hoangharry-tm/ZeroTrust.sh

# ZeroTrust.sh ## 为什么选择 ZeroTrust.sh？ AI 编程代理（Cursor, Cline, Aider, GitHub Copilot）生成和修改代码的速度超越了人类审查的极限。这种速度伴随着代价：安全漏洞正以机器般的速度潜入您的代码库。ZeroTrust.sh 将所有 AI 生成的代码默认视为**不受信任**，并在您的本地机器上进行审计——无需云服务，无数据泄露，无延迟。 ## 核心功能 - 🔒 **100% 本地与离线运行** — 您的源代码永远不会离开您的机器 - 📦 **ZIP 或目录输入** — 独立于任何 VCS 平台（GitHub, GitLab 等）运行 - 🤖 **AI 专属威胁检测** — 捕获包幻觉、注释中的提示词注入以及 AI 驱动的安全绕过 - ⚡ **混合分析引擎** — 快速的基于 AST 规则的扫描 + 本地 LLM 语义验证 - 📊 **交互式 HTML 报告** — 包含严重程度级别的独立漏洞仪表板 - 🩹 **补丁建议** — 为已确认的漏洞生成统一的 Git diff ## 检测到的威胁媒介 | 威胁 | 描述 | | :--- | :--- | | **包幻觉** | AI 代理引用了不存在的包，而攻击者会使用恶意负载注册这些包 | | **提示词注入** | 隐藏在注释或 markdown 中以劫持 AI 代理的对抗性指令 | | **安全控制绕过** | 代理注释掉 lint 规则、禁用测试或开放 `0.0.0.0` 端口 | | **经典漏洞** | SQLi, XSS, SSRF, 命令注入、硬编码密钥、访问控制失效 | ## 快速开始 ``` # 安装（即将推出） brew install zerotrust # 扫描目录 zerotrust scan ./my-project # 扫描 ZIP 归档 zerotrust scan ./my-project.zip # 输出 HTML 报告 zerotrust scan ./my-project --output report.html ``` ## 工作原理 ``` Codebase / ZIP │ ▼ ┌─────────────────────┐ │ Stage 1: AST Scan │ ← Tree-sitter fast structural rules (high recall) └─────────────────────┘ │ Hotspots ▼ ┌─────────────────────────────┐ │ Stage 2: Local LLM Verify │ ← Quantized local model (Ollama / llama.cpp) └─────────────────────────────┘ │ Confirmed Findings + Patches ▼ ┌──────────────────────┐ │ HTML Report Output │ ← Interactive vulnerability dashboard └──────────────────────┘ ``` ## 许可证 Apache 2.0 — 对个人和开源项目免费。 *ZeroTrust.sh — 因为您不应该盲目信任并非由您编写的代码。*

标签：AI安全, AI风险缓解, Chat Copilot, 多模态安全, 文档安全, 文档结构分析, 本地大模型, 静态代码扫描