nandrzej / vlnr

vlnr — 파이썬 공급망을 위한 에이전트형 익스플로잇 파이프라인

vlnr는 최소한의 인간 입력으로 파이썬 PyPI 패키지에 대해 발견 → 스캔 → 분류 → 익스플로잇 → 검증 사이클을 완전히 수행하는 LLM 강화 에이전트형 보안 도구입니다. LLM 에이전트가 루프를 주도하며 어떤 패키지를 스캔할지, 언제 개념 증명(Proof-of-Concept) 익스플로잇을 생성할지, 언제 격리된 컨테이너에서 이를 검증할지 결정합니다 — 모든 과정은 예산을 고려하고 중단 후 재개가 가능합니다.

⚠️ 승인된 보안 연구 목적으로만 사용하세요. 모든 PoC 실행은 임시 Docker 컨테이너에서 격리됩니다. 소유하지 않은 시스템에서 실행하지 마세요.

---

vlnr가 다른 점

전통적인 정적 분석 도구(Bandit, Semgrep)는 잠재적 문제를 표시하는 것에서 멈춥니다. vlnr는 루프를 완성합니다:

• 스크립트가 아닌 에이전트 — LLM 기반의 계획 → 실행 → 관찰 루프가 축적된 발견 내용과 남은 토큰 예산을 기반으로 다음 행동(스캔, 익스플로잇 생성, 검증, 중지)을 자율적으로 결정합니다
• 확인된 취약성 활용 가능성 — 신뢰도가 높은 발견에 대해 에이전트가 기능적 PoC를 생성하고 이를 샌드박스 Docker 컨테이너에서 실행하여 단순히 표시된 것이 아니라 실제로 취약성이 접근 가능한지 확인합니다
• 공급망 중심 — 역-의존성 중심성, OSV 커버리지 격차, 의미론적 의도 점수를 사용하여 인기 있지만 충분히 감사되지 않은 PyPI 패키지를 목표로 합니다 — 특히 광범위한 생태계에 가장 위험한 패키지 클래스
• 약 25% 적은 오탐 — 단계별 LLM 분류가 Bandit/Semgrep의 노이즈를 평가하여 걸러냅니다

---

🌐 본 텍스트는 빠른 이해를 돕기 위한 요약 번역본입니다. 정확한 기술 정보 및 전체 코드는 GitHub 원문에서 확인하실 수 있습니다.