xsourabhsharma/ai-security-audit-pro

GitHub: xsourabhsharma/ai-security-audit-pro

AI 安全审计 Pro 插件是一款自动化安全审计工具,用于生成基于 OWASP 标准的报告。

Stars: 1 | Forks: 0

# AI 安全审计 Pro 插件 ![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/591ba81fa7235059.svg) [![npm](https://img.shields.io/npm/v/ai-security-audit-pro.svg)](https://www.npmjs.com/package/ai-security-audit-pro) ![源版本:0.8.4](https://img.shields.io/badge/source-v0.8.4-0f766e.svg) [![ClawHub](https://img.shields.io/badge/ClawHub-ai--security--audit--pro-111827.svg)](https://clawhub.ai/plugins/ai-security-audit-pro) ![许可证:MIT](https://img.shields.io/badge/license-MIT-blue.svg) ![Node.js](https://img.shields.io/badge/node-%3E%3D18-339933.svg) ![OWASP](https://img.shields.io/badge/OWASP-ASVS%20%7C%20Top%2010%20%7C%20WSTG-111827.svg) ![插件已就绪](https://img.shields.io/badge/plugin--ready-Codex%20%7C%20Claude%20%7C%20Gemini%20%7C%20OpenCode%20%7C%20Hermes%20%7C%20OpenClaw-0f766e.svg) AI 安全审计 Pro 插件是一个针对 AI 编码代理的防御性安全审计插件和 CLI 引擎。它为 Codex、Claude Code、Gemini CLI、Google Antigravity、OpenCode、Hermes、OpenClaw 和其他具有 shell 功能的 AI 工具提供了一种严肃的审计代码库、网站和 API 的工作流程。 它为那些希望他们的代理能够做更多的事情而构建。一次良好的运行应该检查目标,使用正确的工具,收集证据,区分真实发现和扫描器噪音,并生成可以实际审查的报告。 ## 灵感来源 AI 代理在安全工作中很有用,但只有当它们有一个纪律性的过程。 没有结构,它们往往会: - 重复相同的低价值标题发现, - 过度强调扫描器输出, - 错过范围和授权细节, - 将真实发现与猜测混合, - 并生成难以信任的报告。 此插件为代理提供了一个更安全、可重复的路径: 1. 理解目标。 2. 运行本地或基于 URL 的审计检查。 3. 当安装并授权时使用可选的扫描器。 4. 记录已审查的内容和跳过的内容。 5. 将发现标记为“已确认”、“可能”或“需要验证”。 6. 生成 Markdown、HTML、PDF 或 JSON 输出。 这就是这个存储库的意义所在:不仅仅是“运行扫描器”,而是帮助 AI 代理更像是一个谨慎的安全审查员。 ## 插件优先,CLI 驱动 每个 AI 工具都有不同的插件系统。Codex、Claude Code、Gemini CLI、Antigravity、OpenCode、Hermes 和 OpenClaw 并非都加载相同的包格式。 因此,AI 安全审计 Pro 以两种形式提供: | 部分 | 它做什么 | |---|---| | 插件文件 | 为代理提供所需的指令、技能和适配器文档。 | | CLI 引擎 | 为每个具有 shell 功能的代理提供一个稳定的方式来运行审计。 | CLI 是插件的运行时接口: ``` node scripts/security-audit.mjs --target . --out security-audit-report.md --html-out security-audit-report.html ``` 代理可以运行该命令,阅读报告,验证证据,总结风险,并告诉你还需要哪些手动测试。 ## 下载和安装 该软件包已发布在 npm 上: - npm 软件包:[ai-security-audit-pro](https://www.npmjs.com/package/ai-security-audit-pro) - GitHub 源:[xsourabhsharma/ai-security-audit-pro](https://github.com/xsourabhsharma/ai-security-audit-pro) - 当前源版本:`0.8.4` npm 徽章显示已发布到 npm 的最新软件包。维护者发布 `0.8.4` 后,徽章将自动更新。 当您希望 CLI 可用于 Codex、Claude Code、Gemini CLI、OpenCode、Hermes、OpenClaw 或任何其他具有 shell 功能的代理时,请全局安装它: ``` npm install -g ai-security-audit-pro security-audit-pro --target . --out security-audit-report.md --html-out security-audit-report.html ``` 该软件包还发布在 ClawHub 上,作为 OpenClaw 的社区捆绑插件。在自动检查和索引完成之前,新的 ClawHub 发布可能会显示 `scan: pending` 一段时间。