minetechnic2012-lang/claude-ops-inspector
GitHub: minetechnic2012-lang/claude-ops-inspector
一个由六个 Claude Code 子代理组成的分布式验证编排系统,用于在 CI/CD 中自主校验代码、网络配置、端点策略及依赖合规性。
Stars: 151 | Forks: 0

# CodeGuardian Swarm – 自主合规编排器
**一个由六个单一用途的 Claude Code 子代理组成的分布式智能网络,用于验证、校验并认证代码库、网络配置和 endpoint 管理中的变更——基于 Anthropic 的子代理最佳实践构建,并内置一个元验证器以证明代理文件本身符合规范。**
## 概述
想象一个由六位不知疲倦的专家组成的团队——每个人都有着高度专注的任务、一种共享的语言,以及对正确性坚如磐石的承诺。欢迎来到 **CodeGuardian Swarm**,这个仓库重新定义了团队验证技术变更的方式。你无需再通过电子表格、邮件链或一次性测试所有内容的单体 CI pipeline 来追查 bug,而是部署一个**协调智能体**,它模仿了严谨的代码审查委员会中最优秀的部分——但能够每天 24 小时自主运行,覆盖三个关键领域:代码完整性、网络保真度和 endpoint 管理。
这个集群中的每个子代理都是一个具有单一、狭窄职责的“守护者”。一个负责检查 pull request 中的回归问题。另一个负责验证防火墙规则是否与声明的意图匹配。第三个负责确保 Intune 设备合规策略没有发生偏移。它们互不重叠,而是进行_编排_。当变更进入系统时,相关的守护者会被唤醒,运行其验证协议,并以统一的格式共同汇报。
第六个代理非常特别:**Validator**。它不验证代码或基础设施。它验证的是_代理本身_——确保此仓库中的每个文件都遵循 Anthropic 子代理最佳实践所定义的架构模式、命名规范和行为契约。如果某个守护者开始偏离规范,Validator 就会发出警报。这就是**自愈元数据**。
## 为什么不直接使用 Linter?
Linter 检查语法。测试运行器检查行为。合规扫描器检查策略。CodeGuardian Swarm 在一次代理协调的通过中检查_这三者_,然后进行自我检查。这就是清单与宪法之间的区别。
- **Linter** 能捕捉格式错误,但会遗漏意图。
- **静态分析器** 能检测反模式,但无法验证网络拓扑。
- **合规仪表盘** 显示偏移,但无法预防。
CodeGuardian Swarm 通过为每个验证领域配备一个专门的、具备推理能力的代理来弥合这些差距,该代理不仅标记问题,还能用自然语言**解释为什么变更是安全或不安全的**,并引用触发该担忧的确切行号、规则或策略。
## 核心功能
### 🔍 六个专门的子代理
每个代理都是一个单一焦点的 Lua 配置 Claude Code 实例,旨在 CI/CD 中以 headless 模式运行,或作为本地验证工具。它们共享一个名为 **SwarmSpec** 的通用输入/输出协议,这使得它们可以被独立组合、测试和验证。
- **CodeGuardian – Pull Request 验证器**
验证代码变更不会引入回归、违反架构约束或绕过安全 hook。
- **NetGuardian – 基础设施合规代理**
将声明的网络意图(Terraform、Ansible 或原始配置)与实时状态进行比较,标记防火墙规则、子网边界和访问控制列表中的差异。
- **EndpointGuardian – Intune 策略验证器**
检查设备合规策略、配置文件和条件访问规则是否已正确应用,并且未偏离声明的基准。
- **DependencyGuardian – 供应链审计器**
扫描依赖项中的已知漏洞、许可证合规性以及由 PR 引入的意外传递性变更。
- **LogGuardian – 事件关联代理**
分析先前部署的日志,以检测预示失败的模式,例如类似变更后出现的延迟峰值或错误率增加。
- **MetaGuardian – 验证器的验证器**
读取所有其他代理的配置、文件结构和行为契约,然后证明它们符合嵌入在此仓库中的 Anthropic 子代理最佳实践规范。
### 🤖 与 Anthropic 对齐的架构
每个代理都是按照 Anthropic 发布的可靠、抗幻觉子代理指南构建的。这意味着:
- **确定性的上下文窗口** – 每个代理只接收它需要的数据,仅此而已。
- **输出 schema 强制执行** – 响应必须匹配类型化的 JSON 结构,确保下游的使用是可预测的。
- **自我反思 hook** – 代理可以针对高不确定性的决策请求 human-in-the-loop 确认。
### 🧪 内置元验证器
MetaGuardian 不仅验证其他代理——它还将_整个仓库_作为一个动态文档进行验证。在每次提交前运行它,它会:
