viridis-security/vulncanon

# VulnCanon 经过证明编译的漏洞定理库。由 **Viridis Security** 作为官方创始人和管理者负责维护。 ## 公理 代码模式只是一个*假设*。只有编译后的产物——存在漏洞的 fixture、已修复的 fixture、静态规则、缓解措施、回归测试——才是真正的*发现 (finding)*。VulnCanon 用于存储这些发现。 ## v1 包含的内容 VulnCanon v1 发布了一个有针对性且立场鲜明的规范：**AI-Agent 安全**。十个条目涵盖了基于 LLM 的 Agent 系统的主要故障模式： | ID | 标题 | 类别 | 严重程度 | |---|---|---|---| | VC-AI-TOOL-0001 | 无权限校验的特权工具调用 | AI Agent 授权失败 | High | | VC-AI-RAG-0001 | 不受信任的检索内容跨越信任边界 | AI Agent 信任边界跨越 | High | | VC-AI-MEM-0001 | Agent 长期存储中的跨租户内存泄露 | AI Agent 内存泄露 | High | | VC-AI-ACTION-0001 | 未经确认即执行的不可逆操作 | AI Agent 不可逆操作 | High | | VC-AI-PROMPT-0001 | 通过输出反射泄露系统指令 | AI Agent 系统 Prompt 泄露 | Medium | | VC-AI-CHAIN-0001 | 多 Agent 委托扩展了权限范围 | AI Agent 授权失败 | High | | VC-AI-SSRF-0001 | Agent 被胁迫对内部和 Metadata 端点发起 SSRF | AI Agent 信任边界跨越 | Critical | | VC-AI-CODEEXEC-0001 | 不受信任的工具输出在下游被作为代码执行 | AI Agent 信任边界跨越 | Critical | | VC-AI-API-0001 | 私有会话数据被发送至非白名单外部 API | AI Agent 信任边界跨越 | High | | VC-AI-SECRETS-0001 | 会话 Secrets 通过工具调用参数泄露 | AI Agent 内存泄露 | High | | VC-AI-CHAIN-0002 | 跨 Agent 状态通道污染 | AI Agent 信任边界跨越 | High | 每个条目都是一个包含以下内容的目录： ``` entry.json # The canonical theorem record (schema-validated) README.md # Human-readable explanation mitigation.md # Concrete remediation rule.semgrep.yml # Static detection rule vulnerable_fixture/ # Self-contained Node fixture; exploit.test.js MUST exit non-zero patched_fixture/ # Self-contained Node fixture; exploit.test.js MUST exit zero ``` ## 试用 零外部依赖。Node ≥ 18。 ``` # 从 repo 根目录 node compiler/vulnc/bin/vulnc.js check entries/VC-AI-TOOL-0001 node compiler/vulnc/bin/vulnc.js check-all ``` `vulnc check` 会验证 schema，运行两套 fixture，验证静态规则，检查重复项，运行安全扫描，并生成 `reports/.compile-report.json`。退出码为 0 ⇔ ACCEPTED。 ## 仓库布局 ``` . ├── README.md # this file ├── SCHEMA.md # entry contract — read before authoring ├── CONTRIBUTING.md # how to add an entry ├── schemas/ │ ├── vulnerability.schema.json │ └── compile-report.schema.json ├── compiler/ │ └── vulnc/ # the security compiler (single-file Node CLI) ├── entries/ │ ├── VC-AI-TOOL-0001/ │ ├── VC-AI-RAG-0001/ │ ├── VC-AI-MEM-0001/ │ ├── VC-AI-ACTION-0001/ │ ├── VC-AI-PROMPT-0001/ │ ├── VC-AI-CHAIN-0001/ │ ├── VC-AI-SSRF-0001/ │ ├── VC-AI-CODEEXEC-0001/ │ ├── VC-AI-API-0001/ │ ├── VC-AI-SECRETS-0001/ │ └── VC-AI-CHAIN-0002/ └── reports/ # vulnc compile reports land here ``` ## 与 Canon 协议的关系 VulnCanon 是 Viridis 技术栈中的**库**部分。**协议**部分——结算、运行器网络、Agent 身份——位于单独的仓库中（Viridis canon 协议），`architecture/` 等。 飞轮效应： ``` Viridis-Bounty-Hunter finds a live exploit ↓ VulnCanon entry created (theorem + fixtures + rule + mitigation + test) ↓ Enterprise scanner runs entries against customer code ↓ Revenue funds the next hunt ``` VulnCanon 是供给侧护城河。Viridis-Bounty-Hunter 是供给侧机制。 ## v1 中刻意不包含的内容 - **精简定理** —— 保留给在最高价值条目（授权、支付、能力授权）之上的第二阶段“证明模式”高级层。不在关键路径上。 - **PROOF Credits / DAO / 贡献者市场** —— 激励措施过早规模化。将在首批付费企业客户证明存在需求拉动后落实。 - **公开提交流程** —— 当前的贡献者范围是 `viridis-security-ai-agent`（Justin + Claude）。外部贡献将在该规范达到约 30 个条目且 schema 稳定后开放。 ## 状态 v0.1.0（首次公开发布）—— 十个条目，全部 `vulnc check-all` ACCEPTED，所有逐条目的自扫描差值均保持成立。 ## 许可证 Apache 2.0（参见 [LICENSE](./LICENSE)）。内容经宽松许可，可用于包括商业用途在内的任何用途。 ## 创始人 **Viridis Security** 是 VulnCanon 的官方创始人和管理者。欢迎 Fork；已接受的规范 ID 注册表在此处维护。 ## 引用本工作 ``` Hart, J. (2026). VulnCanon: A Theorem-Backed Catalog of AI-Agent Vulnerability Classes (v0.1.0) [Software]. Viridis Security. https://github.com/viridis-security/vulncanon ``` GitHub 的“Cite this repository”按钮（仓库页面右上角）可根据 `CITATION.cff` 生成 BibTeX 和 APA 格式的引用。 ## 交叉引用 每个规范条目的 `entry.json` 都包含以下映射： - **OWASP LLM Top 10**（例如，`LLM01: Prompt Injection`，`LLM02: Insecure Output Handling`） - 适用的 **MITRE ATT&CK** 技术 - 传统安全类似项的 **CWE** 标识符 已使用这些框架的用户可以通过现有工具查找 VulnCanon 条目。

标签：AI智能体, AI越狱, CISA项目, CVE, DevSecOps, IP 地址批量处理, MITM代理, PE 加载器, RAG安全, Red Canary, Semgrep, SSRF, TLS抓取, Viridis Security, WordPress安全扫描, 上游代理, 人工智能安全, 代码执行, 内存泄漏, 协议分析, 合规性, 大模型安全, 威胁建模, 安全检测规则, 提示词泄漏, 数字签名, 权限提升, 漏洞库, 自定义脚本, 越权访问, 软件安全, 错误基检测, 静态代码分析