Akunimal/AI-Router-Blocker-AiO
GitHub: Akunimal/AI-Router-Blocker-AiO
AI DevSec Gateway是一个开源的AI流量拦截、审计和路由工具,用于防止数据泄露和实施零信任安全策略。
Stars: 1 | Forks: 1
# 🛡️ AI DevSec Gateway(之前称为AI网络屏蔽器)
127.0.0.1)) OS_Hosts[(OS Hosts File)] end subgraph External ["Target Inference"] LocalLLM[Private Local LLM
Ollama / vLLM] PublicCloud[Public Cloud
OpenAI / Anthropic] end IDE -->|1. Outbound API Request| OS_Hosts OS_Hosts -->|2. Intercepted| Gateway Gateway -->|3a. Route active| LocalLLM Gateway -.->|3b. Audited pass-through| PublicCloud Gateway -->|3c. Block active| Drop[Connection Refused] ``` 要深入了解我们的模块化结构、深度数据包检查(DPI)计划和威胁模型,请阅读我们的**[架构文档](docs/architecture.md)**。 ## ✅ 当前功能与路线图 该项目明确说明了今天已实现的功能和未来工作的剩余部分。 | 区域 | 当前状态 | |---|---| | hosts文件阻止 | 已实现并默认用于GUI/CLI。 | | 本地API网关 | 已实现,用于将HTTP流量回环路由到兼容的本地LLM服务器。 | | 后端选择 | 已在CLI中实现,默认使用hosts,并支持实验性的`firewall-redirect`干运行支持。 | | TLS/DPI拦截 | 计划中,尚未实现。当前版本不安装根CA。 | | eBPF/WFP内核拦截 | 计划中的未来后端工作,不是活动运行时行为。 | 路线图雄心勃勃,但应通过上述已实现的功能来评估发布版。 ## 🚀 快速入门 ### 1. Python包(Pip) 以最快的方式开始使用无头CLI。 ``` pip install ai-devsec-gateway # 原生 CLI 命令现在全球可用: ai-blocker --status ai-devsec-gateway --block ai-devsec-gateway --unblock ``` ### 1.1 后端选择与干运行 使用hosts作为默认后端,或首先使用干运行显式检查实验性的防火墙后端: ``` # 显示可用后端 ai-blocker --list-backends # 默认行为(主机后端) ai-blocker --backend hosts --block work # 仅实验后端计划(不应用网络更改) ai-blocker --backend firewall-redirect --block work --dry-run ``` ### 2. 软件包管理器(macOS & Windows) **macOS(Homebrew):** ``` brew tap Akunimal/ai-devsec-gateway https://github.com/Akunimal/AI-Router-Blocker-AiO brew install ai-devsec-gateway sudo ai-blocker --status ``` **Windows(Scoop):** ``` scoop bucket add ai-devsec-gateway https://github.com/Akunimal/AI-Router-Blocker-AiO.git scoop install ai-devsec-gateway ai-blocker --status ``` ### 3. 可移植GUI二进制文件 如果您更喜欢没有安装Python的丰富视觉界面: 1. 访问[**发布**](https://github.com/Akunimal/AI-Router-Blocker-AiO/releases)页面。 2. 下载适用于您的OS的可执行文件(`.exe`、macOS二进制文件或Linux AppImage)。 3. 运行应用程序(当切换网络开关时,它将自动请求管理员/sudo权限)。 ## 🔒 安全模型 - **零持久性BYOK**:语义DevSec审计器的API密钥严格保留在内存中。它们永远不会写入磁盘,从而防止供应链凭证盗窃。 - **外科手术式操作系统修改**:引擎使用类似`sed`的解析来将`# AI-Block`标记注入操作系统的hosts文件。它保证与现有的DNS映射完全隔离。 - **隔离的遥测**:应用程序本身绝对不包含跟踪、分析或隐藏的后台电话回家机制。 ## 🤝 开源与治理 我们相信,安全工具必须是100%透明的。该项目是在严格的开源治理下构建的: - **[架构指南](docs/architecture.md)**:完整的技术规范。 - **[贡献指南](CONTRIBUTING.md)**:标准和PR模板。 - **[行为准则](CODE_OF_CONDUCT.md)**:我们培养一个欢迎的社区。 - **[安全策略](SECURITY.md)**:负责任的安全漏洞披露。 - **[开源软件总结法典](CODEX_FOR_OSS.md)**:维护者关注的项目摘要、当前范围和计划中的法典使用。 - **[许可证](LICENSE)**:MIT许可。 ## 🗺️ 路线图与未来愿景 我们正在积极地向企业**零信任数据泄露防护引擎**发展。即将到来的里程碑包括: - **实时DLP清理**:在路由之前实时使用正则表达式和启发式方法剥离PII。 - **eBPF内核遥测**:在Linux内核级别检测`.git/config`泄露。 - **机密计算**:在可信执行环境(TEEs)如Intel SGX中运行网关。 探索我们的[**ROADMAP.md**](ROADMAP.md)以了解完整的愿景。
