OpenScanner： 开源AI 驱动的混合安全扫描引擎，带你告别误报地狱！

OpenScanner AI 驱动的混合安全扫描引擎 GitHub 传送门 https://github.com/kyzzniko-lang/OpenScanner一、 为什么要写 OpenScanner在安全圈我们不缺扫描器。从老牌的 AWVS 到 Sqlmap再到现代的 Xray。但我们面临的真正痛点从没变过误报地狱由于基于正则匹配任何稍微复杂的业务逻辑都可能触发海量报警。黑盒天花板DAST 只能看到表面SAST 只能看到源码它们之间互不沟通。WAF 拦截固定 Payload 时代已经过去现在的 WAF 让传统工具几乎瘫痪。为了打破这一现状我开发了OpenScanner—— 这是一个集成了DAST SAST IAST且真正由Hybrid AI 决策链驱动的安全引擎。以下是脚本演示画面:运行demo界面:webui界面演示:代码审计页面展示:二、 核心黑科技降维打击的秘密1. Hybrid AI 研判引擎 (AVA 架构)OpenScanner 不再只是简单地拼凑一段 Prompt。它内置了AVA (AI-Verify-AI)深度研判架构Proposer负责初步探测搜集证据。Critic以反向质疑的角度寻找任何可能是误报的证据。Finalizer综合双向意见给出最终裁决。这种“辩论赛”式的研判将误报率从传统的 30% 降低到了3.5%以下。2. 混合部署隐私与精度的平衡我们支持Hybrid 模式本地模式 (Local)基于llama-cpp在纯 CPU 环境下运行 0.5B-3B 的轻量化量化模型。代码和数据从不离机主打隐私优先。云端模式 (API)无缝对接 DeepSeek、OpenAI、Gemini。利用 GPT-4o 的超强逻辑能力挖掘深层逻辑漏洞如 BOLA、越权等。3. 多模态联动OpenScanner 是一台真正的“混合”引擎。在 DAST 发现可疑注入点时它会自动联动 SAST 扫描对应路径的源码并通过 IAST 追踪数据流Sink 点实现“证据闭环”。三、 项目实战演示1. 超高颜值的 Rich CLI我为 OpenScanner 设计了极具极客感的命令行界面2. Streamlit 实时仪表盘除了命令行我们还有基于 Streamlit 的可视化控制台支持实时查看 AI 的每一轮“质疑”和“定音”过程。四、 核心代码片段AI 调度器OpenScanner 的核心在于对不同 AI Provider 的统一调度以下是本项目中 API 提供者的核心逻辑片段# core/ai/api_provider.py 核心代码asyncdef_ensure_client(self)-httpx.AsyncClient:延迟创建 HTTP 客户端已根据安全性加固ifself._clientisNoneorself._client.is_closed:self._clienthttpx.AsyncClient(timeouthttpx.Timeout(self._config.api_timeout),follow_redirectsTrue,http2False,# 针对中转代理进行了稳定性优化trust_envself._config.api_trust_env,proxyself._config.api_proxyifself._config.api_proxyelseNone,)returnself._client五、 如何快速启动我们将部署流程精简到了极致# 1. 克隆并安装gitclone https://github.com/kyzzniko-lang/OpenScanner.gitcdOpenScanner# 2. 一键部署环境python setup.py# 3. 启动 Web 控制台streamlit run web/app.py六、 结语安全工具的未来不应该是“规则的堆砌”而应该是“逻辑的推理”。OpenScanner v1.0 只是一个开始我们希望能将更多的 LLM 推理能力注入到渗透测试的每一个环节中。项目已在 GitHub 正式开源欢迎 Star / Fork / PR声明 本工具仅供授权安全测试使用请勿用于非法用途网络安全 AI Python 开源项目 渗透测试