Valorm/shipout-oss

# Shipout 面向现代 Web 应用程序的 AI 驱动自主安全扫描器。 Shipout 使用一组专业的 AI agent 执行侦察、扩大攻击面、测试漏洞并验证发现——就像人类安全研究员调查目标一样。 与运行孤立检查的传统扫描器不同，Shipout 执行多步骤调查以揭示更深层次的安全问题。 ## 🚀 快速开始 使用 `npx` 立即运行扫描： ``` npx shipout scan https://example.com ``` ### 首次设置 Shipout 需要 AI 模型来运行自主扫描。配置您的 Gemini API key： ``` npx shipout setup ``` 1. 创建免费的 Gemini API key：[Google AI Studio](https://aistudio.google.com/app/apikey) 2. 运行 `shipout setup` 并粘贴您的 key。 ## 安装 使用 npm 全局安装： ``` npm install -g shipout ``` 然后运行： ``` shipout scan https://target.com ``` ## CLI 命令 | 命令 | 描述 | | -------------------- | ----------------------------------------- | | `shipout scan ` | 运行自主安全调查 | | `shipout setup` | API key 的交互式配置 | | `shipout doctor` | 检查环境就绪状态 | | `shipout --help` | 显示可用命令 | | `shipout --version` | 显示已安装版本 | ## Shipout 工作原理 Shipout 使用 agent 驱动的调查引擎。 每次扫描由一个 orchestrator agent 协调，将任务委派给专门的 agent： ``` OrchestratorAgent │ ├─ ReconAgent ├─ SurfaceExpansionAgent ├─ PayloadAgent ├─ WebSecurityAgent └─ VerifyAgent ``` 这些 agent 根据发现的攻击面动态选择扫描工具。 ## 架构 ``` CLI ↓ Scan Engine ↓ AI Agents ↓ Tools ↓ Results ``` Shipout 的核心引擎位于 `core/` 目录中，由 CLI 和云平台共享。 ## 调查流程示例 ``` Target Discovery ↓ Endpoint Mapping ↓ Parameter Discovery ↓ Payload Testing ↓ Vulnerability Verification ``` 这使 Shipout 能够检测到单次扫描扫描器可能遗漏的问题。 ## 项目结构 ``` apps/ cli/ CLI interface core/ agents/ AI investigation agents tools/ scanning tools engine/ scan orchestration logic packages/ shared/ shared utilities tests/ unit tests ``` ## 安全 如果您在 Shipout 中发现安全问题，请私下报告，而不是公开提出 issue。 联系方式：[security@valorm.xyz](mailto:security@valorm.xyz) ## 许可证 MIT License ## 状态 Shipout 目前处于早期开发阶段，正在快速演进。 ## Valorm Technologies Shipout 由 Valorm Technologies 开发。

标签：AI安全, Chat Copilot, CISA项目, DAST, DevSecOps, FTP漏洞扫描, Gemini API, MITM代理, NPM包, OSV-Scalibr, PyRIT, reconnaissance, Web安全, 上游代理, 人工智能, 加密, 动态应用安全测试, 多智能体系统, 安全测试, 安全编排, 密码管理, 恶意软件分析, 攻击性安全, 攻击模拟, 文档结构分析, 漏洞扫描器, 用户模式Hook绕过, 网络安全, 自动化攻击, 自动化红队, 蓝队分析, 隐私保护, 驱动签名利用