一个前端可访问的代码审计工作台,支持从 GitHub 发现候选开源 Web CMS,或直接导入本地仓库,再通过规则层与大模型复核生成可下载的 HTML 报告。
- 批量发现候选开源 CMS 项目,并手动筛选审计目标
- 对选中目标生成本地审计镜像,减少直接在线分析带来的不稳定性
- 结合规则层与 LLM 复核,输出更清晰的审计说明
- 通过前端完成连接配置、任务发起、进度跟踪、结果查看和报告下载
-
GitHub 候选发现 按 CMS 相关查询批量发现候选项目,支持分页选择要审计的目标。
-
本地镜像审计 对选中目标先下载审计镜像,再执行规则层分析与大模型复核。
-
审计 Skill 内置访问控制、初始化与配置、上传与存储、查询与注入、敏感信息等防御性审计能力。
-
HTML 报告导出 输出结构化、可下载、适合留档的 HTML 审计报告。
-
环境自检 前端可配置主流 LLM API 与 GitHub Token,并在页面中直接测试连接。
-
项目记忆 保存常用查询、阈值和团队规则,减少重复配置。
- 在前端配置 LLM 提供商、模型、API Key 和 GitHub Token
- 通过 GitHub 模式发现候选项目,或直接导入本地仓库
- 手动选择需要审计的目标
- 系统生成本地审计镜像
- 执行规则层分析与 LLM 复核
- 下载最终 HTML 报告
-
server.jsHTTP 服务、任务编排、环境自检与报告输出入口 -
public/前端页面、交互逻辑、样式与进度展示 -
src/agents/候选发现、本地导入、审计分析三个核心智能体 -
src/services/LLM 复核、报告生成、记忆存储、设置存储等服务 -
src/config/模型提供商配置与审计 Skill 配置 -
src/store/任务状态存储
node server.js启动后访问:
Windows 一键启动:
.\launch.cmd或:
.\launch.ps1- GitHub 模式不会在“候选发现”阶段直接调用大模型
- 只有在你选中目标并开始审计后,系统才会下载本地审计镜像并进入 LLM 复核
- 页面会实时展示镜像下载进度与 LLM 复核进度
- 结果输出偏向防御性代码审计说明,不包含攻击载荷或利用链细节
仓库默认不提交本地运行产物、缓存、下载样本、报告文件和本地密钥配置。