DanielDeshmukh/aether

# AETHER (自动化道德测试与启发式评估程序) ## 欢迎 欢迎来到 AETHER 仓库。本项目是一个先进的自主渗透测试平台，旨在模拟人类安全专家的推理过程。通过超越静态规则集，AETHER 能够以高精度和专业的严谨性，针对目标 URL 识别、执行并验证 **OWASP Top 10** 漏洞利用。 ## 概述 传统的安全扫描器依赖于预定义的 payload，往往会导致高误报率。AETHER 引入了 **智能体推理循环 (Agentic Reasoning Loop)**，使其能够以上下文感知和针对性的方式分析并执行安全测试。 AETHER 并非盲目扫描，而是： * **观察：** 分析应用程序行为和技术栈（React, FastAPI, PHP 等）。 * **识别：** 针对漏洞（SQLi, XSS, SSRF 等）映射攻击面。 * **执行：** 基于经过验证的授权和所有权，部署上下文感知的漏洞利用。 * **验证：** 确认成功突破以消除误报。 * **修复：** 提供专业的代码重构和代码片段以修补漏洞。 ## 目标 * **自主执行 OWASP Top 10 测试** 全面自动化 OWASP Top 10。如果某种攻击是可行的，AETHER 会执行它以证明漏洞的存在。 * **强制授权与所有权验证** 严格的安全协议，确保只有在用户验证所有权并获得突破授权后才能继续扫描。 * **智能修复** 从“发现”漏洞迈向“修复”漏洞，提供切实可行的代码片段和根本原因分析。 * **可扩展的安全即服务** 为持续、可扩展的安全审计构建的多租户架构。 ## 系统架构 AETHER 被构建为一个模块化的 SaaS 平台，专为高并发测试而设计： | 层级 | 技术栈 | 用途 | | :--- | :--- | :--- | | **前端** | React.js (Dark Mode) | 攻击、遥测和漏洞仪表盘的实时可视化。 | | **编排器** | LangGraph / Python | “大脑”。管理有状态的推理循环和攻击规划。 | | **引擎** | FastAPI + Playwright + 安全与限速 | 执行层。与 DOM 交互，投递 payload，并通过请求节流和扫描识别头强制执行操作安全网关。 | | **智能** | Gemini 2.0 Flash / Claude | 解释 HTTP 响应并生成自适应绕过 payload。 | | **后端** | Supabase / PostgreSQL | 管理身份验证、扫描持久化以及“漏洞与修复”数据库。 | ## 核心功能 * **威胁动态流** 显示活跃 payload 投递和服务器响应的终端风格实时日志流。 * **OWASP 攻击模块** 针对注入、失效的访问控制、加密失败等漏洞的专用例程。 * **专业修复引擎** 对于每个已确认的漏洞，AETHER 都会生成一份技术报告，包含“当前易受攻击的代码”与“建议的安全重构代码”的对比。 * **紧急停止开关与安全网关** 一旦检测到目标不稳定或用户提出疑虑，立即终止所有活跃会话并进行自动回滚。 ## 开发路线图 ### 已完成 | 里程碑 | 备注 | | :--- | :--- | | **初始设置** | 仓库初始化、PostgreSQL schema 基础以及基于 Supabase 的身份验证连接。 | | **数据库持久化弹性** | 稳定了事务性的 `persist_full_pipeline` 路径，并强化了扫描/会话/配置文件的持久化。 | | **动态配置规范化** | 规范了配置文件 payload 生成，使得自动化和用户关联的配置文件即使在存在可空身份字段的情况下也能安全持久化。 | | **NVIDIA 智能体推理循环集成** | 将 Nemotron 引导的编排桥接到实时 WebSocket 流中，实现了租户安全的持久化交接。 | | **修复逻辑** | 添加了类型化的修复引擎，将已验证的发现转化为根本原因分析和安全重构包。 | ### 进行中 | 里程碑 | 备注 | | :--- | :--- | | **核心引擎** | 继续开发 FastAPI + Playwright 交互层和有界验证模块。 | | **无头 Playwright 验证通道** | 将概念验证漏洞利用通道优化为更广泛、可重复的验证覆盖范围。 | ### 即将推出 | 里程碑 | 备注 | | :--- | :--- | | **自动修复** | 为 GitHub/GitLab 修复工作流自动生成 Pull Request。 | | **部署** | 强化的 CI/CD 流水线和生产环境就绪的环境控制。 | | **Hard-RAG 临床协议 (Project Ella)** | 为临床推理轨道提供高保证的检索和协议编排。 | | **自动化道德审计** | 对防护栏、授权流程和操作员安全边界进行持续审计。 | ## 交付阶段 - [x] **阶段 12 - 强化：配额与身份守护** - [x] **阶段 13 - 强化：攻击面缩减** - [x] **阶段 14 - 最终审计与上线** ## 上线后的可靠性 - [x] 用事务性的 `persist_full_pipeline` 替换了旧的扫描持久化路径。 - [x] 强化了针对上游 AI 过载场景的编排超时处理。

标签：AV绕过, CISA项目, CMS安全, DAST, FastAPI, JavaScript, OpenVAS, OWASP Top 10, PHP, Python, React, SaaS安全, SSRF, Syscalls, TShark, Web安全, XSS, XXE攻击, 上下文感知, 人工智能安全, 代理推理循环, 代码修复, 合规性, 多租户架构, 应用程序安全测试, 恶意软件分析, 攻击面映射, 攻击验证, 数据展示, 无后门, 模拟人类决策, 测试用例, 渗透测试即服务, 漏洞情报, 特征检测, 白盒测试, 红队, 红队自动化, 网络安全, 自动化渗透测试, 自动化漏洞利用, 蓝队分析, 逆向工具, 降低误报, 隐私保护, 黑盒测试