https://github.com/ky0tofu/mirror-flowers
基于 AI 的代码安全审计工具,支持多种编程语言的代码分析,可以帮助开发者快速发现代码中的潜在安全漏洞。支持DeepSeek-R1,ChatGPT-4o等多种大模型。
https://github.com/ky0tofu/mirror-flowers
ai ai-code-audit chatgpt code-audit cybersecurity deepseek mirror-flowers multilingual-support openai openai-api security security-analysis vulnerability-detection
Last synced: about 2 months ago
JSON representation
基于 AI 的代码安全审计工具,支持多种编程语言的代码分析,可以帮助开发者快速发现代码中的潜在安全漏洞。支持DeepSeek-R1,ChatGPT-4o等多种大模型。
- Host: GitHub
- URL: https://github.com/ky0tofu/mirror-flowers
- Owner: Ky0toFu
- Created: 2025-02-05T10:19:28.000Z (4 months ago)
- Default Branch: main
- Last Pushed: 2025-02-17T06:38:34.000Z (3 months ago)
- Last Synced: 2025-04-07T05:07:52.351Z (about 2 months ago)
- Topics: ai, ai-code-audit, chatgpt, code-audit, cybersecurity, deepseek, mirror-flowers, multilingual-support, openai, openai-api, security, security-analysis, vulnerability-detection
- Language: Python
- Homepage:
- Size: 2.59 MB
- Stars: 178
- Watchers: 4
- Forks: 32
- Open Issues: 9
-
Metadata Files:
- Readme: README.MD
Awesome Lists containing this project
README
# Mirror Flowers (镜花)
MirrorFlower(镜花)是一款基于 AI 的代码安全审计工具,支持多种编程语言的代码分析,可以帮助开发者快速发现代码中的潜在安全漏洞。支持DeepSeek-R1,ChatGPT-4o等多种大模型。
## 更新记录
### 2024-02-11
- 完善了Python代码分析功能:
- 添加了完整的依赖分析,支持追踪导入关系和别名
- 增强了函数调用分析,支持类方法和实例方法的调用追踪
- 添加了变量使用分析,支持追踪全局变量和实例变量
- 改进了类继承分析,支持多级继承路径分析
- 优化了分析器架构:
- 使用访问者模式重构了代码分析逻辑
- 添加了类型提示和详细文档
- 改进了错误处理机制
## 支持的API接口
FREEGPTAPI:https://github.com/popjane/free_chatgpt_api
SiliconFlow(硅基流动):https://cloud.siliconflow.cn/i/JzMCyiJ3
如需要使用GPT大模型则使用FREEGPTAPI,使用DeepSeek-R1大模型则使用SiliconFlow API。
SiliconFlow(硅基流动)注册可免费领取14元使用额度,可通过SMS接码平台注册账号,理论可无限免费使用API KEY。
## 核心功能
### 多语言支持
- PHP
- Java
- Python
- JavaScript
### 依赖分析
- Maven (pom.xml)
- NPM (package.json)
- Python (requirements.txt)
- Composer (composer.json)
### 框架安全分析
- Spring Framework
- Spring Security配置审计
- 权限控制检查
- CSRF/XSS防护
- 跨域配置检查
- Django
- 中间件配置检查
- CSRF Token验证
- XSS防护配置
- 调试模式检查
- Express.js
- 安全中间件配置
- 认证机制检查
- CORS配置审计
- 输入验证检查
- Hibernate
- HQL注入检测
- 缓存配置审计
- 实体验证检查
- 会话管理检查
### 安全检查特性
#### PHP安全检查
- 文件包含漏洞(include/require)
- SQL注入(mysql_*函数)
- 命令注入(system, exec, shell_exec)
- 文件上传漏洞
- 反序列化漏洞(unserialize)
- XSS(echo, print)
- SSRF漏洞
- 目录遍历
- 会话管理问题
- 配置文件泄露
#### Java安全检查
- SQL注入(PreparedStatement相关)
- 命令注入(Runtime.exec, ProcessBuilder)
- XXE漏洞(XML解析器配置)
- 反序列化漏洞(readObject)
- 不安全的文件操作
- CSRF/XSS防护
- 权限控制缺陷
- 线程安全问题
- 密码学实现缺陷
- 日志信息泄露
#### Python安全检查
- 不安全的反序列化(pickle.loads, yaml.load)
- 命令注入(os.system, eval, exec, subprocess)
- 不安全的模块导入(__import__)
- SQL注入(字符串格式化, execute)
- 路径遍历(open, os.path)
- 模板注入(render_template_string)
- 密码学实现问题(weak random)
- 环境变量泄露
- 调试配置泄露
- 不安全的依赖加载
#### JavaScript安全检查
- XSS(DOM型和反射型)
- 原型污染
- 不安全的第三方依赖
- 客户端存储安全
- 不安全的随机数生成
- CSRF防护缺失
- 跨域配置问题
- 敏感信息泄露
- 不安全的正则表达式
- 事件监听器泄露
### 分析器组件
- TaintAnalyzer: 污点分析和数据流追踪
- SecurityAnalyzer: 通用安全问题检测
- DependencyAnalyzer: 依赖组件安全分析
- FrameworkAnalyzer: 框架特定安全检查
- ConfigAnalyzer: 配置文件安全分析
- ContextAnalyzer: 上下文感知分析
## 安装和配置
### 环境要求
- Python 3.8+
- FastAPI
- Node.js (前端开发)
### 快速开始
1. 克隆项目
```bash
git clone https://github.com/Ky0toFu/Mirror-Flowers.git
cd Mirror-Flowers
```
2. 安装依赖
```bash
pip install -r requirements.txt
```
3. 配置环境变量
```env
OPENAI_API_KEY=your_api_key_here
OPENAI_API_BASE=your_api_base_url
OPENAI_MODEL=your_preferred_model
```
4. 启动服务
```bash
uvicorn backend.app:app --reload
```
## 注意事项
1. 文件大小限制:10MB
2. 支持的文件类型:.php, .java, .py, .js
3. API密钥安全:请妥善保管API密钥
4. 分析时间:大型项目可能需要较长时间
5. 结果验证:建议结合人工审查
6. API配置问题:如果提示"API配置更新错误"或"不存在某个模型",请检查API Base URL格式,尝试在URL后添加/v1或删除/v1(例如:https://api.example.com 或 https://api.example.com/v1)
## 许可证
MIT License
## 联系方式
如有问题或建议,请通过 Issue 与我联系。