kiurakku/llobster-pentest-ai
GitHub: kiurakku/llobster-pentest-ai
一款面向授权 Web 安全测试的自托管扫描平台,将模块化检测、实时流式输出与可选多 LLM 辅助分析整合在一起,帮助渗透测试团队在可控 scope 内完成从发现到报告的完整流程。
Stars: 0 | Forks: 0
# llobster · lobsteks
用于授权 Web 安全测试的本地和服务器扫描器。
FastAPI · WebSocket · SQLite · PDF · 可选 LLM · Docker · Windows
发布版本
· 赞助项目
**English:** *llobster (lobsteks) is an open-source stack for **authorized** web security testing: one FastAPI app with a single-page UI, scoped crawling, modular checks, PDF reports, and optional multi-provider LLM assistance. Your data stays on **your** infrastructure. MIT License.*
**GitHub Copilot / AI:** 本代码库包含 **[`AGENTS.md`](AGENTS.md)** 和 **[`.github/copilot-instructions.md`](.github/copilot-instructions.md)** —— 其中包括 `pentest-ai/`、`site/`、`product/` 的结构图以及相关规则:产品和站点模板在 git 中是**可见的**,用于自动补全;landing page 的**真实** URL/统计数据/钱包地址不会进入公开提交。
## 为什么需要这个产品
| 需求 | llobster 如何应对 |
|--------|-------------------------|
| 透明的 **scope** 与目标控制 | 配置允许的主机/路径;严禁越权扫描 |
| 结果**保存在您自己手中** | SQLite 和 PDF 存储在您的服务器或本地目录中 |
| 面向管理层/客户的报告 | 导出 PDF(渗透测试报告结构)和 JSON |
| 现代化技术栈,没有不必要的臃肿 | 单一代码库:API + UI + Docker + **静态 landing page `site/`** |
| Windows 团队支持 | 瘦客户端、安装程序或完整离线包 —— 任您选择 |
**Landing page `site/`** 是代码库中的静态模板;**不适用于公开的 GitHub Pages**,也**绝不能在公开的 git 仓库中发布真实的 URL/API/钱包地址**。请进行**私有化部署**(内部 nginx、Cloudflare Access、VPN 或私有仓库)。[**llobster-site**](https://github.com/kiurakku/llobster-site) 仓库请仅作为**私有**镜像使用,不要对敏感数据启用 Pages。
## 主要功能
- **Scope 范围内扫描** —— 模块化检查(Headers、端口、Crawler、以及宿主机上安装的 nuclei/sqlmap 等工具)
- **实时流** —— 通过 WebSocket 传输步骤和发现的日志
- **可选 LLM** —— 支持多个提供商(Anthropic、OpenAI、Gemini、Groq、Mistral、Ollama、OpenRouter、自定义),支持 orchestration / analysis / report 模式
- **操作员安全保障** —— 可选的 Bearer token、CORS、日志和响应中的机密信息脱敏
- **下载计数器**(可选,仅在 landing page 私有且您明确允许 API 调用时启用)—— 聚合事件,单 IP 限速
## 快速开始(开发环境)
```
cd pentest-ai
python -m venv .venv
.\.venv\Scripts\Activate.ps1
pip install -r requirements.txt
python scripts\build_brand_favicons.py
python -m uvicorn backend.main:app --host 127.0.0.1 --port 8000
```
打开 **http://127.0.0.1:8000** —— 在设置中配置 AI 提供商和 scope。详情请参阅:[**pentest-ai/README.md**](pentest-ai/README.md)。
### Docker(一条命令启动后端)
```
copy .env.example .env
docker compose up --build
```
在发布到公网之前,请务必填写 **`LOBSTEKS_API_TOKEN`** 和 **`LOBSTEKS_CORS_ORIGINS`**(参见 [**docs/CONFIGURATION.md**](docs/CONFIGURATION.md))。
## 生产级部署建议
1. **应用** —— 在您的主机上使用 Docker 或 `uvicorn`(例如 `app.internal` 或带有 TLS 的公共域名)。
2. **Landing page `site/`** —— 如果其中包含真实的 `lobsteks-app-url`、`lobsteks-stats-api` 等数据,请**不要**通过公共 GitHub Pages 托管。请从**您自己的**服务器、私有 bucket 或具有访问控制的网络提供静态文件。在公开的 git 仓库中请保留**空的** meta 数据或使用单独的私有 overlay。
