n-hikichi/llm-security-scan

# LLM Security Scan 一款利用 Claude AI 为 JavaScript/Node.js 项目提供全面安全扫描的工具。 ## 概述 LLM Security Scan 是一款利用 Claude AI 先进语言理解能力，自动检测 JavaScript/Node.js 项目漏洞的安全扫描技能。与传统的基于规则的安全工具不同，它通过理解上下文的分析方式减少了误报，并提供更具实用性的安全建议。 ## 主要特性 - **AI 驱动的分析** - 由 Claude AI 提供理解上下文的安全分析 - **自动项目判定** - 通过 `package.json` 自动识别 JavaScript/Vue.js/Express.js 等框架 - **全面的检查** - 涵盖 XSS、SQL 注入、身份认证与授权、依赖项漏洞等 - **MCP Serena 集成** - 高效探索和分析代码库 - **详细的报告生成** - 附带按严重程度分类的漏洞列表、修复建议和代码示例 ## 支持的项目 ### v1.0.0 支持 | 语言 | 框架 | 项目类型 | |------|-------------|-------------| | **JavaScript** | Vue.js, React, Angular | 客户端 / 服务器 / 混合 | | **TypeScript** | Next.js, Nuxt.js, Remix | 客户端 / 服务器 / 混合 | | **Node.js** | Express.js, NestJS, Koa, Fastify | 服务器 | ### 可扩展语言 由于 Claude AI 能够解析任何编程语言，因此技术上可以扩展支持以下语言： - **Python**（Django, Flask, FastAPI） - **Java**（Spring, Jakarta） - **Go** - 其他语言 ## 快速开始 ### 1. 前置条件 - 已安装 Claude Code CLI - 已 git clone 目标项目 - 可以安装 uv ### 2. 设置（3 个步骤） **步骤 1：安装 uv** ``` curl -LsSf https://astral.sh/uv/install.sh | sh ``` **步骤 2：设置 MCP Serena** 在扫描目标目录中执行以下命令： ``` claude mcp add serena -- uvx --from git+https://github.com/oraios/serena \ serena-mcp-server --context ide-assistant --project $(pwd) \ --enable-webdashboard=false ``` 随后重启 Claude CLI **步骤 3：安装 Skill** ``` # 从 GitHub Releases 下载 llm-security-scan.zip curl -L https://github.com/n-hikichi/llm-security-scan/releases/latest/download/llm-security-scan.zip \ -o llm-security-scan.zip # 展開 unzip llm-security-scan.zip # Skill が認識されたか確認 > skill ``` ### 3. 运行扫描 在扫描目标目录中启动 Claude CLI： ``` cd /path/to/your/project claude ``` 向 Claude 发出以下指令： ``` セキュリティスキャンを実行して ``` 扫描完成后（约 10 分钟），可以使用以下命令将结果保存到文件： ``` 得られたレポートをファイルに保存して。 ``` ## 可检测的漏洞 ### 客户端（Vue.js/React 等） - **身份认证与授权** - Token 管理、存储安全 - **XSS 防护** - 输入转义、DOM 操作 - **API 通信** - HTTPS、认证头 - **依赖项** - 已知漏洞、包版本 - **数据保护** - localStorage/sessionStorage 的使用 ### 服务器端（Express.js/NestJS 等） - **身份认证与授权** - JWT、密码哈希、会话管理 - **数据库** - SQL 注入、连接安全 - **输入验证** - 清理（Sanitization）、类型检查 - **CORS 与标头** - 安全标头配置 - **错误处理** - 防止信息泄露 ## 文档 ### Markdown 格式 - **[getting-started.md](getting-started.md)** - 初学者指南（幻灯片形式，Markdown） - **[how-to-start-LLM-base-scan.md](how-to-start-LLM-base-scan.md)** - 详细设置指南 - **[ChangeLog.md](ChangeLog.md)** - 版本历史 ### PowerPoint 格式（用于演示） - **getting-started.pptx** - 初学者指南（PowerPoint 幻灯片） - **how-to-start-LLM-base-scan.pptx** - 设置指南（PowerPoint 幻灯片） **注：** PPTX 文件是从 Markdown 转换为 PowerPoint 的演示资料。旨在用于团队内部说明或学习会。 ## 常见问题 **Q: 可以将扫描结果保存到文件吗？** A: 可以。扫描完成后，指示“将报告保存到文件”即可生成 Markdown 文件。 **Q: 可以多次扫描同一个项目吗？** A: 可以。可以执行任意次数。第二次及以后的扫描速度会加快。 **Q: 也可以扫描 Python/Java 项目吗？** A: 目前官方支持 JavaScript/Node.js。扩展到其他语言在技术上是可行的，计划在未来支持。 **Q: 扫描结果的可靠性如何？** A: 由于是 Claude AI 分析，建议最终由团队内部进行确认。 ## 故障排除 ### "skill 未被识别" 请尝试重启 Claude CLI。 ### "MCP Serena 初始化缓慢" 仅在首次需要时间（5-10 分钟）。请等待完成。 ### "Authentication 错误" 请检查 Claude Code CLI 的认证： ``` gh auth status ``` ## 项目结构 ``` your-project/ ├── .claude/ # ⭐ Claude Code 統合用ディレクトリ（重要） │ ├── skills/ │ │ └── llm-security-scan/ # このツールがインストール される場所 │ │ ├── SKILL.md # Skill の定義・説明 │ │ ├── scripts/ # セキュリティ分析スクリプト │ │ └── references/ # セキュリティプロンプト │ └── projects/*/memory/ # セッションメモリ（自動生成） ├── package.json # プロジェクト定義（自動検出される） └── src/ # ユーザーのソースコード ``` **关于 `.claude` 目录：** - 通过 `claude mcp add` 设置 MCP Serena 时，会在此处注册 - 通过 `unzip llm-security-scan.zip` 会解压到 `.claude/skills/llm-security-scan/` - Claude CLI 会从此目录自动加载 skill 和 MCP - **请勿使用 git 跟踪** - 建议在 `.gitignore` 中排除 ## 技术规格 - **实现语言** - Python（检测脚本）、Markdown（安全提示词） - **AI 引擎** - Claude API - **代码分析** - MCP Serena（可选） - **输出格式** - Markdown（终端显示 + 可保存为文件） - **skill 部署位置** - `.claude/skills/llm-security-scan/` 下 ## 支持 - 请在 GitHub Issues 提问或报告 - 也欢迎改进文档的建议 ## 相关资源 - [Claude Code CLI](https://github.com/anthropics/claude-code) - [MCP Serena](https://github.com/oraios/serena) - [OWASP Top 10](https://owasp.org/www-project-top-ten/)

标签：AI安全, Chat Copilot, CISA项目, Claude AI, CMS安全, DevSecOps, DNS 反向解析, DOE合作, Express, GHAS, GNU通用公共许可证, JavaScript, Java安全, MITM代理, Node.js, React, SAST, Syscalls, TypeScript, Vue.js, XSS检测, 上游代理, 云安全监控, 代码安全, 依赖安全, 安全插件, 漏洞枚举, 盲注攻击, 网络安全, 软件供应链安全, 远程方法调用, 逆向工具, 防御加固, 隐私保护, 静态分析