f3rb123/beetle
GitHub: f3rb123/beetle
一款离线优先的移动应用安全情报平台,提供静态分析、攻击链关联和可解释的安全发现。
Stars: 4 | Forks: 1
🪲 Beetle
攻击链驱动的移动应用安全平台
Android • iOS • Flutter • React Native • OWASP MASVS • 攻击链 • 源码导航 • SARIF • CycloneDX SBOM • 可选 AI • Docker
## 概述 **Beetle** 是一个离线优先的**应用安全情报平台**,用于分析 Android APK 和 iOS IPA,包括使用 **Flutter** 和 **React Native** 构建的应用。 它专为**渗透测试人员、移动安全工程师、开发人员、安全研究人员和审计员**而构建,将静态分析、可解释的安全情报、攻击链、源码导航、证据驱动的发现结果、专业报告以及可选的 AI 辅助整合到单一的分析师工作区中。 Beetle 是**离线优先**的:所有分析都在您自己的基础架构上本地运行,应用程序二进制文件和源代码永远不会上传到外部服务。确定性的情报引擎无需网络和 AI 提供商即可完成完整的扫描。 ## 为什么选择 Beetle? 现代移动应用程序可能会产生数百个安全发现。Beetle 的设计围绕分析师的工作流程——帮助您决定*什么是漏洞、为什么它很重要,以及攻击者如何将这些弱点组合起来*——而不是仅仅为您提供一份毫无区分的列表。 * **可解释的发现结果** —— 每个分数和判定都附有易于理解的人工可读原因 * **证据先于假设** —— 发现结果基于具体的工件(代码、manifest、证书、二进制文件) * **攻击链** —— 将孤立的发现结果关联成真实的、有证据支撑的攻击路径 * **源码导航** —— 每个发现结果都直接链接到其确切的文件和行号 * **标准映射** —— 覆盖 OWASP MASVS 并与 OWASP 移动 Top 10 对齐 * **离线优先** —— 无需网络和 AI 提供商即可完成分析 * **可选 AI** —— 在上下文中解释发现结果、对证据进行推理以及回答安全问题 * **专业报告** —— 提供高管、技术和合规报告,以及机器可读的导出文件 ## 核心功能 * **静态分析** —— Android APK + iOS IPA 反编译、manifest/plist、证书、entitlements 和原生二进制文件 * **可解释的情报引擎** —— 归属、置信度、证据选择、发现融合、机密情报等——每一个都会添加元数据,而绝不会删除发现结果 * **攻击链** —— 将发现结果关联成真实的、有证据支撑的攻击路径 * **源码导航** —— 使用功能丰富的代码查看器,从任何发现跳转到其确切的源码位置 * **标准映射** —— OWASP MASVS 覆盖率和 OWASP 移动 Top 10 * **AI 安全(可选)** —— AI 助手和 AI 操作用于增强(而非取代)确定性分析([详情见下](#ai-security-optional)) * **报告与集成** —— PDF、SARIF、CycloneDX SBOM、JSON、webhooks 以及 CI/CD 策略门控 ## AI 安全(可选) Beetle 使用确定性情报引擎在**本地执行所有安全分析**。AI 在该分析之上是一个完全**可选**的层。 其设计理念是经过深思熟虑的:检测和评分必须是确定性的、可重现的和可解释的,因此它们永远不会委托给模型。AI 被严格定位为一种解释辅助工具,可帮助分析师更快地处理 Beetle 已经生成的结果。 AI 可帮助: * 用通俗易懂的语言**解释发现结果**,包括它们为什么重要 * **解释发现结果背后的**证据 * **回答有关**发现结果、控制和攻击场景的**安全问题** * 根据发现结果的证据,**建议修复措施** * 从 Beetle 的发现结果和汇总数据中**生成高管摘要** * **协助调查**跨多个发现结果或攻击路径的事件 如果**未**配置 AI 提供商: * Beetle 仍会执行**完整的安全分析**。 * 调查、报告和所有确定性情报引擎将继续正常工作。 * 只有 AI 增强功能才需要 AI 提供商。 **支持的提供商:** * Claude * OpenAI * Gemini * DeepSeek * Ollama(本地 / 完全本地部署) AI 功能需要配置提供商——在设置之前它们不可用。 ## 功能特性 ### 移动安全情报 * Android 安全情报 * iOS 安全情报 * Flutter 安全情报 * React Native 安全情报 ### 情报引擎 * 机密情报 v2 * 网络情报 * 云配置情报 * APKLeaks 集成 * Semgrep 情报 * 归属引擎 * 置信度引擎 * 证据选择引擎 * 发现融合引擎 * 攻击链情报 * MASVS 情报 ### 调查工作区 * 工程工作区 * 调查仪表板 * 源码资源管理器 * 安全资源管理器 * 富代码查看器 * 源码解析 * 信任评分 * 安全评分 * AI 助手 * AI 操作 ### 报告与导出 * 高管 PDF * 技术 PDF * 合规报告 * SARIF 导出 * CycloneDX SBOM * JSON 导出 ## 截图 ### 工程工作区 主页工作区——您查看扫描目标、最近活动和进行调查的入口。  ### 扫描概览 扫描应用程序的高级概览:一目了然地查看评分、发现结果汇总和平台情报。  ### 安全发现结果 发现结果视图——证据驱动、置信度评分并映射到标准。  ### 打开发现结果 一个包含其证据、归属、置信度和修复上下文的单独发现结果。  ### 源码导航 使用富代码查看器,从任何发现跳转到其确切的文件和行号。  ### 源码资源管理器 浏览应用程序完整的反编译和解析后的源码树。  ### MASVS 覆盖率 跨分析应用程序的 OWASP MASVS 覆盖率映射。  ### AI 分析 可选的、基于证据的 AI 分析,用于解释发现结果和攻击路径。  ### AI 助手 基于您的扫描结果进行对话式、具有上下文感知能力的安全问答。  ## 架构 Beetle 接收扫描目标,对其进行注册,运行相应的平台分析器和检测引擎以输出规范的发现结果,然后通过一系列可解释的情报引擎丰富这些发现结果,最后将它们关联成攻击链,并渲染到报告和调查仪表板中。 ``` flowchart TD A[Scan Target] --> B[Scan Target Registry] B --> C[Platform Analyzer] C --> D[Intelligence Engines] D --> E[Canonical Findings] E --> F[Ownership] F --> G[Confidence] G --> H[Evidence Selection] H --> I[Finding Fusion] I --> J[Attack Chains] J --> K[Reports] J --> L[Investigation Dashboard] ``` ## 文档 Beetle 包含全面的技术文档。**Beetle 宝典**是唯一的权威参考——它记录了每个功能的作用、它存在的原因、它的内部工作原理,以及分析师应该如何解释其输出。 * **[Beetle 宝典](docs/beetle-bible/README.md)** —— 完整的技术参考(架构、引擎、评分、报告、FAQ、词汇表) * **[架构指南](ARCHITECTURE.md)** —— 系统架构与 pipeline * **[功能清单](FEATURE_INVENTORY.md)** —— 已实现功能的完整清单 * **[项目概述](PROJECT_OVERVIEW.md)** —— 高级项目导览 ## 快速入门 ### 克隆仓库 ``` git clone https://github.com/f3rb123/beetle.git cd beetle ``` ### 配置 Beetle 创建一个 `.env` 文件(或导出环境变量),至少包含: ``` SECRET_KEY=标签:AV绕过, FastAPI, OWASP MASVS, React, Syscalls, 攻击链分析, 移动应用安全, 请求拦截, 逆向工具, 错误基检测, 静态代码分析