jerisadeumai/zero-shield-cli

# Zero-Shield CLI: AI 原生 AWS 终端代理 [](https://opensource.org/licenses/MIT) [](https://www.python.org/downloads/) [](https://aws.amazon.com/) [](#development-status) **Zero-Shield CLI** 是一个 AI 原生的安全编排器，可将自然语言转化为即时的 AWS 安全操作。专为需要快速进行云威胁调查和补救的安全分析师、DevSecOps 工程师和事件响应人员而构建。 ## 开发状态 **分支:** agent-v2-dev **版本:** v2.0.0-dev **状态:** 仅限开发和测试 **最后更新:** 2026年3月17日 **⚠️ 不推荐用于生产环境** 此开发分支包含： - 152 个自动化测试（97.4% 通过率，4 个在 Windows 上跳过） - 5 层安全加固（开发测试） - 跨 14 个服务的 32 个 AWS 操作 - 全面的文档和验证 ## 快速开始 **📺 观看实时演示：** [Zero-Shield CLI 实战演示](https://www.youtube.com/watch?v=iTuvqgTAUhA) - 观看 [2026年3月3日提交](https://github.com/jerisadeumai/zero-shield-cli/commit/9c56283724b7e1dcd16349833026ce9c731eb17c) 的现场演示！ 选择您的部署环境： | 环境 | 设置时间 | 最适合 | |-------------|------------|----------| | **[AWS CloudShell](environments/cloudshell/SETUP.md)** | 2 分钟 | 生产使用，继承 IAM 角色 | | **[本地开发](environments/local/SETUP.md)** | 5 分钟 | 开发、测试、自定义 | **平台兼容性：** - ✅ **Windows** (Windows 10+) - 完整支持 ANSI 颜色 - ✅ **Linux/Unix** (Ubuntu 20.04+) - 原生 POSIX 支持 - ✅ **macOS** (macOS 12+) - 原生终端兼容性 - ✅ **AWS CloudShell** - 自动继承 IAM 凭证 **最快启动方式 (CloudShell)：** ``` # 上传 zero_shield_cli.py 到 CloudShell # 配置环境 cp environments/cloudshell/.env.example .env # 使用你的 GITHUB_TOKEN 和 QUARANTINE_SG_ID 编辑 .env # 运行 python3 zero_shield_cli.py ``` **本地开发：** ``` # 1. Clone repository git clone https://github.com/jerisadeumai/zero-shield-cli.git cd zero-shield-cli # 2. Install dependencies pip install -r requirements.txt # 3. Configure environment cp environments/local/.env.example .env # 使用 AWS credentials 和 GITHUB_TOKEN 编辑 .env # 运行 python3 zero_shield_cli.py ``` ## 计划中的部署选项 未来的版本将包含其他部署方法： - **Docker** - 具有预配置环境的容器化部署 - **EC2 Instance** - 在 AWS EC2 上直接部署并集成 IAM 角色 - **AWS Lambda** - 用于事件驱动安全性的 Serverless 函数部署 - **Container Platforms** - Kubernetes、ECS 和其他编排平台 **计划中的 AI 模型集成：** - **Amazon Nova AI Models** - 集成 Amazon 的 Nova 基础模型以增强推理能力 - **AWS Bedrock** - 支持 Claude、Llama 和其他 Bedrock 托管的模型 - **AWS SageMaker** - 自定义模型部署和微调功能 *这些计划在未来的版本中推出，在 v2.0.0-dev 预览版中不可用。* ## Zero-Shield 功能 ``` # 自然语言安全运营 > "What instances are currently running?" > "Inspect the security groups for instance i-0123456789abcdef0" > "This instance looks compromised. Isolate it immediately." > "Show me all GuardDuty findings from the last 24 hours" > "What's the cost impact of running these instances?" ``` **关键能力：** - 跨 14 个服务类别的 **32 个 AWS 操作**（EC2、IAM、S3、RDS、Lambda、CloudWatch、GuardDuty、KMS、DynamoDB、EFS、WAF、CloudTrail、Cost Explorer、CloudWatch Logs） - **5 个 LLM 模型**（GPT-4o、Llama-3.3-70B、Phi-4、DeepSeek-V3、gpt-4o-mini） - **OODA Loop 框架**（观察-调整-决策-行动） - **安全加固**（5 层凭证脱敏、加密状态） - **上下文感知记忆**（知识图谱在重启后依然保留） ## 文档 ### 入门指南 - **[快速入门指南](QUICK_START.md)** - 5 分钟设置 - **[AWS 