suiyisuixing/vulnerability-intelligence-lab

# 漏洞情报实验室 — AI 安全技能数据集平台 [](https://github.com/suiyisuixing/vulnerability-intelligence-lab/actions/workflows/ci.yml) **v3.0-rc — 漏洞情报 + AI 安全技能数据集平台** 一个本地漏洞情报与 AI 安全技能数据集平台，用于资产分析、漏洞优先级排序、SBOM/暴露面建模、API 安全技能任务生成、安全本地验证计划、补丁规划，以及基于评分标准的 AI 安全技能评估。 ## 评审者快速路径 1. 启动后端和前端（参见下方的“快速开始”）。 2. 分析示例项目。 3. 审查漏洞/API/配置发现。 4. 运行 API 实验场景。 5. 生成技能数据集。 6. 审查技能分类体系。 7. 运行优先级分析。 8. 审查 SBOM/暴露面。 9. 生成补丁计划。 10. 运行模拟技能评估。 11. 生成 v3 报告。 12. 运行评估套件。 ## v3.0 功能特性 - **AI 安全技能分类体系** — 12 个类别，涵盖依赖项匹配、API 授权、属性授权、函数级授权、SSRF、文件上传、配置、优先级排序、修复建议、安全验证、回归测试以及 AI 安全边界感知。由 `data/skill_taxonomy/ai_security_skill_taxonomy.json` 支持。 - **v3 技能数据集导出器** — 根据 CVE 匹配、API 风险、配置风险和 API 实验结果生成结构化的技能任务。支持 JSONL + 卡片导出。每个任务都包含 `safety_boundary` 和默认评分标准。 - **统一漏洞优先级排序** — 结合 CVSS、KEV 风格、EPSS 风格、暴露面、业务关键性、可利用性、修复方案可用性、验证置信度、管理员/对象/配置信号，生成 0-100 分。P1-P5 优先级映射，包含决策和 SLA。 - **SBOM/暴露面层** — 本地 SBOM 构建器（资产清单和内联项目文件）和资产暴露面配置文件。 - **补丁规划** — 将已排序的优先级项目转化为计划，包含建议操作、验证步骤、回滚计划、责任人和 SLA。 - **基于评分标准的技能评估器** — 关键词驱动的评分，具有安全短路机制。及格阈值 60/满分 100。模拟运行生成五个标记答案（`good`、`missing_remediation`、`missing_safety_boundary`、`wrong_vulnerability_type`、`unsafe_external_target`）。 - **报告 v3** — 优先级排序、技能评估和补丁计划的 Markdown 报告。 - **前端 v3 仪表盘** — 技能分类、v3 技能数据集、优先级、SBOM/暴露面、补丁规划、技能评估器和 v3 报告中心面板。带有颜色编码的 P1-P5 优先级徽章。 ## v2.0 功能特性（保留） - **本地易受攻击 vs 安全的 API 迷你实验室** — 内存中的示例用户、订单、报告和配置文件，具有成对的 `vulnerable_*` / `secure_*` 处理程序，用于 BOLA、BFLA、批量赋值、过度数据暴露、缺少速率限制、类 SSRF 的 URL 获取和不安全的文件上传。 - **API 漏洞验证引擎**、**OWASP API 安全 Top 10 (2023) 映射**、**API 安全技能数据集 (v1)**、**本地回归测试生成器**、**API 安全报告 v2**。 ## v1.0 功能特性（保留） - 本地示例 CVE / KEV / EPSS / 公告情报加载器。 - 需求 / package.json / Dockerfile / docker-compose / OpenAPI 解析器。 - 具有版本范围支持的组件到 CVE 漏洞匹配器。 - 静态 API 风险识别（BOLA、BFLA、批量赋值、不安全的文件上传、类 SSRF、缺少速率限制）。 - 静态配置风险识别（root 用户、启用调试、公共绑定、硬编码密钥模式、缺少资源限制）。 - 基于规则的风险评分和优先级排序，带有 P1-P5 映射。 - 安全、仅限本地的验证计划生成器。 - 修复建议生成器。 - JSON 和 Markdown 报告。 - 一个包含 15 个场景的评估套件。 ## 架构 参见 [docs/architecture.md](docs/architecture.md)。后端使用 FastAPI 和 Pydantic 模型；前端使用 React + Vite，通过 `fetch` 通信；数据层使用本地 JSON。 ## 快速开始 ### 创建虚拟环境 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab py -3.11 -m venv .venv ``` ### 后端安装 ``` C:\Users\27827\Desktop\vulnerability-intelligence-lab\.venv\Scripts\python.exe -m pip install -r backend\requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple --trusted-host pypi.tuna.tsinghua.edu.cn ``` ### 后端运行 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab\backend C:\Users\27827\Desktop\vulnerability-intelligence-lab\.venv\Scripts\python.exe -m uvicorn app.main:app --reload ``` ### 前端安装 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab\frontend npm install --registry=https://registry.npmmirror.com ``` ### 前端运行 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab\frontend npm run dev ``` ### 测试 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab C:\Users\27827\Desktop\vulnerability-intelligence-lab\.venv\Scripts\python.exe -m pytest ``` ### 构建 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab\frontend npm run build ``` ### 本地检查 ``` cd /d C:\Users\27827\Desktop\vulnerability-intelligence-lab C:\Users\27827\Desktop\vulnerability-intelligence-lab\.venv\Scripts\python.exe tools\run_checks.py ``` ## 示例漏洞情报 - `data/vuln_intel/cve_samples.json` - `data/vuln_intel/kev_samples.json` - `data/vuln_intel/epss_samples.json` - `data/vuln_intel/advisory_samples.json` 参见 [docs/vulnerability_intelligence.md](docs/vulnerability_intelligence.md)。 ## 示例资产 - `data/assets/asset_inventory.json` - `data/assets/requirements_sample.txt` - `data/assets/package_sample.json` - `data/assets/Dockerfile.sample` - `data/assets/docker-compose.sample.yml` - `data/assets/openapi_sample.json` 参见 [docs/asset_identification.md](docs/asset_identification.md)。 ## OWASP API 安全 Top 10 参考数据 - `data/owasp_api/owasp_api_top10_2023.json` 参见 [docs/owasp_api_mapping.md](docs/owasp_api_mapping.md)。 ## API 概述 参见 [docs/api_surface.md](docs/api_surface.md)。 ## v3 文档 - [docs/skill_taxonomy.md](docs/skill_taxonomy.md) - [docs/skill_dataset_v3.md](docs/skill_dataset_v3.md) - [docs/prioritization_model.md](docs/prioritization_model.md) - [docs/sbom_and_exposure.md](docs/sbom_and_exposure.md) - [docs/patch_planning.md](docs/patch_planning.md) - [docs/skill_evaluation.md](docs/skill_evaluation.md) - [docs/v3_release_notes.md](docs/v3_release_notes.md) ## v2 文档 - [docs/api_security_lab.md](docs/api_security_lab.md) - [docs/owasp_api_mapping.md](docs/owasp_api_mapping.md) - [docs/skill_dataset.md](docs/skill_dataset.md) - [docs/regression_testing.md](docs/regression_testing.md) - [docs/api_security_report.md](docs/api_security_report.md) - [docs/v2_release_notes.md](docs/v2_release_notes.md) ## v1 文档（保留） - [docs/vulnerability_methodology.md](docs/vulnerability_methodology.md) - [docs/api_risk_identification.md](docs/api_risk_identification.md) - [docs/configuration_risk_identification.md](docs/configuration_risk_identification.md) - [docs/risk_scoring.md](docs/risk_scoring.md) - [docs/verification_plans.md](docs/verification_plans.md) ## 修复建议 修复模块为每个发现生成一条建议，包含优先级、责任人和预估工作量。完整计划包含在 JSON 和 Markdown 报告中。 ## 报告 `/report/json` 和 `/report/markdown` 端点渲染完整的 v1 分析输出。`/report/api-security` 和 `/report/skill-dataset` 端点渲染 v2 报告。Markdown 报告始终包含执行摘要、验证计划和 AI 辅助开发说明。 ## 评估套件 `data/evaluation/identification_scenarios.json` 包含 15 个场景，涵盖匹配、API 风险、配置风险、优先级排序、验证和修复建议。可通过 `/evaluation/run` 或 UI 运行。 ## 测试 27 个文件中共 409 个测试；全部通过，无跳过，无预期失败。参见 [docs/testing_strategy.md](docs/testing_strategy.md)。 ## 安全边界 - 无真实外部服务。无真实的 CVE / KEV / EPSS / OWASP 源，无 LLM API。 - 无真实目标或资产。 - 后端不导入任何 HTTP 客户端或子进程模块。 - SSRF 逻辑仅为字符串模拟；实验室从不打开出站套接字。 - 文件上传行为仅检查文件名/内容类型元数据。 - 速率限制使用内存计数器。 - 文件系统读取沙箱化在 `data/` 目录内。 - 参见 [docs/threat_model.md](docs/threat_model.md) 和 [reports/SECURITY_REPORT.md](reports/SECURITY_REPORT.md)。 ## 开发说明 本项目是作为 AI 辅助学习与工程项目开发的。架构、漏洞情报场景、API 安全实验室设计、测试目标、验证流程和最终评审均由作者主导。AI 工具用于规划、代码审查、文档支持和调试指导，而所有仓库提交和项目决策均由作者管理。 ## 局限性 - 所有数据均为合成数据。CVE ID 使用 `CVE-2099-` 前缀；示例 IP 使用 RFC 5737 测试范围；示例域名使用 `.example`。 - 匹配器使用简单的版本范围比较器。 - API 实验室仅存在于内存中；从未连接到真实数据库。 - 验证计划、回归测试和技能任务仅限本地，从不描述对真实系统的攻击。 ## 作品集使用 参见 [docs/portfolio_summary.md](docs/portfolio_summary.md) 和 [docs/reviewer_guide.md](docs/reviewer_guide.md)。

标签：AI安全, AI安全平台, AI技能评估, AI模型训练, API安全, Chat Copilot, GPT, Homebrew安装, JSON输出, meg, SBOM建模, XSS, 信息安全, 威胁情报, 安全测试计划, 安全验证工作流, 开发者工具, 技能数据集生成, 数据集平台, 暴露面分析, 漏洞优先级排序, 漏洞分析工具, 漏洞情报, 漏洞管理, 网络安全, 补丁规划, 资产分析, 隐私保护