SiteQ8/Kashif
GitHub: SiteQ8/Kashif
一款零遥测的纯客户端敏感数据泄露扫描器,通过 35+ 种签名模式与熵分析帮助开发者在凭据外泄之前及时发现并修复。
Stars: 1 | Forks: 0
# 🔦 Kashif · كاشف
**客户端密钥与敏感数据泄露扫描器**
*在你泄露的凭据被他人发现之前,自己先找到它。*
[](https://siteq8.github.io/Kashif/)


## 为什么开发 Kashif
每次安全事件的事后分析都有同样的一段话:*某个凭据在代码库、日志、粘贴板或聊天中被泄露了。* 密钥泄露无处不在——在 commit diff、CI 日志、`.env` 文件、Slack 导出记录、支持工单,甚至发给 AI 助手的消息中。大多数人只有在加密货币矿工利用了这些密钥之后才如梦初醒。
**Kashif**(阿拉伯语意为:*揭示者*)是一款免安装、零遥测的扫描器,你可以将它交给任何开发者、分析师或审计员。粘贴任何内容。几秒钟内即可获得泄露报告。**任何数据都不会离开浏览器。**
## ✨ 功能
| 功能 | 详情 |
|---|---|
| 🔑 **35+ 种签名模式** | AWS、GitHub、GitLab、Anthropic、OpenAI、Stripe、Slack、Google、Azure、Twilio、SendGrid、npm、PyPI、Hugging Face、Telegram、Shopify、DigitalOcean、JWT、私钥块、数据库连接字符串等 |
| 🧮 **Shannon 熵引擎** | 捕获*未知的*密钥格式——看起来像机器生成的高熵字符串 |
| 💳 **Luhn 校验** | 带有校验和验证的支付卡检测(标记 PCI DSS 相关性) |
| 🌍 **海湾地区 PII** | 科威特及海湾合作委员会 (GCC) 的 IBAN 检测、内部 IP 泄露检测、包含 GDPR/DPPR 背景的邮件 PII 检测 |
| ✦ **AI 优先级分类(可选)** | 自带 Anthropic API 密钥——获取爆炸半径分析及针对每个发现项的轮换步骤。**仅发送掩码处理后的值,绝不发送原始密钥** |
| 📊 **严重性评分** | 从 CRITICAL 到 INFO,提供针对每个发现项的修复指导 |
| 📄 **导出** | 一键导出 Markdown 或 JSON 泄露报告(所有值均已掩码处理) |
| 📁 **多文件** | 支持拖放整个配置目录、日志、diff |
| 🔒 **100% 客户端** | 单个 HTML 文件。无后端。无分析工具。可一次性审计阅读 |
## 🚀 使用方法
**在线版:** https://siteq8.github.io/Kashif/
**本地 / 物理隔离环境:** 下载 `index.html`,打开它。就这样——完全离线工作(字体会自动优雅降级)。
```
git clone https://github.com/SiteQ8/Kashif.git && open Kashif/index.html
```
## 🧭 适用场景
- 推送代码前的 pre-commit 检查
- 审查你接手的代码库
- 审计 CI/CD 日志和流水线输出
- 在分享聊天记录/工单/粘贴内容**之前**进行检查
- 应急响应:排查泄露文件实际包含的内容
- 安全意识演示——内置的 **DEMO SAMPLE** 开箱即可用于培训
## ⚠️ 如果 Kashif 发现了真实密钥
1. **先撤销,后调查。** 假设它在暴露的那一刻就已经被复制了。
2. 轮换凭据并审计其使用日志(CloudTrail、GitHub 安全日志、提供商仪表盘)。
3. 从 git 历史记录中将其清除(`git filter-repo` / BFG)——仅仅删除文件是不够的。
4. 解决根本原因:使用密钥管理器 + pre-commit 钩子 + 遵循最小权限原则且设置有效期的 scoped token。
## 🛡️ 隐私模型
扫描是纯浏览器端的 JavaScript 执行——**零网络调用**。唯一可选的网络调用是 AI 优先级分类,它使用*你的*密钥直接从*你的*浏览器发送至 `api.anthropic.com`,仅携带密钥**类型**、位置以及**掩码处理后的**上下文行。你的密钥仅存在于页面内存中,永远不会被持久化保存。标签:StruQ, 信息泄露检测, 前端工具, 后端开发, 多模态安全, 敏感信息扫描, 数据可视化, 熵分析