127.0.0.1)) OS_Hosts[(OS Hosts File)] end subgraph External ["Target Inference"] LocalLLM[Private Local LLM
Ollama / vLLM] PublicCloud[Public Cloud
OpenAI / Anthropic] end IDE -->|1. Outbound API Request| OS_Hosts OS_Hosts -->|2. Intercepted| Gateway Gateway -->|3a. Route active| LocalLLM Gateway -.->|3b. Audited pass-through| PublicCloud Gateway -->|3c. Block active| Drop[Connection Refused] ``` 要深入了解我们的模块化结构、深度数据包检查(DPI)计划和威胁模型,请阅读我们的**[架构文档](docs/architecture.md)**。 ## ✅ 当前功能与路线图 该项目明确说明了今天已实现的功能和未来工作的剩余部分。 | 区域 | 当前状态 | |---|---| | hosts文件阻止 | 已实现并默认用于GUI/CLI。 | | 本地API网关 | 已实现,用于将HTTP流量回环路由到兼容的本地LLM服务器。 | | 后端选择 | 已在CLI中实现,默认使用hosts,并支持实验性的`firewall-redirect`干运行支持。 | | TLS/DPI拦截 | 计划中,尚未实现。当前版本不安装根CA。 | | eBPF/WFP内核拦截 | 计划中的未来后端工作,不是活动运行时行为。 | 路线图雄心勃勃,但应通过上述已实现的功能来评估发布版。 ## 🚀 快速入门 ### 1. Python包(Pip) 以最快的方式开始使用无头CLI。 ``` pip install ai-devsec-gateway # 原生 CLI 命令现在全球可用: ai-blocker --status ai-devsec-gateway --block ai-devsec-gateway --unblock ``` ### 1.1 后端选择与干运行 使用hosts作为默认后端,或首先使用干运行显式检查实验性的防火墙后端: ``` # 显示可用后端 ai-blocker --list-backends # 默认行为(主机后端) ai-blocker --backend hosts --block work # 仅实验后端计划(不应用网络更改) ai-blocker --backend firewall-redirect --block work --dry-run ``` ### 2. 软件包管理器(macOS & Windows) **macOS(Homebrew):** ``` brew tap Akunimal/ai-devsec-gateway https://github.com/Akunimal/AI-Router-Blocker-AiO brew install ai-devsec-gateway sudo ai-blocker --status ``` **Windows(Scoop):** ``` scoop bucket add ai-devsec-gateway https://github.com/Akunimal/AI-Router-Blocker-AiO.git scoop install ai-devsec-gateway ai-blocker --status ``` ### 3. 可移植GUI二进制文件 如果您更喜欢没有安装Python的丰富视觉界面: 1. 访问[**发布**](https://github.com/Akunimal/AI-Router-Blocker-AiO/releases)页面。 2. 下载适用于您的OS的可执行文件(`.exe`、macOS二进制文件或Linux AppImage)。 3. 运行应用程序(当切换网络开关时,它将自动请求管理员/sudo权限)。 ## 🔒 安全模型 - **零持久性BYOK**:语义DevSec审计器的API密钥严格保留在内存中。它们永远不会写入磁盘,从而防止供应链凭证盗窃。 - **外科手术式操作系统修改**:引擎使用类似`sed`的解析来将`# AI-Block`标记注入操作系统的hosts文件。它保证与现有的DNS映射完全隔离。 - **隔离的遥测**:应用程序本身绝对不包含跟踪、分析或隐藏的后台电话回家机制。 ## 🤝 开源与治理 我们相信,安全工具必须是100%透明的。该项目是在严格的开源治理下构建的: - **[架构指南](docs/architecture.md)**:完整的技术规范。 - **[贡献指南](CONTRIBUTING.md)**:标准和PR模板。 - **[行为准则](CODE_OF_CONDUCT.md)**:我们培养一个欢迎的社区。 - **[安全策略](SECURITY.md)**:负责任的安全漏洞披露。 - **[开源软件总结法典](CODEX_FOR_OSS.md)**:维护者关注的项目摘要、当前范围和计划中的法典使用。 - **[许可证](LICENSE)**:MIT许可。 ## 🗺️ 路线图与未来愿景 我们正在积极地向企业**零信任数据泄露防护引擎**发展。即将到来的里程碑包括: - **实时DLP清理**:在路由之前实时使用正则表达式和启发式方法剥离PII。 - **eBPF内核遥测**:在Linux内核级别检测`.git/config`泄露。 - **机密计算**:在可信执行环境(TEEs)如Intel SGX中运行网关。 探索我们的[**ROADMAP.md**](ROADMAP.md)以了解完整的愿景。
审计不可见之处。路由受限内容。不要信任任何数据包。
AI时代的DevSecOps网关。
标签:AI安全, AI编程助手, API管理, Chat Copilot, DevSecOps, Python, 上游代理, 安全扫描, 审计, 开源, 提示词模板, 数据泄露防护, 无后门, 时序注入, 测试, 网络拦截, 网络探测, 许可证:MIT, 路由, 逆向工具, 零信任安全