ruchulovsab-coder/Vulnerability-scanner

GitHub: ruchulovsab-coder/Vulnerability-scanner

一个基于 AI agent pipeline 的 Azure 云安全评估平台,将只读安全检查结果转化为按优先级排序的业务级修复报告。

Stars: 0 | Forks: 0

# AI 安全情报平台 一个针对安全发现的 AI 情报层:它接收只读的安全 评估结果,并将其转化为一份**按优先级排序、易于业务理解的 修复报告** —— 包含什么是关键、为什么重要,以及如何处理。 这**不是**又一个漏洞扫描器。其核心差异在于能够进行评估、排序和建议的 AI 层。 ## 第一阶段 MVP —— “报告” 以只读方式接入一个 Azure 租户 → 运行约 20–25 项高价值安全检查 → AI 生成一份真正令人印象深刻且按优先级排序的修复报告。 ## 架构 由一系列共享同一发现 schema 的小型专业 agent 组成的 pipeline。这些 agent 仅通过数据(数据库)进行通信,绝不相互闲聊。 ``` Azure (read-only) | [Collector] -> gathers config facts -> raw findings | [Analyst] -> normalize + deduplicate | [Prioritizer] -> score/rank by severity + business impact | [Advisor] -> remediation steps, effort, exec summary | [Reporter] -> assemble the HTML/PDF report ``` 每个需要调用模型的 agent 都会请求 **LLM Gateway** —— 绝不直接调用提供商的 SDK。 Prompts 以文件形式存放在 `prompts/` 目录中。模型输出为严格的、 经过 schema 验证的 JSON。 ## 目录结构 ``` src/ agents/ the pipeline agents (collector, analyst, prioritizer, advisor, reporter) gateway/ the LLM Gateway — the single place that talks to a model provider schema/ the shared findings schema (the contract between agents) prompts/ prompt templates, one file per task tests/ tests docs/ design notes and documentation ``` ## 设置 1. `python -m venv .venv` 并激活它。 2. `pip install -r requirements.txt` 3. 将 `.env.example` 复制为 `.env` 并填入相应的值(切勿提交 `.env`)。 ## 强制规则 - 密钥绝不能接触 git、日志或聊天。只有 `.env.example`(仅包含名称)会被提交。 - Azure 访问权限严格限制为只读。 - 在第一阶段,仅针对一次性的测试 subscription 进行构建。
标签:AI安全分析, Azure, GPT, 反取证, 安全评估, 漏洞管理, 逆向工具