Moonsehwan/aina-vibeguard-action

# VibeGuard Security Scanner — GitHub Action [](https://github.com/marketplace/actions/vibeguard-security-scanner) [](https://pypi.org/project/aina-vibeguard/) **基于 AST 的安全扫描器，专为 AI 生成的 Python 代码设计。** 可能会标记假阳性，但绝不会漏掉真问题。 ## 快速开始 ``` # .github/workflows/vibeguard.yml name: VibeGuard Security Scan on: [pull_request] jobs: scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: Moonsehwan/aina-vibeguard-action@v1 with: api-key: ${{ secrets.VIBEGUARD_KEY }} ``` 将 `VIBEGUARD_KEY` 添加到 **Settings → Secrets → Actions**。 获取免费的 API key → **[github.com/Moonsehwan/aina-vibeguard](https://github.com/Moonsehwan/aina-vibeguard)** 如果发现安全拦截项，PR 将自动判定为失败。 ## 实际发现 扫描了 **serena** (25K ⭐) — AI 编程助手： ``` CRITICAL COMMAND_INJECTION agent.py:1222 subprocess.Popen(cmd, shell=True) → any config file can execute arbitrary commands ``` 3秒内发现。被 Semgrep 漏报，被维护者忽略。 ## 输入 | 输入项 | 描述 | 默认值 | |-------|-------------|---------| | `api-key` | VibeGuard API key (**必填**) | — | | `scan-path` | 要扫描的文件或目录 | `.` | | `fail-on-block` | 发现拦截项时使 PR 失败 | `true` | | `agent-friendly` | 包含修改前后代码的 JSON+Markdown | `false` | | `max-files` | 每次运行的 Python 文件数上限 | `200` | ## 输出 | 输出项 | 描述 | |--------|-------------| | `blocks` | 发现安全拦截项则为 `1`，无则安全则为 `0` | ## 示例 ### 在出现安全问题时拦截 PR ``` - uses: Moonsehwan/aina-vibeguard-action@v1 with: api-key: ${{ secrets.VIBEGUARD_KEY }} fail-on-block: 'true' ``` ### Agent 友好型输出（使用 Claude Code 自动修复） ``` - uses: Moonsehwan/aina-vibeguard-action@v1 with: api-key: ${{ secrets.VIBEGUARD_KEY }} agent-friendly: 'true' ``` ### 扫描特定目录 ``` - uses: Moonsehwan/aina-vibeguard-action@v1 with: api-key: ${{ secrets.VIBEGUARD_KEY }} scan-path: 'src/' ``` ### 仅警告模式（非阻塞） ``` - uses: Moonsehwan/aina-vibeguard-action@v1 with: api-key: ${{ secrets.VIBEGUARD_KEY }} fail-on-block: 'false' ``` ## 检测内容 13 种安全模式，包括 `COMMAND_INJECTION`、`PATH_TRAVERSAL`、`SQL_INJECTION_RISK`、`INSECURE_RANDOM`、`WEAK_CRYPTO`、`HARDCODED_SECRET`、`EVAL_EXEC_RISK` 等。 完整模式列表 → [aina-vibeguard](https://github.com/Moonsehwan/aina-vibeguard) ## 定价 | | 免费版 | 专业版 (Pro) | 高级版 (Premium) | |--|------|-----|------| | 价格 | $0 | $19/月 早鸟价 | $99/月 早鸟价 | | 文件/天 | 50 | 无限制 | 无限制 | | 因果攻击链 | ❌ | ✅ | ✅ | | 项目扫描 | ❌ | ❌ | ✅ | ## 联系方式 - 问题：[github.com/Moonsehwan/aina-vibeguard/issues](https://github.com/Moonsehwan/aina-vibeguard/issues) - 邮箱：Aina.vibeguard@gmail.com MIT License

标签：AI代码安全, CISA项目, DevSecOps, GitHub Action, 上游代理, 自动化payload嵌入, 逆向工具, 静态代码扫描