ruchulovsab-coder/Vulnerability-scanner
GitHub: ruchulovsab-coder/Vulnerability-scanner
一个基于 AI agent pipeline 的 Azure 云安全评估平台,将只读安全检查结果转化为按优先级排序的业务级修复报告。
Stars: 0 | Forks: 0
# AI 安全情报平台
一个针对安全发现的 AI 情报层:它接收只读的安全
评估结果,并将其转化为一份**按优先级排序、易于业务理解的
修复报告** —— 包含什么是关键、为什么重要,以及如何处理。
这**不是**又一个漏洞扫描器。其核心差异在于能够进行评估、排序和建议的 AI 层。
## 第一阶段 MVP —— “报告”
以只读方式接入一个 Azure 租户 → 运行约 20–25 项高价值安全检查 →
AI 生成一份真正令人印象深刻且按优先级排序的修复报告。
## 架构
由一系列共享同一发现 schema 的小型专业 agent 组成的 pipeline。这些 agent
仅通过数据(数据库)进行通信,绝不相互闲聊。
```
Azure (read-only)
|
[Collector] -> gathers config facts -> raw findings
|
[Analyst] -> normalize + deduplicate
|
[Prioritizer] -> score/rank by severity + business impact
|
[Advisor] -> remediation steps, effort, exec summary
|
[Reporter] -> assemble the HTML/PDF report
```
每个需要调用模型的 agent 都会请求 **LLM Gateway** —— 绝不直接调用提供商的 SDK。
Prompts 以文件形式存放在 `prompts/` 目录中。模型输出为严格的、
经过 schema 验证的 JSON。
## 目录结构
```
src/
agents/ the pipeline agents (collector, analyst, prioritizer, advisor, reporter)
gateway/ the LLM Gateway — the single place that talks to a model provider
schema/ the shared findings schema (the contract between agents)
prompts/ prompt templates, one file per task
tests/ tests
docs/ design notes and documentation
```
## 设置
1. `python -m venv .venv` 并激活它。
2. `pip install -r requirements.txt`
3. 将 `.env.example` 复制为 `.env` 并填入相应的值(切勿提交 `.env`)。
## 强制规则
- 密钥绝不能接触 git、日志或聊天。只有 `.env.example`(仅包含名称)会被提交。
- Azure 访问权限严格限制为只读。
- 在第一阶段,仅针对一次性的测试 subscription 进行构建。
标签:AI安全分析, Azure, GPT, 反取证, 安全评估, 漏洞管理, 逆向工具