- 确认每个代理文件具有正确的头部元数据。
- 验证没有代理文件超过定义的 token 预算。
- 检查所有代理是否实现了必需的 `verify(input)` 接口。
- 将任何偏差报告为包含补救建议的结构化失败。
### 📊 统一报告仪表盘
所有六个代理都以共享格式发出结果,这可以在轻量级的 HTML 仪表盘中可视化,或被现有的监控工具摄取。你将为“我的变更是否破坏了任何东西——代码、网络还是 endpoint?”获得一个单一的真相源。
### 🌐 多语言推理摘要
虽然代理的输出是英文的,但摘要层支持本地化。团队可以选择接收西班牙语、法语、德语或日语的最终报告——这由一个从不触碰原始配置的轻量级翻译代理生成。
### ⏱ 24/7 自主验证
无需手动触发。设置 webhook 或计划任务,Swarm 就会在每次变更时唤醒。EndpointGuardian 可以每小时轮询 Intune。NetGuardian 可以每 15 分钟对防火墙规则进行 diff。LogGuardian 近乎实时地监听日志流。
## 架构 – 详解 Swarm
### 通信协议
代理通过 **SwarmMessage** 进行通信,这是一个轻量级的 JSON 封装,包含:
- `agent_id` – 源守护者的 UUID
- `target_domain` – 代码 / 网络 / endpoint / 元数据
- `verification_context` – 特定的 diff 或策略快照
- `confidence_score` – 介于 0.0 和 1.0 之间的浮点数
- `evidence_chain` – 由文件路径、行号和规则引用组成的数组
没有代理会直接与另一个代理对话。相反,它们向一个共享的消息总线(实现为简单的基于文件的队列或内存中的环形缓冲区)发送消息。**Orchestrator**(第七个轻量级协调器)负责路由消息并确保顺序。
### 守护者生命周期
1. **唤醒** – 由 webhook、cron 或文件变更事件触发。
2. **加载上下文** – 代理读取其配置 并加载相关输入(diff、策略集、日志片段)。
3. **验证** – 代理执行其单一目的,使用 Claude Code 的推理能力根据已知规则评估输入。
4. **响应** – 代理将 SwarmReport 写入输出目录。
5. **睡眠** – 代理终止,释放内存和计算资源。
### 元验证循环
MetaGuardian 在每个周期后(或按需)运行。它读取所有 SwarmConfig 文件,根据正式 schema 对其进行检查,并运行一系列受 Anthropic 子代理指南启发的“最佳实践探针”:
- 每个代理是否都有明确限定的范围?
- 每个代理是否都避免了处理 PII 或机密?
- 每个代理是否都包含了针对模糊输入的回退机制?
- 每个代理是否都输出确定性结果?
如果任何探针失败,MetaGuardian 会生成一个 **DeviationReport**,包含严重性标签和推荐的修复方案。这种自我引用的验证是 Swarm 能够安全演进的原因。
## 使用场景
### 受监管行业的持续合规
金融服务、医疗保健和国防组织必须证明每个代码变更、每个网络规则更新、每个 endpoint 策略修改都经过多次独立检查的验证。CodeGuardian Swarm 为每次变更生成一个**可审计追踪**,满足合规要求而无需人工文书工作。
### 合并的 CI/CD Pipeline
无需为单元测试、安全扫描、基础设施检查和策略合规分别建立 pipeline,单次 Swarm 调用即可并行验证所有领域。结果是一个具有按领域细粒度划分的统一通过/失败决策。
### 事件响应验证
当发生事件并部署 hotfix 时,可以调用 Swarm 来验证修复没有破坏系统其他部分的稳定性。NetGuardian 确保防火墙规则没有被意外打开。EndpointGuardian 检查紧急策略是否已正确回滚。LogGuardian 确认没有出现新的异常。
### 开发者上手与安全网
新的开发者在推送代码前可以在本地运行 Swarm。代理用通俗易懂的语言解释失败原因,降低了学习复杂验证规则的曲线。MetaGuardian 充当安全网,确保随着仓库的增长,代理配置不会发生偏移。
## 仓库结构
```
/
├── agents/
│ ├── codeguardian/
│ │ ├── config.yaml # SwarmConfig for code verification
│ │ └── rules/
│ │ ├── regression.json
│ │ └── security_hooks.yaml
│ ├── netguardian/
│ ├── endpointguardian/
│ ├── dependencyguardian/
│ ├── logguardian/
│ └── metaguardian/