设置指南](aws-setup/IAM_POLICIES.md)** - IAM 策略与权限 - **[命令参考](docs/user-guide/COMMANDS.md)** - 所有可用命令 - **[使用示例](docs/user-guide/EXAMPLES.md)** - 真实场景 ### 环境设置 - **[CloudShell 设置](environments/cloudshell/SETUP.md)** - AWS CloudShell 部署 - **[本地开发](environments/local/.env.example)** - 本地环境配置 ### 技术文档 - **[架构概览](docs/architecture/ARCHITECTURE.md)** - OODA 框架、内存管理 - **[OODA Loop 详情](docs/architecture/OODA.md)** - 认知周期实现 ### 质量保证 - **[测试报告](validation/TEST_REPORTS.md)** - 全面的测试结果 - **[验证报告](validation/reports/)** - 完整的审计历史 ## 安全与信任 Zero-Shield 经过了广泛的安全加固（开发测试）： - **分析了 3,069 行代码** - 开发测试：未发现严重漏洞 - **100% 代码覆盖率（开发测试）** - 152 个测试，97.4% 通过率（148 个通过，4 个在 Windows 上跳过） - **5 层凭证脱敏（开发测试）** - AWS 凭证绝不会被记录 - **加密的状态文件（开发测试）** - 静态会话数据受保护 - **人在回路（开发测试）** - 破坏性操作需要确认 [查看详细验证报告 →](validation/reports/) ## 规格与验证 Zero-Shield CLI 建立在全面的形式化规范和基于属性的测试之上： - **[50 个已验证需求](.kiro/specs/zero-shield-cli-comprehensive-spec/requirements.md)** - 使用 EARS 协议的完整系统需求 - **[30 个正确性属性](.kiro/specs/zero-shield-cli-comprehensive-spec/design.md)** - 具有基于属性测试的形式化属性 - **[共 152 个测试](.kiro/specs/zero-shield-cli-comprehensive-spec/tasks.md)** - 8 个动作检测 + 66 个综合测试 + 35 个安全测试 + 44 个基于属性的测试 - **97.4% 测试通过率** - 148 个测试通过，4 个跳过（Windows 文件权限测试） - **基于属性的测试** - 使用 Hypothesis 库保证通用正确性 - **往返完整性** - 会话状态和知识图谱持久化已验证 - **安全属性** - 凭证脱敏、提示注入防护、HITL 确认 全面规范涵盖： - REPL 接口和 OODA loop 认知周期 - 跨 14 个服务类别的 32 个 AWS 操作 - 多模型 LLM 支持（5 个模型） - 5 层安全架构 - 跨平台兼容性（Unix/Linux、Windows、AWS CloudShell） - 具有原子写入的加密持久存储 - 速率限制处理和 API 弹性 [查看完整规范 →](.kiro/specs/zero-shield-cli-comprehensive-spec/) ## 使用 Kiro 开发 `agent-v2-dev` 分支广泛使用 **[Kiro](https://kiro.dev)** 开发 —— 这是一个 AI 驱动的开发助手，实现了快速的、规范驱动的开发： **Kiro 驱动的开发产物：** - **[全面规范](.kiro/specs/zero-shield-cli-comprehensive-spec/)** - 50 个需求、30 个正确性属性、完整实现计划 - **[自定义引导规则](.kiro/steering/)** - 针对产品、技术栈、结构和通信的项目特定 AI 指导 - **基于属性的测试** - 使用 Hypothesis 库的 44 个自动化正确性属性 - **文档生成** - 代码与文档之间的自动同步 - **质量保证** - 对所有 50 个需求和 30 个属性进行系统化验证 **开发方法论：** 1. **规范优先** - 在实现之前创建形式化需求和设计文档 2. **基于属性的测试** - 通过自动化属性验证保证通用正确性 3. **迭代优化** - 在整个开发过程中根据规范持续验证 4. **文档同步** - 自动验证文档与实现的一致性 **致谢：** - 使用 [Kiro](https://kiro.dev) 开发 - AI 驱动的开发助手 - 通过 [AWS SDK for Python (Boto3)](https://github.com/boto/boto3) 集成 AWS 服务 - 通过 [GitHub Models API](https://github.com/marketplace/models) 进行 LLM 推理 - 通过 [Hypothesis](https://hypothesis.readthedocs.io/) 进行基于属性的测试 特别感谢： - [@awslabs](https://github.com/awslabs) - AWS SDK 和工具 - [@aws](https://github.com/aws) - AWS 平台和服务 - Amazon Web Services 提供的 CloudShell 环境 这种开发方法展示了具有形式化规范的 AI 辅助开发如何能够产出高质量、经过充分测试且文档完善的软件。 ## AWS 权限 Zero-Shield 需要特定的 AWS IAM 权限。