tymyrddin/vulnforge

# Vulnforge 一款使用本地 AI 模型来寻找代码中安全漏洞的工具，其设计确保 AI 绝不自行决定某处是否真的存在漏洞，并且该工具看到的所有内容都不会离开本机。 ## 四项主张 AI 提议，代码决定。AI 会建议漏洞可能存在的位置。至于该建议是否确实属于漏洞，则是通过在隔离环境中运行代码并观察结果来决定的，而不是让 AI 自我评判。 任何内容都不会离开主机。一旦工具设置完成，运行它的机器就不需要连接互联网。不会有任何 prompt 发送给 OpenAI、Anthropic 或任何其他供应商。没有任何第三方会记录您调查了什么、发现了什么或尝试了什么。 每一个决策都有记录且可验证。该工具保留了每一步的防篡改记录，因此任何发现都可以准确追溯至其产生的来源。 它可以在你现有的设备上运行。在普通工作站上使用本地开源模型。无需云账单，不依赖供应商，也无需 API key。 ## 文档 - 有关安装、使用、仓库布局和架构详细信息，请参阅[技术文档](docs/technical/README.md)。 - 有关核心设计决策及其背后的原因，请参阅[该项目的历史记录](docs/memory/) - 我们接下来的开发计划可以在[路线图](docs/roadmap.md)中找到 ## 背景 这是在 2026 年基于[核能错觉](https://broomstick.tymyrddin.dev/posts/nuclear-delusion/) 背景下制作的一个 PoC 其概念框架形成得更早，可以在[模型不等于系统](https://broomstick.tymyrddin.dev/posts/model-is-not-system/)中找到。 简短版本是：AI 推理研究正越来越倾向于子系统的组合，而非单一模型。vulnforge 是这种趋势的一个具体实例，将其应用于漏洞研究，但使用的模型更少。

标签：安全, 本地AI, 自动化验证, 超时处理, 逆向工具