OpenClaw 用户可以从 ClawHub 安装: ``` openclaw plugins install clawhub:ai-security-audit-pro ``` 使用以下命令检查 ClawHub 软件包元数据: ``` clawhub package inspect ai-security-audit-pro ``` ## 支持的代理 | 代理或工具 | 包含支持 | |---|---| | Codex | `.codex-plugin/plugin.json`、`skills/security-audit/SKILL.md`、`AGENTS.md` | | Claude Code | `.claude-plugin/plugin.json`、`skills/security-audit/SKILL.md`、`CLAUDE.md` | | Gemini CLI | `GEMINI.md` 和 CLI 工作流程 | | Google Antigravity | `GEMINI.md` 或 `agent-adapters/antigravity.md` | | OpenCode | `AGENTS.md` 或 `agent-adapters/opencode.md` | | Hermes | `agent-adapters/hermes.md` 和 CLI 作为本地命令工具 | | OpenClaw | `agent-adapters/openclaw.md` 和 CLI 工作流程 | | 任何其他 AI 代理 | 使用通用提示和 CLI 命令 | 通用提示: ``` Use AI Security Audit Pro Plugin from this repository. Run node scripts/security-audit.mjs against the exact target. Keep the audit defensive, authorized, and non-destructive. Redact secrets. Separate confirmed findings from likely or needs-validation findings. Produce Markdown plus HTML when requested, and explain skipped checks or residual risk. ``` ## 它可以检查什么 | 表面 | 示例 | |---|---| | 源代码 | 注入热点、不安全的执行、XSS 溢出、SSRF 热点、文件访问、反序列化、XML 解析器风险、auth/IDOR/BOLA 审查热点、mass-assignment、JWT/session 错误、CI/CD 工作流信任边界风险。 | | 机密信息 | API 密钥、令牌、私钥、JWT、云密钥以及类似机密信息的分配,带有红acted 证据。 | | 依赖项 | npm、pnpm、yarn、pip-audit、Bandit、OSV-Scanner、govulncheck、cargo-audit、composer 审计(如有)。 | | 网站 | 标题、TLS、cookie、CORS、HTTP 方法、暴露的文件、调试端点、API 文档、security.txt。 | | SPA 包风险 | 懒加载 JavaScript 块发现、生产调试日志、端点映射暴露、令牌存储、类似机密信息的公共配置、GraphQL 内省/模式信号、客户端密码转换信号、硬编码的身份占位符、支付返回 URL 偏差以及需要受控验证的认证身份绑定信号。 | | API | OpenAPI、Swagger、GraphQL、Postman 艺术品、路由库存、授权热点。 | | 活动扫描 | 已授权的 httpx、SSLyze、katana、ffuf、Nuclei 和 OWASP ZAP 协调(当安装时)。 | | 业务逻辑 | 角色测试、对象授权、上传、配额、共享、管理员流程以及通过范围模板进行的滥用规划。 | | 报告 | Markdown、可打印的报告式 HTML、PDF 和 JSON。 | ## 它为什么有用 - 它是代理中立的。同一个存储库可以指导 Codex、Claude Code、Gemini CLI、OpenCode、Hermes、OpenClaw 和其他工具。 - 它为代理提供了一个真正的命令来运行,而不是依赖于模糊的提示记忆。 - 它记录跳过的检查,而不是假装覆盖发生了。 - 它鼓励验证,而不是将每个扫描器结果都视为已确认的漏洞。 - 它生成包含影响、证据、修复、OWASP/CWE 映射和安全的验证步骤的报告。 - 它可以在本地项目、localhost 应用程序、预发布站点和授权的公共目标上使用。 - 它支持 JSON 输出,因此代理可以解析结果并构建后续工作流程。 没有任何诚实的安全工具可以保证找到每个漏洞。此插件旨在找到强烈的信号,保留证据,并使剩余的差距可见。 ## 快速入门 从 npm 的最快路径: ``` npm install -g ai-security-audit-pro security-audit-pro --target . --out security-audit-report.md --html-out security-audit-report.html ``` 源代码检出路径: ``` git clone https://github.com/xsourabhsharma/ai-security-audit-pro.git cd ai-security-audit-pro npm test ``` 从源运行本地引擎: ``` node scripts/security-audit.mjs --target . --out security-audit-report.md --html-out security-audit-report.html ``` 通过 ClawHub 的 OpenClaw 路径: ``` openclaw plugins install clawhub:ai-security-audit-pro ``` 要求: - Node.js 18 或更高版本。 - 可选:Python 加 ReportLab 以生成 PDF 输出。 - 可选扫描器工具在 PATH 上,以实现更全面的覆盖。 ## 常见审计命令 本地项目: ``` node scripts/security-audit.mjs --target . --out security-audit-report.md --html-out security-audit-report.html ``` 授权网站: ``` node scripts/security-audit.mjs --target https://staging.example.com --mode standard --authorized --out report.md --html-out report.html ``` 深度授权活动扫描: ``` node scripts/security-audit.mjs --target https://staging.example.com --mode active --profile deep --authorized --scope-file templates/authenticated-audit-scope.md --out report.md --html-out report.html --pdf-out report.pdf ``` 用于代理工作流程的 JSON: ``` node scripts/security-audit.mjs --target . --json --out report.json ``` ## 模式 | 模式 | 最佳用途 | 注意事项 | |---|---|---| | `passive` | 本地项目和低风险 URL 姿势检查。 | 不执行活动探测。 | | `standard` | 允许浅层暴露检查的授权网站。 | 需要 `--authorized`。 | | `active` | 允许扫描器编排的授权安全审查。 | 需要 `--authorized`。 | 活动配置文件: - `safe`:较低的请求数量。 - `balanced`:默认配置文件。 - `deep`:更广泛的非破坏性覆盖,适用于明确授权的目标。 ## 报告的外观 输出旨在像真正的安全移交一样阅读,而不是原始工具的堆放。HTML 报告使用可打印的报告文档布局,包括封面带、执行快照、严重性卡片、发现表、覆盖矩阵、安全验证面板和详细附录。 ``` AI Security Audit Pro Report Report Snapshot Assessment Conclusion Finding Overview Key Risk Summary Confirmed Vulnerabilities / Risks Scope And Authorization Auth And Business Logic Scope Critical Severity Findings High Severity Findings Medium Severity Findings Low Severity Findings Info Severity Findings Reviewed Surfaces Coverage Matrix Tool Execution Skipped Checks And Residual Risk ``` 每个发现都可以包括: ``` Status: Confirmed / Likely / Needs validation Severity: Critical / High / Medium / Low / Info Affected surface: file, URL, endpoint, header, route, or workflow Evidence: redacted and reviewable Risk: why this matters Impact: what an attacker could gain Mapping: OWASP / CWE where practical Remediation: how to fix it Safe validation: non-destructive reproduction or confirmation step ``` ## 可选扫描器工具 插件无需捆绑扫描器二进制文件。单独安装工具并保持它们在 PATH 上,或设置 `SECURITY_AUDIT_TOOLS_DIR`。 支持的可选工具: - Semgrep - OSV-Scanner - Gitleaks - TruffleHog - npm、pnpm、yarn audit - pip-audit - Bandit - govulncheck - cargo-audit - composer 审计 - ProjectDiscovery httpx - katana - ffuf - Nuclei - SSLyze - OWASP ZAP - Docker for ZAP Docker 基线 当缺少工具时,报告会清楚地说明。 ## 存储库布局 ``` ai-security-audit-pro/ .codex-plugin/plugin.json .claude-plugin/plugin.json agent-adapters/ assets/ docs/ examples/ scripts/security-audit.mjs skills/security-audit/SKILL.md templates/authenticated-audit-scope.md AGENTS.md CLAUDE.md GEMINI.md ``` ## 负责任的使用 仅在使用您拥有或明确授权测试的系统上使用此插件。 不要用它进行凭证攻击、拒绝服务、持久性、隐蔽、恶意软件、数据泄露或超出批准范围的测试。 一份干净的报告意味着“这些检查未发现任何问题”。它并不证明目标没有漏洞。审查覆盖范围、跳过的检查和手动验证说明。 ## 开发 ``` npm test node scripts/security-audit.mjs --help node scripts/security-audit.mjs --target . --mode passive --no-tools --json --out self-audit.json ``` ## 许可证 MIT。请参阅 [LICENSE](LICENSE).
标签:MITM代理, SQL查询, 暗色界面, 自定义脚本, 逆向工具