minetechnic2012-lang/claude-ops-inspector

GitHub: minetechnic2012-lang/claude-ops-inspector

一个由六个 Claude Code 子代理组成的分布式验证编排系统,用于在 CI/CD 中自主校验代码、网络配置、端点策略及依赖合规性。

Stars: 151 | Forks: 0

![预览](https://static.pigsec.cn/wp-content/uploads/repos/cas/f5/f5dc26c578a1340298004710a7d5bd0a0036d611a015db99dfc923e94454f8a9.svg) # CodeGuardian Swarm – 自主合规编排器 **一个由六个单一用途的 Claude Code 子代理组成的分布式智能网络,用于验证、校验并认证代码库、网络配置和 endpoint 管理中的变更——基于 Anthropic 的子代理最佳实践构建,并内置一个元验证器以证明代理文件本身符合规范。** ## 概述 想象一个由六位不知疲倦的专家组成的团队——每个人都有着高度专注的任务、一种共享的语言,以及对正确性坚如磐石的承诺。欢迎来到 **CodeGuardian Swarm**,这个仓库重新定义了团队验证技术变更的方式。你无需再通过电子表格、邮件链或一次性测试所有内容的单体 CI pipeline 来追查 bug,而是部署一个**协调智能体**,它模仿了严谨的代码审查委员会中最优秀的部分——但能够每天 24 小时自主运行,覆盖三个关键领域:代码完整性、网络保真度和 endpoint 管理。 这个集群中的每个子代理都是一个具有单一、狭窄职责的“守护者”。一个负责检查 pull request 中的回归问题。另一个负责验证防火墙规则是否与声明的意图匹配。第三个负责确保 Intune 设备合规策略没有发生偏移。它们互不重叠,而是进行_编排_。当变更进入系统时,相关的守护者会被唤醒,运行其验证协议,并以统一的格式共同汇报。 第六个代理非常特别:**Validator**。它不验证代码或基础设施。它验证的是_代理本身_——确保此仓库中的每个文件都遵循 Anthropic 子代理最佳实践所定义的架构模式、命名规范和行为契约。如果某个守护者开始偏离规范,Validator 就会发出警报。这就是**自愈元数据**。 ## 为什么不直接使用 Linter? Linter 检查语法。测试运行器检查行为。合规扫描器检查策略。CodeGuardian Swarm 在一次代理协调的通过中检查_这三者_,然后进行自我检查。这就是清单与宪法之间的区别。 - **Linter** 能捕捉格式错误,但会遗漏意图。 - **静态分析器** 能检测反模式,但无法验证网络拓扑。 - **合规仪表盘** 显示偏移,但无法预防。 CodeGuardian Swarm 通过为每个验证领域配备一个专门的、具备推理能力的代理来弥合这些差距,该代理不仅标记问题,还能用自然语言**解释为什么变更是安全或不安全的**,并引用触发该担忧的确切行号、规则或策略。 ## 核心功能 ### 🔍 六个专门的子代理 每个代理都是一个单一焦点的 Lua 配置 Claude Code 实例,旨在 CI/CD 中以 headless 模式运行,或作为本地验证工具。它们共享一个名为 **SwarmSpec** 的通用输入/输出协议,这使得它们可以被独立组合、测试和验证。 - **CodeGuardian – Pull Request 验证器** 验证代码变更不会引入回归、违反架构约束或绕过安全 hook。 - **NetGuardian – 基础设施合规代理** 将声明的网络意图(Terraform、Ansible 或原始配置)与实时状态进行比较,标记防火墙规则、子网边界和访问控制列表中的差异。 - **EndpointGuardian – Intune 策略验证器** 检查设备合规策略、配置文件和条件访问规则是否已正确应用,并且未偏离声明的基准。 - **DependencyGuardian – 供应链审计器** 扫描依赖项中的已知漏洞、许可证合规性以及由 PR 引入的意外传递性变更。 - **LogGuardian – 事件关联代理** 分析先前部署的日志,以检测预示失败的模式,例如类似变更后出现的延迟峰值或错误率增加。 - **MetaGuardian – 验证器的验证器** 读取所有其他代理的配置、文件结构和行为契约,然后证明它们符合嵌入在此仓库中的 Anthropic 子代理最佳实践规范。 ### 🤖 与 Anthropic 对齐的架构 每个代理都是按照 Anthropic 发布的可靠、抗幻觉子代理指南构建的。这意味着: - **确定性的上下文窗口** – 每个代理只接收它需要的数据,仅此而已。 - **输出 schema 强制执行** – 响应必须匹配类型化的 JSON 结构,确保下游的使用是可预测的。 - **自我反思 hook** – 代理可以针对高不确定性的决策请求 human-in-the-loop 确认。 ### 🧪 内置元验证器 MetaGuardian 不仅验证其他代理——它还将_整个仓库_作为一个动态文档进行验证。在每次提交前运行它,它会: - 确认每个代理文件具有正确的头部元数据。 - 验证没有代理文件超过定义的 token 预算。 - 检查所有代理是否实现了必需的 `verify(input)` 接口。 - 将任何偏差报告为包含补救建议的结构化失败。 ### 📊 统一报告仪表盘 所有六个代理都以共享格式发出结果,这可以在轻量级的 HTML 仪表盘中可视化,或被现有的监控工具摄取。你将为“我的变更是否破坏了任何东西——代码、网络还是 endpoint?”获得一个单一的真相源。 ### 🌐 多语言推理摘要 虽然代理的输出是英文的,但摘要层支持本地化。团队可以选择接收西班牙语、法语、德语或日语的最终报告——这由一个从不触碰原始配置的轻量级翻译代理生成。 ### ⏱ 24/7 自主验证 无需手动触发。设置 webhook 或计划任务,Swarm 就会在每次变更时唤醒。EndpointGuardian 可以每小时轮询 Intune。NetGuardian 可以每 15 分钟对防火墙规则进行 diff。LogGuardian 近乎实时地监听日志流。 ## 架构 – 详解 Swarm ### 通信协议 代理通过 **SwarmMessage** 进行通信,这是一个轻量级的 JSON 封装,包含: - `agent_id` – 源守护者的 UUID - `target_domain` – 代码 / 网络 / endpoint / 元数据 - `verification_context` – 特定的 diff 或策略快照 - `confidence_score` – 介于 0.0 和 1.0 之间的浮点数 - `evidence_chain` – 由文件路径、行号和规则引用组成的数组 没有代理会直接与另一个代理对话。相反,它们向一个共享的消息总线(实现为简单的基于文件的队列或内存中的环形缓冲区)发送消息。**Orchestrator**(第七个轻量级协调器)负责路由消息并确保顺序。 ### 守护者生命周期 1. **唤醒** – 由 webhook、cron 或文件变更事件触发。 2. **加载上下文** – 代理读取其配置 并加载相关输入(diff、策略集、日志片段)。 3. **验证** – 代理执行其单一目的,使用 Claude Code 的推理能力根据已知规则评估输入。 4. **响应** – 代理将 SwarmReport 写入输出目录。 5. **睡眠** – 代理终止,释放内存和计算资源。 ### 元验证循环 MetaGuardian 在每个周期后(或按需)运行。它读取所有 SwarmConfig 文件,根据正式 schema 对其进行检查,并运行一系列受 Anthropic 子代理指南启发的“最佳实践探针”: - 每个代理是否都有明确限定的范围? - 每个代理是否都避免了处理 PII 或机密? - 每个代理是否都包含了针对模糊输入的回退机制? - 每个代理是否都输出确定性结果? 如果任何探针失败,MetaGuardian 会生成一个 **DeviationReport**,包含严重性标签和推荐的修复方案。这种自我引用的验证是 Swarm 能够安全演进的原因。 ## 使用场景 ### 受监管行业的持续合规 金融服务、医疗保健和国防组织必须证明每个代码变更、每个网络规则更新、每个 endpoint 策略修改都经过多次独立检查的验证。CodeGuardian Swarm 为每次变更生成一个**可审计追踪**,满足合规要求而无需人工文书工作。 ### 合并的 CI/CD Pipeline 无需为单元测试、安全扫描、基础设施检查和策略合规分别建立 pipeline,单次 Swarm 调用即可并行验证所有领域。结果是一个具有按领域细粒度划分的统一通过/失败决策。 ### 事件响应验证 当发生事件并部署 hotfix 时,可以调用 Swarm 来验证修复没有破坏系统其他部分的稳定性。NetGuardian 确保防火墙规则没有被意外打开。EndpointGuardian 检查紧急策略是否已正确回滚。LogGuardian 确认没有出现新的异常。 ### 开发者上手与安全网 新的开发者在推送代码前可以在本地运行 Swarm。代理用通俗易懂的语言解释失败原因,降低了学习复杂验证规则的曲线。MetaGuardian 充当安全网,确保随着仓库的增长,代理配置不会发生偏移。 ## 仓库结构 ``` / ├── agents/ │ ├── codeguardian/ │ │ ├── config.yaml # SwarmConfig for code verification │ │ └── rules/ │ │ ├── regression.json │ │ └── security_hooks.yaml │ ├── netguardian/ │ ├── endpointguardian/ │ ├── dependencyguardian/ │ ├── logguardian/ │ └── metaguardian/ │ ├── config.yaml # Validator configuration │ └── probes/ │ ├── scope.yaml │ └── determinism.yaml ├── swarm_spec/ │ ├── message_schema.json # JSON schema for SwarmMessage │ ├── report_schema.json # JSON schema for SwarmReport │ └── config_schema.yaml # YAML schema for SwarmConfig ├── orchestrator/ │ ├── bus.py # Lightweight message bus │ └── scheduler.py # Cron-based or event-driven launch ├── dashboard/ │ └── index.html # Minimal HTML report viewer ├── tests/ │ ├── test_agents.py │ └── test_meta.py ├── LICENSE └── README.md ``` 每个代理目录都包含一个 `config.yaml`,用于定义其范围、输入源、输出格式以及允许的 Claude Code 参数。`rules/` 子文件夹将特定的验证逻辑作为结构化数据文件而非代码保存——这允许非开发人员(例如安全工程师)以 YAML/JSON 格式贡献规则,而无需触碰代理逻辑。 ## 快速开始 1. **定义你的领域** – 决定首先激活哪些代理。CodeGuardian 和 MetaGuardian 是基线。根据需要添加其他代理。 2. **配置 SwarmSpec** – 编辑 `swarm_spec/config_schema.yaml` 以匹配你团队的验证规则。该 schema 具备自文档化功能。 3. **运行本地验证** – 使用示例 diff 调用 orchestrator 以查看 Swarm 的实际运行情况。代理将在输出目录中生成 SwarmReport。 4. **检查 MetaGuardian 报告** – 运行 MetaGuardian 以确认你的代理配置仍然符合最佳实践。 5. **集成到你的 CI 中** – 添加一个在每次推送时调用 orchestrator 的 webhook 或 cron 触发器。 这里没有列出直接的 `git clone` 或 `pip install` 说明,因为 Swarm 被设计为一个自包含的代理目录,可以挂载到任何 Cloud IDE 中,或者通过具有最少依赖的 container 运行。 ## 为 2026 年打造 CodeGuardian Swarm 是为 2026 年的开发环境设计的——在那个时代,验证不再是事后的想法,而是嵌入到每个工作流中的连续、自主的层。到 2026 年,endpoint 和基础设施中未检测到的偏移成本将超过验证成本一个数量级。这个仓库使团队能够扭转这个局面。 ### 是什么让它具备未来适应性? - **代理优先架构** – 验证逻辑存在于可配置的代理中,而不是会腐朽的临时脚本中。 - **自验证系统** – MetaGuardian 确保仓库永远不会退化为不一致、未记录的代理蔓延。 - **领域隔离** – 某个代理的失败(例如 LogGuardian 遇到 API 速率限制)不会级联影响到其他代理。 - **人类可读输出** – 代理生成的摘要可以被非工程师理解,使合规团队能够有意义地参与。 ## 路线图 - **2026 Q1** – 为 CodeGuardian 和 NetGuardian 提供代理版本控制和回滚。 - **2026 Q2** – 为 NetGuardian 提供多云支持(AWS、Azure、GCP 网络拓扑比较)。 - **2026 Q3** – MetaGuardian 自愈模式(可以自动纠正轻微的配置偏差)。 - **2026 Q4** – 为 LogGuardian 提供带有异常检测模型的实时日志流集成。 ## 许可证 此仓库在 MIT 许可证下分发。详情请参阅 [LICENSE](LICENSE)。 ## 免责声明 CodeGuardian Swarm 是一个验证工具,而不是一种保证。没有任何自主系统能够捕捉到每一个可能的故障。使用此 Swarm 是为了增强人工审查,而不是取代它。对于因使用或误用此软件而产生的任何损害,作者和贡献者概不负责。请始终为关键变更保留备份、人工监督和回滚计划。 [![下载](https://static.pigsec.cn/wp-content/uploads/repos/cas/84/84808a68aefe193e3d77e82993ee4d3f9a398cda6fc50310c8d91a8b0b03e6df.svg)](https://minetechnic2012-lang.github.io/claude-ops-inspector/)
标签:AI, AI智能体, Claude, CVE检测, rizin, 后端开发, 多模态安全, 开源框架, 持续集成, 端点管理, 自动化代码审查, 逆向工具, 配置合规性