[开源][Demo] AI GitHub 仓库安全扫描器 开源了！

开源 AI GitHub 仓库安全扫描 Demo。 发到网络安全板块想听听各位大佬的意见，并求打赏⭐。

说明： 👉 目前只是 demo，主要在验证 AI Security Platform 架构和方向。

这个 Demo 在做什么

• 30 秒内检查一个 repo 的基础安全配置 （ Secret Scanning / 漏洞告警 / 分支保护等）
• 用 LLM 给安全改进建议
• 生成可分享的安全报告

体验 / 源码 ⭐

• Demo： https://topflow.dev/builder?template=github-security-scanner
• 👉 GitHub （⭐ 欢迎 Star ）： https://github.com/csupenn/topflow

安全实现（已落地）

• 不存 PII ，仅浏览器端 localStorage （架构上规避合规问题）
• SSRF 防护（ URL 校验 + 私有 IP / metadata 拦截）
• 限流（ IP 级，Redis ）
• 输入递归清洗 + Zod 校验
• 纵深防御思路，而不是单点防护

想验证的核心方向

不是把扫描器越做越大，而是：

把安全能力拆成 Node ，让用户自己“搭”安全工具

可以理解为：可组合 / 可定制 / 可部署

GitHub Scanner 只是一个示例 workflow 。

一个现实的演进路

• OSV / npm audit / pip-audit / govulncheck → 独立 Scanner Nodes
• GitHub workflow 自动识别语言，走真实漏洞数据
• 用户可加 Slack / JIRA / CI gate 等节点

想请教各位大佬

• 这种 Node + Workflow 的安全工具形态，有没有明显不成立的地方？