kadinnestler-cyberjames/speedyturtle

# speedyturtle [](https://github.com/kadinnestler-cyberjames/speedyturtle/actions/workflows/ci.yml) [](LICENSE) [](https://github.com/kadinnestler-cyberjames/speedyturtle/stargazers) [](https://speedyturtle-khaki.vercel.app) **在线地址：** https://speedyturtle-khaki.vercel.app  **核心卖点：** 五个世界首创的推理层被整合进一个产品化的 SaaS 中——验证器子代理、漏洞利用链推理、最小代价启发式、对手角色模拟以及漏洞谱系。提供免信用卡的免费套餐，无需采购流程。 ## 架构 | 层级 | 路径 | 作用 | |---|---|---| | Frontend | `src/app/` | Next.js 16 + React 19 + Tailwind v4 | | 红队扫描器 | `src/lib/scanners/` | `nuclei`、`httpx`、`subfinder` 编排 | | 推理 | `src/lib/orchestrator/` | 验证器、链式推理、最小代价、对手角色、谱系 | | 蓝队 | `src/lib/blue-team/` | 加固循环、合规性跟踪、监控 | | CTI-REALM 代理 | `src/lib/cti-realm/agent.ts` | 连接到 `inspect_evals.cti_realm` 的 ReAct 求解器 | | 基准测试 UI | `src/app/benchmark/cti-realm/` | 公开记分板（对比 Mythos） | | 测试目标 | `test/juice-shop/` | OWASP Juice Shop dockerfile + 扫描线束 | ## 推理层（设计初衷） 1. **验证器子代理** —— 对抗性误报过滤器。根据 AISLE 2026 的标准，仅此脚手架模式就能弥合 Mythos 与其他模型之间最大的差距。 2. **漏洞利用链推理** —— Claude 使用 Kettle、Orange Tsai、PPP、APT29 模式组合多步杀伤链。内联渲染 Mermaid 故事板。 3. **最小代价** —— 一个能够破坏最多链条的缓解措施。将发现结果转化为可执行的叙述。 4. **对手角色模拟** —— APT29 / Lazarus / Sandworm / Scattered Spider / GenericRansomware 暴露评分，并附带驻留时间估算。 5. **漏洞谱系** —— 追踪每个发现的历史；预测下一次变异。 ## CTI-REALM 基准测试 这是 Microsoft 的端到端检测规则生成基准测试。我们运行上游的 `inspect_evals.cti_realm`，并做了一处替换：我们的 ReAct 求解器取代了默认的 `react()` 求解器。工具注册表保持上游不变，因此得分可直接与 Mythos 进行比较。 `/benchmark/cti-realm` 处的公开记分板不会伪造分数。在 `data/cti-realm-scores.json` 被实际运行填充之前，它将一直显示 `AWAITING_FIRST_RUN`。 ``` # 1. Venv（inspect-ai 需要 Python 3.12） uv venv --python python3.12 .venv-cti-realm source .venv-cti-realm/bin/activate uv pip install inspect-ai 'inspect-evals[cti_realm]' anthropic # 2. 在 ~/.config/secrets.env 中设置 Anthropic key（或直接设置 env） export ANTHROPIC_API_KEY=sk-ant-... # 3. Smoke test（无评分，1个合成样本） ./scripts/run-cti-realm.py --smoke # 4. 真实运行（完整评分需要 Docker） ./scripts/run-cti-realm.py --task cti_realm_25_minimal --limit 5 ``` ## 本地开发 ``` npm install npm run dev # http://localhost:3000 ``` ### 必需的环境变量 | 变量 | 使用位置 | 适用场景 | |---|---|---| | `ANTHROPIC_API_KEY` | 推理层 + CTI-REALM 代理 | 扫描 + 基准测试 | | `DATABASE_URL` | `@neondatabase/serverless` | 持久化扫描 | | `STRIPE_SECRET_KEY` | 结账 + Webhook | 付费套餐 | | `STRIPE_WEBHOOK_SECRET` | Webhook 处理程序 | Webhook 签名验证 | | `CRON_SECRET` | `/api/benchmark/cti-realm/refresh` | 生产环境中的 Vercel cron 认证 | 有关 Stripe 的配置，请参见 `STRIPE_SETUP.md`。 ## 针对 OWASP Juice Shop 进行测试 ``` cd test/juice-shop && ./run.sh ``` 在 `localhost:3001` 上启动 Juice Shop，向运行中的 speedyturtle 开发服务器提交红队扫描，并打印结果及 PDF URL。详见 `test/juice-shop/README.md`。 ## 部署 `vercel.json` 定义了两个定时任务： - `/api/blue-team/monitor/run` —— 每日 UTC 时间 06:00（持续监控扫描） - `/api/benchmark/cti-realm/refresh` —— 每日 UTC 时间 07:00（重新读取记分板 JSON；未来用于远程基准测试工作器的钩子） 在执行 `next build` 后，通过 `vercel deploy --prebuilt` 进行部署。Tilacum 堆栈模式（本地构建，部署预构建产物）可以避免 Vercel 构建时环境变量带来的麻烦。 ## 真实的定位 | | speedyturtle | Snyk / Wiz | Mythos (正式发布时) | |---|---|---|---| | 价格 | $99–$1,499/月，信用卡支付 | $50K+ 企业合同 | 待定 | | 能力上限 | Claude 编排 | 常规扫描器 + 仪表盘 | 前沿模型 | | 采购流程 | 无 | 数月 | 未知 | 我们不是 Mythos。我们在基础架构上，以 SMB（中小企业）的价格，将 Claude 编排应用于 Mythos 的用例。当 Mythos 的正式发布定价公布时，编排器可以随时切换到它。 ## 许可证 MIT（待定——在公开发布前需进行确认）。

标签：AppImage, CISA项目, GitHub Advanced Security, Google, Nuclei, OSV, React, SaaS平台, Syscalls, Tailwind CSS, TypeScript, Vercel, Web应用防火墙, 中小企业安全, 反取证, 威胁情报, 安全加固, 安全基准测试, 安全插件, 安全评估, 密码管理, 开发者工具, 开源安全工具, 插件系统, 攻击链推理, 网络安全, 网络安全审计, 自动化攻击, 请求拦截, 运行时操纵, 逆向工具, 逆向工程平台, 隐私保护