我们提供三个策略级别： | 策略 | 用例 | 权限 | |--------|----------|-------------| | **[最小权限](aws-setup/policies/zero-shield-minimal.json)** | 只读调查 | EC2 describe、IAM list | | **[标准权限](aws-setup/policies/zero-shield-standard.json)** | 大多数安全操作 | + S3、RDS、Lambda、CloudWatch | | **[完整权限](aws-setup/policies/zero-shield-full.json)** | 完整功能 | + 隔离、密钥停用 | [详细的 IAM 设置指南 →](aws-setup/IAM_POLICIES.md) ## 交互式演示 设置完成后尝试这些示例命令： ``` # 调查工作流 /target i-0123456789abcdef0 # Set target instance inspect instance # Get detailed info check its security groups # Analyze SG rules what vpc is it in? # VPC information # 安全评估 list guardduty findings # Recent threats show me iam users without mfa # IAM security gaps what s3 buckets are public? # Storage exposure # 成本分析 estimate cost for this instance # Cost projection show 7 day spend breakdown # Recent spending ``` ## 生产状态 **当前版本：** v2.0.0-dev **状态：** 开发分支 - 尚未发布 **分支：** agent-v2-dev **主分支最后提交：** 2026年3月3日 (commit: d3754fc) **开发分支更新：** 2026年3月13-17日 **开发质量指标：** - 主脚本 ([zero_shield_cli.py](zero_shield_cli.py)) 包含 3,069 行代码 - 共 152 个测试，97.4% 通过率（148 个通过，4 个在 Windows 上跳过） - 8 个动作检测测试 ([tests/test_action_detection.py](tests/test_action_detection.py)) - 66 个综合 E2E 测试 ([tests/test_comprehensive_e2e.py](tests/test_comprehensive_e2e.py)) - 35 个安全验证测试 ([tests/test_security_fixes.py](tests/test_security_fixes.py)) - 44 个基于属性的测试： - [tests/test_property_aws_sanitization.py](tests/test_property_aws_sanitization.py) - [tests/test_property_credential_redaction.py](tests/test_property_credential_redaction.py) - [tests/test_property_final_batch.py](tests/test_property_final_batch.py) - [tests/test_property_knowledge_graph.py](tests/test_property_knowledge_graph.py) - [tests/test_property_remaining_batch1.py](tests/test_property_remaining_batch1.py) - [tests/test_property_session_state.py](tests/test_property_session_state.py) - 平台特定：Windows（跳过 4 个测试 - 文件权限测试），Linux/Unix/macOS/CloudShell（运行所有 152 个测试） ## 贡献 欢迎贡献！详情请参阅 [贡献指南](CONTRIBUTING.md)。 **快速贡献设置：** ``` git clone https://github.com/jerisadeumai/zero-shield-cli.git cd zero-shield-cli pip install -r requirements.txt python3 -m pytest tests/ # Run all 152 tests ``` ## 支持 - **问题反馈：** [GitHub Issues](https://github.com/jerisadeumai/zero-shield-cli/issues) - **文档：** [命令参考](docs/user-guide/COMMANDS.md) - **设置帮助：** [快速入门指南](QUICK_START.md) ## 许可证 本项目采用 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 **首席架构师：** Jeri L3D | JeriSadeuM **仓库：** https://github.com/jerisadeumai/zero-shield-cli **实时演示：** [YouTube - Zero-Shield CLI 实战演示](https://www.youtube.com/watch?v=iTuvqgTAUhA) *(演示 2026年3月3日的提交 [9c56283](https://github.com/jerisadeumai/zero-shield-cli/commit/9c56283724b7e1dcd16349833026ce9c731eb17c))* **版权 © 2026 Jeri L3D | JeriSadeuM | 保留所有权利** *Zero-Shield CLI：AI 与 AWS 安全在思维速度上的交汇。*

标签：AI安全, AMSI绕过, AWS, Chat Copilot, DevSecOps, DPI, FTP漏洞扫描, GPT-4o, OODA循环, Python, StruQ, 上游代理, 云防护, 命令行接口, 威胁检测, 安全合规, 安全智能体, 安全编排, 无后门, 终端工具, 网络代理, 自动化响应, 逆向工具, 零日防护