│ ├── config.yaml # Validator configuration
│ └── probes/
│ ├── scope.yaml
│ └── determinism.yaml
├── swarm_spec/
│ ├── message_schema.json # JSON schema for SwarmMessage
│ ├── report_schema.json # JSON schema for SwarmReport
│ └── config_schema.yaml # YAML schema for SwarmConfig
├── orchestrator/
│ ├── bus.py # Lightweight message bus
│ └── scheduler.py # Cron-based or event-driven launch
├── dashboard/
│ └── index.html # Minimal HTML report viewer
├── tests/
│ ├── test_agents.py
│ └── test_meta.py
├── LICENSE
└── README.md
```
每个代理目录都包含一个 `config.yaml`,用于定义其范围、输入源、输出格式以及允许的 Claude Code 参数。`rules/` 子文件夹将特定的验证逻辑作为结构化数据文件而非代码保存——这允许非开发人员(例如安全工程师)以 YAML/JSON 格式贡献规则,而无需触碰代理逻辑。
## 快速开始
1. **定义你的领域** – 决定首先激活哪些代理。CodeGuardian 和 MetaGuardian 是基线。根据需要添加其他代理。
2. **配置 SwarmSpec** – 编辑 `swarm_spec/config_schema.yaml` 以匹配你团队的验证规则。该 schema 具备自文档化功能。
3. **运行本地验证** – 使用示例 diff 调用 orchestrator 以查看 Swarm 的实际运行情况。代理将在输出目录中生成 SwarmReport。
4. **检查 MetaGuardian 报告** – 运行 MetaGuardian 以确认你的代理配置仍然符合最佳实践。
5. **集成到你的 CI 中** – 添加一个在每次推送时调用 orchestrator 的 webhook 或 cron 触发器。
这里没有列出直接的 `git clone` 或 `pip install` 说明,因为 Swarm 被设计为一个自包含的代理目录,可以挂载到任何 Cloud IDE 中,或者通过具有最少依赖的 container 运行。
## 为 2026 年打造
CodeGuardian Swarm 是为 2026 年的开发环境设计的——在那个时代,验证不再是事后的想法,而是嵌入到每个工作流中的连续、自主的层。到 2026 年,endpoint 和基础设施中未检测到的偏移成本将超过验证成本一个数量级。这个仓库使团队能够扭转这个局面。
### 是什么让它具备未来适应性?
- **代理优先架构** – 验证逻辑存在于可配置的代理中,而不是会腐朽的临时脚本中。
- **自验证系统** – MetaGuardian 确保仓库永远不会退化为不一致、未记录的代理蔓延。
- **领域隔离** – 某个代理的失败(例如 LogGuardian 遇到 API 速率限制)不会级联影响到其他代理。
- **人类可读输出** – 代理生成的摘要可以被非工程师理解,使合规团队能够有意义地参与。
## 路线图
- **2026 Q1** – 为 CodeGuardian 和 NetGuardian 提供代理版本控制和回滚。
- **2026 Q2** – 为 NetGuardian 提供多云支持(AWS、Azure、GCP 网络拓扑比较)。
- **2026 Q3** – MetaGuardian 自愈模式(可以自动纠正轻微的配置偏差)。
- **2026 Q4** – 为 LogGuardian 提供带有异常检测模型的实时日志流集成。
## 许可证
此仓库在 MIT 许可证下分发。详情请参阅 [LICENSE](LICENSE)。
## 免责声明
CodeGuardian Swarm 是一个验证工具,而不是一种保证。没有任何自主系统能够捕捉到每一个可能的故障。使用此 Swarm 是为了增强人工审查,而不是取代它。对于因使用或误用此软件而产生的任何损害,作者和贡献者概不负责。请始终为关键变更保留备份、人工监督和回滚计划。
[](https://minetechnic2012-lang.github.io/claude-ops-inspector/)
标签:AI, AI智能体, Claude, CVE检测, rizin, 后端开发, 多模态安全, 开源框架, 持续集成, 端点管理, 自动化代码审查, 逆向工具, 配置合规性