3. **CORS** —— 在 `.env` 中仅添加**您的** landing page 的 origin,如果不希望暴露 API,则不要添加 `github.io` 上的公共页面。
4. **代码发布** —— `v*` 标签 → GitHub 上的 *Release* 工作流(这里指的是**代码**,而不是 landing page 数据泄露)。
详情请参阅:[**docs/DEPLOYMENT-ARCHITECTURE.md**](docs/DEPLOYMENT-ARCHITECTURE.md)。
## Windows:三种分发渠道
| 渠道 | 用户得到的内容 | 产物 |
|--------|------------------------|----------|
| **1 · Web client** | 连接到您已部署的 HTTPS API 的 WebView 窗口 | `product/downloads/web-client/lobsteks-windows.exe` |
| **2 · Installer** | 安装向导、快捷方式、服务器 URL 记录 | `product/downloads/installer/lobsteks-setup.exe` |
| **3 · Full bundle** | 单个 exe 中的完整技术栈,数据位于同目录的 (`lobsteks-data/`) | `product/downloads/full-bundle/lobsteks-windows-full.exe` |
构建:使用 **`pentest-ai/scripts/`** 中的脚本(参见 [**product/channels/**](product/channels/))。要更新 landing page 上的文件,请执行:
```
powershell -ExecutionPolicy Bypass -File pentest-ai/scripts/sync_landing_downloads.ps1 -LandingRoot шлях\до\llobster-site
```
Windows 构建脚本会**直接复制** `.exe` 文件到 **`site/downloads/
/`**,因此单一代码仓库中的 landing page 会保持最新状态,无需从 `product/` 进行手动复制。
## 文档与支持
| 资源 | 内容 |
|--------|--------|
| [**docs/PROJECT-GUIDE.md**](docs/PROJECT-GUIDE.md) | 完整逻辑:API、Agent、Pipeline |
| [**docs/CONFIGURATION.md**](docs/CONFIGURATION.md) | 环境变量、客户端、landing page meta |
| [**docs/DEPLOYMENT.md**](docs/DEPLOYMENT.md) | 简要部署指南 |
| [**docs/DEPLOYMENT-ARCHITECTURE.md**](docs/DEPLOYMENT-ARCHITECTURE.md) | 架构:landing page、服务器、Windows |
| [**docs/GITHUB-SETUP.md**](docs/GITHUB-SETUP.md) | 代码仓库、Topics、CI、Pages |
| [**docs/GOVERNANCE.md**](docs/GOVERNANCE.md) | 角色、分支、决策 |
| [**docs/RELEASE-CHECKLIST.md**](docs/RELEASE-CHECKLIST.md) | 发布标签前的检查清单 |
| [**docs/SECURITY-CHECKLIST.md**](docs/SECURITY-CHECKLIST.md) | 安全检查项 |
| [**docs/DATA-PRIVACY.md**](docs/DATA-PRIVACY.md) | 数据存储位置、landing page |
| [**docs/SCREENSHOTS.md**](docs/SCREENSHOTS.md) | UI 概览:截图添加位置 |
| [**CHANGELOG.md**](CHANGELOG.md) | 更新日志 |
| [**CONTRIBUTING.md**](CONTRIBUTING.md) | 如何参与贡献与发布版本 |
| [**SECURITY.md**](SECURITY.md) | 漏洞私密报告政策 |
**问题与想法:** [Issues](https://github.com/kiurakku/llobster-pentest-ai/issues) · **讨论:** [Discussions](https://github.com/kiurakku/llobster-pentest-ai/discussions)
## 法律与道德
请**仅在您拥有明确测试授权的系统上**使用本工具。某些测试模块可能会产生高强度请求;维护 scope 合规性与合法性的责任在于操作者。
## 许可证
**MIT** —— 详见 [**LICENSE**](LICENSE) 文件。品牌与团队:**FrostFreed / ARS7** (llobster)。标签:AI辅助测试, AV绕过, BeEF, CISA项目, Docker, FastAPI, KIURAKKU, MIT许可, PDF报告, SQLite, WebSocket, Web安全, 依赖分析, 单页应用(SPA), 多LLM提供商, 多语言支持, 大语言模型(LLM), 安全合规, 安全扫描, 安全测试框架, 安全防御评估, 密码管理, 开源安全工具, 时序注入, 服务器扫描, 本地部署, 爬虫, 网络代理, 网络安全, 蓝队分析, 请求拦截, 逆向工具, 逆向工程平台, 隐私保护