The-Abhishek1/Xcl0ak-New

# XCloak **AI 驱动的网络安全平台** — 漏洞扫描、威胁情报、CTF 挑战以及社区漏洞利用数据库。专为安全研究人员、漏洞赏金猎人和学习者打造。 ## 核心功能 XCloak 将通常每年花费超过 5 万美元的工具整合到一个每月仅需 ₹999 的单一平台中： - **AI 编排扫描** — 使用纯英文描述目标，AI 会针对您的目标规划并运行 nmap、nuclei、gobuster、nikto、ffuf、sqlmap 和 whatweb，随后将结果综合整理成风险报告 - **实时威胁情报** — 来自 NVD 的实时 CVE 订阅源、来自 AlienVault OTX 的威胁事件以及实时威胁地图 - **漏洞利用数据库** — 社区提交的 PoC 漏洞利用，包含 DNA 分析、AI 解释、投票和评论功能 - **CTF 平台** — 挑战提交、flag 哈希、解题追踪和排行榜 - **安全教育** — 从初学者到红队的结构化课程，包含真实资源链接和进度追踪 - **漏洞实验演练场** — 基于 Docker 的实验室设置指南（DVWA、WebGoat、Juice Shop、Metasploitable） ## 技术栈 | 层级 | 技术 | |---|---| | 前端 | Next.js 15, TypeScript, Tailwind CSS | | 数据库 | Supabase (通过 Prisma 实现 PostgreSQL) | | 存储 | Supabase Storage | | 后端 | [ESO](https://github.com/0xidiot/Enterprise-Security-Orchestrator) — FastAPI, Python 3.12 | | 扫描引擎 | Docker (nmap, nuclei, gobuster, nikto, ffuf, sqlmap, whatweb) | | AI | Ollama (本地) / OpenAI GPT-4o / Anthropic Claude | | 支付 | Razorpay | | 威胁情报 | NVD API, AlienVault OTX | ## 快速开始 ### 前置条件 - Node.js 20+ - 一个 [Supabase](https://supabase.com) 项目（免费版即可） - 运行在 8000 端口的 [Enterprise Security Orchestrator](https://github.com/0xidiot/Enterprise-Security-Orchestrator) ### 安装 ``` git clone https://github.com/0xidiot/xcloak cd xcloak npm install ``` ### 环境配置 ``` cp .env.local.example .env.local ``` 在 `.env.local` 中填写您的值： ``` # Supabase DATABASE_URL="postgresql://postgres.YOUR_PROJECT:PASSWORD@pooler.supabase.com:6543/postgres?pgbouncer=true" DIRECT_URL="postgresql://postgres.YOUR_PROJECT:PASSWORD@pooler.supabase.com:5432/postgres" NEXT_PUBLIC_SUPABASE_URL="https://YOUR_PROJECT.supabase.co" SUPABASE_SERVICE_KEY="your-service-role-key" # Threat Intelligence（均为免费） NVD_API_KEY="your-nvd-key" # nvd.nist.gov/developers/request-an-api-key OTX_API_KEY="your-otx-key" # otx.alienvault.com/api # ESO Backend ESO_BACKEND_URL=http://localhost:8000 NEXT_PUBLIC_ESO_WS_URL=ws://localhost:8000 # JWT — 必须与 ESO 的 JWT_SECRET_KEY 匹配 JWT_SECRET_KEY=your-64-char-secret ESO_JWT_SECRET=your-64-char-secret ``` ### 数据库配置 ``` npx prisma db push node prisma/seed.js ``` ### 运行 ``` npm run dev # development npm run build # production build npm start # production server ``` 打开 [http://localhost:3000](http://localhost:3000)。 ## 项目结构 ``` src/ ├── app/ │ ├── (pages)/ # 35+ pages: dashboard, scan, exploits, ctf, admin... │ ├── api/v1/ # Next.js API routes (Prisma-backed) │ └── api/eso/ # Proxy → ESO backend ├── components/ │ ├── layout/ # Topbar, Sidebar, StatCards, LiveFeed │ ├── exploit/ # ExploitDetail, ExploitGrid │ ├── scan/ # LiveTerminal, WorkflowTimeline, ReportViewer │ ├── map/ # ThreatMapPanel (live globe) │ └── ai/ # AIPanel ├── lib/ │ ├── eso/ # ESO API client, WebSocket hooks │ ├── prisma.ts # Prisma client │ ├── adminAuth.ts # Admin JWT verification │ ├── nvd.ts # NVD CVE fetching │ └── otx.ts # OTX threat intel ├── hooks/ │ ├── use-scan-ws.ts # WebSocket hook for live scan terminal │ └── use-poll.ts # Polling hook └── prisma/ ├── schema.prisma # 12 models └── seed.js # 10 exploits + 8 CTF challenges ``` ## 功能特性 ### 扫描 扫描需要安装 ESO 后端 + 本地 Docker。用户使用纯文本描述他们的目标，ESO 的 AI 规划器会选择并编排工具序列，结果通过 WebSocket 实时流式传输到终端，并在完成后生成 PDF 报告。 ### 版本层级 | 层级 | 价格 | 每日扫描次数 | AI 分析 | 报告 | |---|---|---|---|---| | Free | ₹0 | 3 | ✗ | ✗ | | Pro | ₹999/月 | 20 | ✓ | ✓ | | Enterprise | ₹4,999/月 | 不限 | ✓ | ✓ | ### 管理面板 完整的管理面板位于 `/admin` — 管理用户、审查漏洞利用/CTF 提交、查看扫描历史、管理层级、查看支付记录以及管理排行榜。通过 ESO JWT 进行身份验证。 ## 部署 ### XCloak (前端) → Vercel ``` # 推送到 GitHub，然后连接到 Vercel # 在 Vercel dashboard 中设置所有 .env.local 变量 # 设置： # ESO_BACKEND_URL=https://api.yourdomain.com # NEXT_PUBLIC_ESO_WS_URL=wss://api.yourdomain.com # NODE_ENV=production ``` ### ESO (后端) → VPS 请参阅 [ESO 部署指南](https://github.com/0xidiot/Enterprise-Security-Orchestrator#deployment)。 最低服务器配置：2 vCPU，8GB RAM（运行 PostgreSQL + Redis + RabbitMQ + ESO + Docker 工具）。 ## 环境变量参考 | 变量 | 必填 | 描述 | |---|---|---| | `DATABASE_URL` | ✅ | Supabase 池化连接字符串 | | `DIRECT_URL` | ✅ | Supabase 直连（用于迁移） | | `NEXT_PUBLIC_SUPABASE_URL` | ✅ | Supabase 项目 URL | | `SUPABASE_SERVICE_KEY` | ✅ | Supabase 服务角色密钥 | | `NVD_API_KEY` | ✅ | NIST NVD API 密钥（免费） | | `OTX_API_KEY` | ✅ | AlienVault OTX 密钥（免费） | | `ESO_BACKEND_URL` | ✅ | ESO 后端 URL | | `NEXT_PUBLIC_ESO_WS_URL` | ✅ | ESO WebSocket URL | | `JWT_SECRET_KEY` | ✅ | 必须与 ESO 的 `JWT_SECRET_KEY` 一致 | | `ESO_JWT_SECRET` | ✅ | 与 `JWT_SECRET_KEY` 的值相同 | | `ADMIN_SECRET` | ✅ | 管理面板签名密钥 | | `RAZORPAY_KEY_ID` | ⚡ 支付 | Razorpay 密钥（测试或生产环境） | | `RAZORPAY_KEY_SECRET` | ⚡ 支付 | Razorpay 密钥 | ## 法律声明 仅扫描您拥有或具有**明确书面授权**进行测试的目标。未经授权的扫描是违法行为。XCloak 及其贡献者不对滥用行为负责。 请参阅[服务条款](/terms)和[隐私政策](/privacy)。 ## 开源协议 MIT — 详见 [LICENSE](LICENSE) *由 [0xIdiot](https://github.com/0xidiot) 构建 · 印度 🇮🇳*

标签：AI安全平台, AI风险缓解, AV绕过, CISA项目, CTF平台, FastAPI, 威胁情报, 密码管理, 开发者工具, 插件系统, 测试用例, 漏洞利用库, 自动化攻击, 请求拦截