SiteQ8/Kashif

GitHub: SiteQ8/Kashif

一款零遥测的纯客户端敏感数据泄露扫描器,通过 35+ 种签名模式与熵分析帮助开发者在凭据外泄之前及时发现并修复。

Stars: 1 | Forks: 0

# 🔦 Kashif · كاشف **客户端密钥与敏感数据泄露扫描器** *在你泄露的凭据被他人发现之前,自己先找到它。* [![在线工具](https://img.shields.io/badge/LIVE-siteq8.github.io%2FKashif-FFB454?style=for-the-badge)](https://siteq8.github.io/Kashif/) ![License](https://img.shields.io/badge/license-MIT-4BD6A0?style=for-the-badge) ![Privacy](https://img.shields.io/badge/telemetry-ZERO-FF5C5C?style=for-the-badge)
## 为什么开发 Kashif 每次安全事件的事后分析都有同样的一段话:*某个凭据在代码库、日志、粘贴板或聊天中被泄露了。* 密钥泄露无处不在——在 commit diff、CI 日志、`.env` 文件、Slack 导出记录、支持工单,甚至发给 AI 助手的消息中。大多数人只有在加密货币矿工利用了这些密钥之后才如梦初醒。 **Kashif**(阿拉伯语意为:*揭示者*)是一款免安装、零遥测的扫描器,你可以将它交给任何开发者、分析师或审计员。粘贴任何内容。几秒钟内即可获得泄露报告。**任何数据都不会离开浏览器。** ## ✨ 功能 | 功能 | 详情 | |---|---| | 🔑 **35+ 种签名模式** | AWS、GitHub、GitLab、Anthropic、OpenAI、Stripe、Slack、Google、Azure、Twilio、SendGrid、npm、PyPI、Hugging Face、Telegram、Shopify、DigitalOcean、JWT、私钥块、数据库连接字符串等 | | 🧮 **Shannon 熵引擎** | 捕获*未知的*密钥格式——看起来像机器生成的高熵字符串 | | 💳 **Luhn 校验** | 带有校验和验证的支付卡检测(标记 PCI DSS 相关性) | | 🌍 **海湾地区 PII** | 科威特及海湾合作委员会 (GCC) 的 IBAN 检测、内部 IP 泄露检测、包含 GDPR/DPPR 背景的邮件 PII 检测 | | ✦ **AI 优先级分类(可选)** | 自带 Anthropic API 密钥——获取爆炸半径分析及针对每个发现项的轮换步骤。**仅发送掩码处理后的值,绝不发送原始密钥** | | 📊 **严重性评分** | 从 CRITICAL 到 INFO,提供针对每个发现项的修复指导 | | 📄 **导出** | 一键导出 Markdown 或 JSON 泄露报告(所有值均已掩码处理) | | 📁 **多文件** | 支持拖放整个配置目录、日志、diff | | 🔒 **100% 客户端** | 单个 HTML 文件。无后端。无分析工具。可一次性审计阅读 | ## 🚀 使用方法 **在线版:** https://siteq8.github.io/Kashif/ **本地 / 物理隔离环境:** 下载 `index.html`,打开它。就这样——完全离线工作(字体会自动优雅降级)。 ``` git clone https://github.com/SiteQ8/Kashif.git && open Kashif/index.html ``` ## 🧭 适用场景 - 推送代码前的 pre-commit 检查 - 审查你接手的代码库 - 审计 CI/CD 日志和流水线输出 - 在分享聊天记录/工单/粘贴内容**之前**进行检查 - 应急响应:排查泄露文件实际包含的内容 - 安全意识演示——内置的 **DEMO SAMPLE** 开箱即可用于培训 ## ⚠️ 如果 Kashif 发现了真实密钥 1. **先撤销,后调查。** 假设它在暴露的那一刻就已经被复制了。 2. 轮换凭据并审计其使用日志(CloudTrail、GitHub 安全日志、提供商仪表盘)。 3. 从 git 历史记录中将其清除(`git filter-repo` / BFG)——仅仅删除文件是不够的。 4. 解决根本原因:使用密钥管理器 + pre-commit 钩子 + 遵循最小权限原则且设置有效期的 scoped token。 ## 🛡️ 隐私模型 扫描是纯浏览器端的 JavaScript 执行——**零网络调用**。唯一可选的网络调用是 AI 优先级分类,它使用*你的*密钥直接从*你的*浏览器发送至 `api.anthropic.com`,仅携带密钥**类型**、位置以及**掩码处理后的**上下文行。你的密钥仅存在于页面内存中,永远不会被持久化保存。
标签:StruQ, 信息泄露检测, 前端工具, 后端开发, 多模态安全, 敏感信息扫描, 数据可视化, 熵分析