admin/PrivHunterAI
1
0
Fork 0
mirror of https://github.com/Ed1s0nZ/PrivHunterAI.git synced 2025-09-17 20:41:37 +00:00
Code Issues Packages Projects Releases Wiki Activity

Update README.md

Browse Source
This commit is contained in:
公明 2025-04-22 12:49:18 +08:00 committed by GitHub
parent 02151e694d
commit 324d72666c
No known key found for this signature in database
GPG Key ID: B5690EEEBB952194
1 changed files with 25 additions and 20 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

45
README.md
View File

@ -1,24 +1,5 @@
# PrivHunterAI
一款通过被动代理方式,利用主流 AI如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API 构建,支持 HTTPS 协议的数据传输与交互。
## 时间线
- 2025.02.18
1. ⭐️新增扫描失败重试机制,避免出现漏扫;
2. ⭐新增响应Content-Type白名单静态文件不扫描
3. ⭐新增限制每次扫描向AI请求的最大字节避免因请求包过大导致扫描失败。
- 2025.02.25 -02.27
1. ⭐新增对URL的分析初步判断是否可能是无需数据鉴权的公共接口
2. ⭐️新增前端结果展示功能。
3. ⭐新增针对请求B添加其他headers的功能适配有些鉴权不在cookie中做的场景
- 2025.03.01
1. 优化Prompt降低误报率
2. 优化重试机制,重试会提示类似:`AI分析异常重试中异常原因 API returned 401: {"code":"InvalidApiKey","message":"Invalid API-key provided.","request_id":"xxxxx"}`每10秒重试一次重试5次失败后放弃重试避免无限重试
- 2025.03.03
1. 💰成本优化:在调用 AI 判断越权前,新增鉴权关键字(如 “暂无查询权限”“权限不足” 等)过滤环节,若匹配到关键字则直接输出未越权结果,节省 AI tokens 花销,提升资源利用效率。
- 2025.03.21
1. ⭐️新增终端输出请求包记录。
- 2025.04.10
1. ⭐新增结果可信度confidence输出并优化Prompt。
## 工作流程
<img src="https://github.com/Ed1s0nZ/PrivHunterAI/blob/main/img/%E6%B5%81%E7%A8%8B.png" width="800px">
@ -140,8 +121,32 @@
<img src="https://github.com/Ed1s0nZ/PrivHunterAI/blob/main/img/%E6%95%88%E6%9E%9C.png" width="800px">
2. 前端输出访问127.0.0.1:8222
<img src="https://github.com/Ed1s0nZ/PrivHunterAI/blob/main/img/%E7%BB%93%E6%9E%9C%E5%B1%95%E7%A4%BA.png" width="800px">
<img src="https://github.com/Ed1s0nZ/PrivHunterAI/blob/main/img/%E7%BB%93%E6%9E%9C%E5%B1%95%E7%A4%BA.png" width="800px">
## 后续计划
1. 添加敏感信息的扫描,例如通过正则匹配+AI辅助识别的方式扫描js文件中泄露的秘钥
2. 优化越权漏洞/未授权漏洞扫描流程实现消耗更少的token、更准确的扫描。
## 更新时间线
- 2025.02.18
1. ⭐️新增扫描失败重试机制,避免出现漏扫;
2. ⭐新增响应Content-Type白名单静态文件不扫描
3. ⭐新增限制每次扫描向AI请求的最大字节避免因请求包过大导致扫描失败。
- 2025.02.25 -02.27
1. ⭐新增对URL的分析初步判断是否可能是无需数据鉴权的公共接口
2. ⭐️新增前端结果展示功能。
3. ⭐新增针对请求B添加其他headers的功能适配有些鉴权不在cookie中做的场景
- 2025.03.01
1. 优化Prompt降低误报率
2. 优化重试机制,重试会提示类似:`AI分析异常重试中异常原因 API returned 401: {"code":"InvalidApiKey","message":"Invalid API-key provided.","request_id":"xxxxx"}`每10秒重试一次重试5次失败后放弃重试避免无限重试
- 2025.03.03
1. 💰成本优化:在调用 AI 判断越权前,新增鉴权关键字(如 “暂无查询权限”“权限不足” 等)过滤环节,若匹配到关键字则直接输出未越权结果,节省 AI tokens 花销,提升资源利用效率。
- 2025.03.21
1. ⭐️新增终端输出请求包记录。
- 2025.04.10
1. ⭐新增结果可信度confidence输出并优化Prompt。
- 2025.04.22
1. 优化前端页面。
# 注意
声明:仅用于技术交流,请勿用于非法用途。