开源 AI GitHub 仓库安全扫描 Demo。 发到网络安全板块想听听各位大佬的意见,并求打赏⭐。
https://github.com/csupenn/topflow
说明:👉 目前只是 demo,主要在验证 AI Security Platform 架构和方向。
这个 Demo 可以:
- 30 秒内检查一个 repo 的基础安全配置 ( Secret Scanning / 漏洞告警 / 分支保护等)
- 用 LLM 给安全改进建议
- 生成可分享的安全报告
Demo / 源码 ⭐
- Demo: https://topflow.dev/builder?template=github-security-scanner
- 👉 GitHub (⭐ 欢迎 Star ): https://github.com/csupenn/topflow
安全实现(已落地)
- 不存 PII ,仅浏览器端 localStorage (架构上规避合规问题)
- SSRF 防护( URL 校验 + 私有 IP / metadata 拦截)
- 限流( IP 级,Redis )
- 输入递归清洗 + Zod 校验
- 纵深防御思路,而不是单点防护
希望验证的核心方向
不是把扫描器做大,而是:
把安全能力拆成 Node ,让用户自己“搭”安全工具
可以理解为:可组合 / 可定制 / 可部署
这个 AI GitHub 仓库安全扫描 只是一个示例 workflow 。
一个现实的演进路
- OSV / npm audit / pip-audit / govulncheck → 独立 Scanner Nodes
- GitHub workflow 自动识别语言,走真实漏洞数据
- 用户可加 Slack / JIRA / CI gate 等节点
想请教各位大佬
- 这种 Node + Workflow 的安全工具形态,有没有明显不成立的地方?
目前尚无回复
Select Language