扫描器，用于插件和主题分类、Semgrep 分析以及源码感知调查工作流。

Temodar Agent 是一个AI 驱动的 WordPress 插件和主题安全分析平台，专为安全研究人员、产品安全团队、审计人员和防御者构建。它将 AI agent 工作流、多提供商 LLM 编排、基于 Semgrep 的静态分析和基于风险的 WordPress 侦察集成在一个本地优先的 Docker 应用程序中。 如果您正在寻找WordPress 插件的 AI 安全扫描器、用于代码审查的 AI agent 工作流或基于 Semgrep 的漏洞分类平台，Temodar Agent 旨在使该过程更快、更结构化且更易于扩展。 ## 截图

AI-assisted security dashboard Launch scans, prioritize targets, and review results from one interface	Semgrep + AI investigation workflow Move from static analysis to source-aware AI review without losing context

## Temodar Agent 的功能 Temodar Agent 帮助团队确定哪些 WordPress 插件和主题值得优先关注，运行可重复的代码分析，并利用保持附着于被审查目标的 AI agent 系统继续调查。 核心平台能力包括： - WordPress 插件和主题扫描 - 基于风险的目标优先级排序 - 基于 Semgrep 的静态应用程序安全测试 - AI agent 辅助调查线程 - 多提供商 AI 配置和执行 - 自定义 Semgrep 规则管理 - 本地结果持久化和历史审查 ## AI Agent 能力 Temodar Agent 围绕AI agent 工作流构建，而非简单的聊天框。 ### 源码感知 AI 调查 - 为每个插件或每个主题打开专用的AI 线程 - 在深入审查之前为选定的目标准备受信任的源码工作区 - 保持与调查关联的线程级上下文，包括： - 对话摘要 - 分析摘要 - 发现摘要 - 架构说明 - 重要文件 - 最后准备的源码路径 ### 多 Agent 和执行策略支持 当前的运行时支持已在应用程序中公开的多种 AI 执行策略： - agent - team - tasks - fanout - auto 这使得 Temodar Agent 非常适合那些希望从单一 agent 工作流转向同一产品内更高级的多 agent 分析模式的团队。 ### AI 运行控制和编排 该平台还支持： - 自定义 `agents` 载荷 - 自定义 `tasks` 载荷 - fanout 配置 - 循环检测设置 - 追踪和运行时事件流 - 运行前和运行后 hook 载荷 - 手动批准模式 - 自动批准模式 - 提供输出 schema 时的结构化 AI 输出 ## 多提供商 AI 系统 Temodar Agent 包含一个多提供商 AI 配置系统，支持存储配置文件、活动配置文件切换和连接测试。 应用程序中当前支持的提供商： - Anthropic - OpenAI - Copilot - Gemini - Grok 已实现的提供商系统功能： - 多个已保存的提供商配置文件 - 活动提供商切换 - 每个配置文件的模型选择 - 每个配置文件的模型列表存储 - 提供商连接测试 - 可选的自定义 base URL 支持 - UI 层中的掩码 API key 处理 ## Semgrep 安全分析 Temodar Agent 包含一个面向生产的Semgrep 分析工作流，用于 WordPress 源码审查。 ### 内置 Semgrep 覆盖范围 当前应用程序附带对这些默认 Semgrep 规则集的支持： - OWASP Top 10 - PHP security - security audit ### 自定义规则和规则集管理 当前的 Semgrep 系统还支持： - 自定义 Semgrep 规则创建 - 自定义规则删除 - 规则启用/禁用切换 - 批量启用/禁用操作 - 规则集添加/删除/切换操作 - 自定义规则文档验证 - 跨扫描会话的批量 Semgrep 扫描 - Semgrep 输出的持久化本地存储 这使得 Temodar Agent 不仅可以用作AI 安全研究工具，还可以作为维护自身检测逻辑的团队的Semgrep 操作层。 ## WordPress 安全分类和优先级排序 Temodar Agent 帮助安全团队在手动审查开始之前减少噪音。 扫描系统可以： - 从公共来源扫描 WordPress 插件或主题 - 按安装数量和更新窗口进行筛选 - 识别被遗弃或面向用户的目标 - 利用元数据、标签和安全相关信号对包进行优先级排序 - 分配相对风险标签以加快分类速度 - 将进度实时流式传输到仪表板 - 存储扫描会话以供后续比较和跟进 ## 团队为何使用 Temodar Agent Temodar Agent 专为以下组织设计： - 希望更快审查大型 WordPress 插件生态系统 - 在源码分析之上拥有AI agent 层 - 在 Semgrep 发现与人工调查之间架起桥梁 - 每个目标可重用的调查记忆 - 用于安全研究和内部审查的本地优先工作流 ## 系统要求 Temodar Agent 旨在通过 Docker 运行。 您需要： - 已安装并运行 Docker - 在您的机器上运行 Docker 命令的权限 有用链接： - [下载 Docker Desktop](https://www.docker.com/products/docker-desktop/) - [Docker Engine 安装指南](https://docs.docker.com/engine/install/) - [Docker 文档](https://docs.docker.com/) ## 安装说明 ### 1. 克隆仓库 ``` git clone https://github.com/xeloxa/temodar-agent.git cd temodar-agent ``` ### 2. 启动 Temodar Agent ``` chmod +x run.sh ./run.sh ``` ### 安装特定版本 如果您想运行特定的发布版本，请在所需的 tag 处克隆仓库： ``` git clone --branch v0.1.0 --depth 1 https://github.com/xeloxa/temodar-agent.git cd temodar-agent ``` 将 `v0.1.0` 替换为您想要使用的发布 tag。 启动器脚本会自动： - 如有需要，构建 Docker 镜像 - 启动 Temodar Agent 容器 - 在端口 **8080** 上暴露仪表板 - 挂载持久化本地目录以存储应用状态、插件缓存和 Semgrep 结果 - 启动应用程序使用的宿主机端更新监视器 在以下地址打开仪表板： - [http://127.0.0.1:8080](http://127.0.0.1:8080) ## 数据持久化 Temodar Agent 将重要数据保存在您的宿主机上： - `./.temodar-agent` — 应用状态和本地数据库 - `./Plugins` — 下载的插件和主题缓存 - `./semgrep_results` — Semgrep 扫描输出 ## 典型工作流 1. 使用 `./run.sh` 启动 Temodar Agent 2. 打开本地仪表板 3. 启动 WordPress 插件或主题扫描 4. 审查风险标签和优先级目标 5. 对选定目标或跨会话运行 Semgrep 6. 打开 AI 线程进行源码感知的后续分析 7. 利用存储的上下文、线程记忆和运行时事件继续调查 ## 运行时控制 当 `run.sh` 处于活动状态时： - 按 **R** 重新构建并重启所有内容 - 按 **Q** 停止应用程序 - 按 **Ctrl+C** 退出 ## 法律免责声明 本项目仅用于授权的安全研究、防御性分析和教育用途。其旨在帮助研究人员和开发人员评估 WordPress 插件和主题的攻击面、确定风险目标的优先级并更高效地审查代码。 请勿将此软件用于您不拥有或未明确获得测试许可的系统、插件、主题或环境。作者和贡献者不承担因误用、损坏、服务中断、数据丢失或因不当使用导致的任何法律后果的责任。 始终确保您的测试已获得授权，并遵守适用法律、法规和披露政策。

标签：AI代理, AV绕过, CISA项目, DLL 劫持, Docker, FastAPI, Semgrep, Web安全, WordPress安全, WordPress安全扫描, 主题审计, 云安全监控, 加密, 大语言模型, 安全防御评估, 插件安全, 操作系统监控, 文档安全, 智能体, 本地优先, 源码分析, 漏洞扫描器, 网络安全审计, 自动化渗透测试, 蓝队分析, 请求拦截, 逆向工具, 静态分析, 风险识别