rachidlaad/uxarion

GitHub: rachidlaad/uxarion

开源终端 AI 安全评估代理,通过交互式对话驱动 Web 应用安全测试并生成可回溯的漏洞证据。

Stars: 5 | Forks: 0

# Uxarion

Uxarion 是一个开源的终端安全评估代理,用于本地的、由操作员驱动的测试。

npm install -g uxarion
或者 curl -fsSL https://raw.githubusercontent.com/rachidlaad/uxarion/main/install.sh | sh

Uxarion demo screenshot

Watch the demo video

我在本地针对运行在 `http://127.0.0.1:8888` 的 OWASP crAPI,以及运行在 `http://127.0.0.1:8025` 的 MailHog 运行了 UXARION。 在演示中,UXARION 就像一个基于终端的安全代理一样探索应用:它遵循用户流程,检查 API 行为,比对账户,发送请求,并确认发现的问题。 它在这个易受攻击的应用中发现了 4 个真实漏洞,其中包括 BOLA/IDOR 类型的授权问题,即一个用户可以访问或操作另一个用户的数据。 ## Uxarion 是什么 Uxarion 维护着一个交互式的终端代理循环,但将其重点放在 Web 和应用程序的安全工作上: - 检查目标并在多轮交互中保持上下文 - 使用你自己的 API 密钥或本地模型后端 - 从终端运行安全工作流 - 捕获证据、发现的问题和报告 - 与 ZAP 等工具集成 Uxarion 遵循本地优先的原则。你提供目标范围、工具和 API 密钥;Uxarion 帮助你在一个终端 UI 中驱动整个工作流。 ## 快速开始 ### 安装 ``` npm install -g uxarion ``` 或者 ``` curl -fsSL https://raw.githubusercontent.com/rachidlaad/uxarion/main/install.sh | sh ``` ### 启动 ``` uxarion ``` ### 添加你的 API 密钥 运行 `uxarion`,然后在终端 UI 中使用 `/apikey` 来保存密钥以供将来使用。如果你更倾向于基于环境的配置,也可以导出 `OPENAI_API_KEY`。 ### 可选:切换到本地模型 Uxarion 默认使用基于 API 的提供商。如果要改为使用本地提供商: 1. 启动你的本地模型服务器。 - Ollama 应在 `http://localhost:11434/v1` 暴露一个与 OpenAI 兼容的 endpoint - LM Studio 应在 `http://localhost:1234/v1` 暴露一个与 OpenAI 兼容的 endpoint 2. 启动 `uxarion` 3. 运行 `/provider ollama` 或 `/provider lmstudio` 4. 重启 Uxarion 5. 在新的会话中运行 `/provider status` 以确认当前活动的后端 提供商的更改会被保存以供将来的会话使用。Uxarion 不会为你启动 Ollama 或 LM Studio,并且本地提供商不会使用你的 `OPENAI_API_KEY`。 ## ZAP 设置 Uxarion 通过 API 与 ZAP 通信,而不是通过脚本控制桌面 UI。 简单设置: 1. 打开 ZAP 并进入 `Options > API`。 2. 确保勾选了 `Enabled`。 3. 选择 Uxarion 应该使用的地址: - 如果 Uxarion 和 ZAP 运行在同一台 Linux 或 macOS 机器上,请使用 `http://127.0.0.1:8080` - 如果 ZAP 运行在 Windows 上,而 Uxarion 运行在 Ubuntu/WSL 内部,请改用 Windows 主机的 IP,例如 `http://172.17.160.1:8080` 4. 启动 `uxarion`。 5. 在 Uxarion 内部保存 ZAP URL: - `/zap url http://127.0.0.1:8080` - 或者 `/zap url http://172.17.160.1:8080` 6. 如果你的 ZAP API 密钥是必填的,请使用 `/zap key ` 保存它。 7. 运行 `/zap status` 验证连接性。 8. 在新会话中使用 `zap_run` 之前,请重启 Uxarion。 注意事项: - 如果 ZAP 显示启用了 `Disable the API key`,则 Uxarion 不需要 `/zap key`。 - 如果 `127.0.0.1:8080` 连接失败,但 ZAP 运行在 Windows 上,请使用 `/zap url http://host:port` 切换到 Windows 主机的 IP。 常用命令: - `/zap` 打开 ZAP 设置弹窗 - `/zap status` 检查当前保存的 ZAP API endpoint - `/zap url http://127.0.0.1:8080` 保存不同的 API 基础 URL - `/zap key ` 保存 ZAP API 密钥 - `/zap clear-key` 移除已保存的 ZAP API 密钥 - `/zap enable` 或 `/zap disable` 为将来的会话启用或禁用基于 ZAP 的工具 环境变量覆盖: - `UXARION_ZAP_BASE_URL` - `UXARION_ZAP_API_KEY` ## 项目主页 - 源码、发布版本、问题和讨论:[github.com/rachidlaad/uxarion](https://github.com/rachidlaad/uxarion) - 标准安装命令:`npm install -g uxarion` - 直接从 GitHub 安装:`curl -fsSL https://raw.githubusercontent.com/rachidlaad/uxarion/main/install.sh | sh` ## 更新 Uxarion 在启动时检查 [GitHub Releases](https://github.com/rachidlaad/uxarion/releases)。版本检查来源于 `uxarion` 仓库,UI 中显示的命令取决于 Uxarion 的安装方式: - npm 安装会提示使用 `npm install -g uxarion@latest` - bun 安装会提示使用 `bun install -g uxarion@latest` - 源码检出安装可以继续使用 `uxarion update` ## 贡献 在这个仓库中提交 issue、讨论和 pull request 是参与 Uxarion 协作的主要途径。
标签:AI安全代理, AI风险缓解, API安全, BOLA测试, CISA项目, GNU通用公共许可证, IDOR检测, JSON输出, MITM代理, Node.js, OpenAI API, Petitpotam, Web安全, ZAP集成, 交互式代理, 反取证, 取证报告, 命令行界面, 安全工作流, 安全测试, 安全评估, 密码管理, 开源安全工具, 攻击性安全, 本地优先, 本地大模型, 终端工具, 自动化安全评估, 自动化漏洞挖掘, 蓝队分析, 逆向工程平台, 通知系统