apxlabs-ai/niro
GitHub: apxlabs-ai/niro
Niro 社区版是一个自动化渗透测试与安全修复工具,能对运行中的应用进行安全测试并自动提交可合并的修复 PR,帮助开发团队跟上 AI 时代的代码发布速度。
Stars: 3 | Forks: 0
# Niro 社区版
Niro 社区版对您正在运行的应用程序进行渗透测试,并提交
可供审查的修复 PR 及安全回归测试,使安全修复
像常规 pull request 一样合并。
如今,一次渗透测试从交接开始:准备运行环境、定义范围、收集
凭证和测试数据(fixtures)、等待测试结果、对结果进行分类、重现问题、编写
测试并进行修复。当它最终成为合并代码时,可能已经过去了数周或数月,并且有几个人经手了这项工作。
与此同时,代码库本身却已经向前推进了。AI 编码工具加剧了这一差距:
团队提交代码的速度远超安全审查的速度。
## 为什么是现在
AI 让代码发布变得更快,但也更难以被信任。
| 信号 | 含义 |
| --- | --- |
| 85% 的人表示 AI 已将瓶颈从编写代码转移到了代码的审查和验证上 [[1]](#参考文献) | 速度不再是难点,信任才是。 |
| 90% 的安全负责人对 AI 生成的软件风险表示担忧 [[2]](#参考文献) | AI 生成的代码现在已是一个安全治理问题,而不仅仅是关于开发者生产力的议题。 |
## 为什么选择 Niro
Niro 将应用设置、渗透测试和修复精简为一个与代码库原生集成的闭环。
不同于多个人之间的相互交接,Niro 可以直接启动应用程序、对其进行测试,
并提交带有安全回归测试的 PR 来修复安全问题。过去可能需要数周或数月且
需要多人经手的工作,现在可以在数小时内开始合并。
## Niro 的功能
- **构建测试套件 (harness):** 创建启动应用程序、植入凭证和数据 fixture 所需的脚本和配置,
并使其目标能够在不同语言、框架和数据库之间进行测试。
- **探测 HTTP 攻击面:** 针对您范围内的 API、Web 流程、MCP server 和
其他 HTTP endpoint,执行 OWASP Top 10 风格的风险测试。
- **在其他工具停止的地方继续适应:** 当测试遇到缺失的用户、租户、数据、
凭证、路由或功能状态时,Niro 会更新测试套件,构建所需状态,
并避免出现静默的覆盖盲区。
- **将确认的问题转化为聚焦的 PR:** 根据根本原因对相关问题进行分组,
添加安全回归测试,修补代码,并提交可供审查的
PR。
- **在您的代码运行环境中运行:** 在本地或 CI 中运行,
使用您的环境和您的凭证。
## 信任与控制
- **数据隐私:** 应用程序流量、凭证和测试状态保留在您的
环境中;AI 推理使用您配置的提供商账户。
- **Agent 容器化:** Niro 根据
`scope.yaml` 应用内核级别的出口控制,因此渗透测试引擎只能访问批准的目标。
- **告警疲劳:** Niro 在提交 PR 之前会检查代码、测试、配置、先前接受的行为
以及现有的 PR。明确的 bug 会变成修复 PR;
有意或模糊不清的行为将被记录以供您审查。
- **失控成本:** 自定义 `niro.yaml` 以控制时间、成本和
并发。
- **遥测控制:** 使用情况遥测记录在
[TELEMETRY.md](TELEMETRY.md) 中,并且可以在 `niro.yaml` 中禁用。
需要治理、审计、合规性控制或企业部署支持?
请与 APX Labs 联系以了解 Niro 企业版。
## 快速开始
从您的机器上对应用程序进行渗透测试:
```
git clone https://github.com/
/.git
cd
curl -fsSL https://raw.githubusercontent.com/apxlabs-ai/niro/main/install.sh | sh
niro init
claude "Pentest this application and create PRs."
```
有关 Windows 安装、前置条件、CI
和其他编码 agent 的示例,请参阅[运行 Niro](docs/run-niro.md)。
## 运行 Niro 的方式
Niro 可以在本地或 CI 中运行,并且可以针对整个应用程序、特定范围或
pull request。
- **本地:** 当您需要交互式控制时,从开发机器运行。
- **CI:** 当您需要可重复的从渗透测试到 PR 的自动化流程时,从工作流运行。
- **整个应用程序或特定范围:** 测试您选择的应用程序区域。
- **Pull request:** 在更改合并之前对其进行测试。
有关测试套件、fixture 和设置差距处理的更多信息,请参阅
[无需承担设置成本的渗透测试](docs/pentesting-without-the-setup-tax.md)
。
## 参考文献
1. [ITPro 关于 GitLab AI 代码治理报告的报道](https://www.itpro.com/software/development/enterprises-are-shipping-so-much-ai-generated-code-they-cant-control-or-secure-it)
2. [TechRadar 关于 Salt Security AI 代码风险研究的报道](https://www.techradar.com/pro/security/nearly-all-security-bosses-are-worried-about-ai-safety-with-a-third-saying-they-still-rely-on-manually-reviewing-code-before-launch)
## 许可证
Apache License 2.0 ([LICENSE](LICENSE), [NOTICE](NOTICE))。
## 问题
标签:DAST, DevSecOps, 上游代理, 代码安全, 恶意软件分析, 漏洞枚举, 自动化漏洞修复, 请求拦截