Nicholas-Kloster/VisorScuba

[](https://claude.ai/code) # VisorScuba **基于 OPA 的 AI 基础设施合规性评分工具，专为 NuClide 发现结果设计。** VisorScuba 从 `nuclide.db` (VisorLog) 中读取待处理的发现结果，使用 Open Policy Agent 根据NuClide AI 安全基线 Rego 策略对每个节点进行评估，并生成 ScubaGear 风格的节点合规性评分（0–10）。受 [CISA's ScubaGear](https://github.com/cisagov/ScubaGear) 启发 —— 专为 AI/ML 基础设施重新打造。 [NuClide](https://nuclide-research.com) AI-LLM-Infrastructure-OSINT 工具包的一部分。 ## 配合 Claude Code 使用 Claude Code 可以运行 VisorScuba 评估、解释合规性差距，并将评分转化为修复计划或披露草案。 ``` Run `visorscuba assess --db nuclide.db --json` and analyze the output. For every node scoring 0–3, describe the specific violations, what an attacker can do with each one, and what remediation the affected org needs to apply to reach a passing score. ``` ``` I have a VisorScuba HTML report for 168 nodes. Identify the most common violation IDs, calculate what percentage of nodes fail each control, and draft a one-page executive summary with a prioritized remediation roadmap. ``` ``` Run `visorscuba assess --db nuclide.db --org "government" --json` and cross-reference results against the VisorLog findings for the same IPs. For each government node with AI.C4 flagged, identify the underlying critical finding (C1/C2/C3) and draft a CERT disclosure stub. ``` ## 功能说明 根据六项基线控制措施评估每一项待处理的发现结果： | ID | 严重性 | 控制措施 | |----|-------------|---------| | AI.C1 | 严重 | 未经验证的 AI 服务暴露在公网 | | AI.C2 | 严重 | 可能发生 Ollama Connect 实时账户接管 | | AI.C3 | 严重 | CVE-2025-63389：未经验证的系统提示注入 | | AI.C4 | 严重 | 政府基础设施存在任何严重发现结果 | | AI.H1 | 高 | 云 API 代理配额未经验证暴露 | | AI.H2 | 高 | 政府基础设施上的 RAG 流水线 | | AI.H3 | 高 | 工具调用模型暴露在公网 | | AI.H4 | 高 | 医疗 AI 部署未经身份验证 | | AI.M1 | 中 | 知识蒸馏模型暴露 | | AI.M2 | 中 | 敏感基础设施上的自定义 AI 人设 | 评分计算：`10 − (critical_count × 3) − warn_count`，最低分为 0。 ## 安装 ``` git clone https://github.com/Nicholas-Kloster/VisorScuba cd VisorScuba go build -o visorscuba . ``` ## 使用方法 ``` # 评估所有未解决 findings visorscuba assess --db nuclide.db # Filter to a specific org visorscuba assess --db nuclide.db --org "Dinas Kominfo" # JSON output visorscuba assess --db nuclide.db --json # HTML report visorscuba assess --db nuclide.db --report report.html # List embedded policies visorscuba policies ``` ## Rego 策略 `rego/nuclide/` — NuClide AI 安全基线（位于此仓库，CC0） `rego/scubagear/` — CISA ScubaGear 策略原文副本（CC0，公共领域） 两者均通过 `//go:embed all:rego` 在编译时嵌入。运行时无需策略文件。 ## 输入结构 VisorScuba 从 VisorLog 的 `nuclide.db` 中读取数据。引擎将每一行 SQLite 记录映射为 Rego 输入对象： ``` { "host_ip": "1.2.3.4", "host_hostname": "ollama.example.gov", "org_name": "Example Agency", "sector": "government", "port_11434_public": true, "account_takeover": false, "cve_2025_63389_vulnerable": true, "cloud_proxy": false, "models": [{"name": "llama3", "system_prompt": "", "is_cloud": false}], "tags": ["CVE-2025-63389"] } ``` ## 生态系统 ``` VisorGoose ──┐ aimap ──┼──► VisorLog (nuclide.db) ──► VisorScuba assess ──► scores / HTML report ollama-recon─┘ ``` - [VisorLog](https://github.com/Nicholas-Kloster/VisorLog) — 发现结果账本（数据源） - [VisorGoose](https://github.com/Nicholas-Kloster/VisorGoose) — 多源 AI 服务发现 - [aimap](https://github.com/Nicholas-Kloster/aimap) — 深度 AI/ML 基础设施指纹识别 - [AI-LLM-Infrastructure-OSINT](https://github.com/Nicholas-Kloster/AI-LLM-Infrastructure-OSINT) — 案例研究仓库 _NuClide Research · [nuclide-research.com](https://nuclide-research.com)_

标签：AI基础设施安全, AI安全基线, CERT漏洞披露, CI/CD安全, CISA项目, DevSecOps, ESC4, Go语言, GPT, JSONLines, Llama, NuClide, OPA策略引擎, OSINT, OSINT工具, Rego策略, ScubaGear, 上游代理, 反取证, 合规性评分, 大模型安全, 威胁建模, 子域名变形, 安全合规, 安全报告, 安全评估, 对称加密, 开源安全工具, 日志审计, 漏洞管理, 程序破解, 结构化提示词, 网络代理, 自动化审计, 逆向工程平台, 零信任