LoRexxar/Kunlun-M

KunLun-M — Open-source static code analysis for PHP, Nodejs/JavaScript, Python, Golang, Java and C/C++, with AST-based semantic scanning and one-click AI Agent integration (OpenClaw, Codex, Claude Code, Hermes, and more).

GAI 中文摘要

Kunlun-M（昆仑镜）是一款开源的静态代码安全审计工具，旨在通过基于抽象语法树（AST）的语义分析技术，高效识别多语言源代码中的潜在安全漏洞。该项目由Cobra-W演变而来，致力于提升漏洞检测的准确性，并结合AI Agent技术实现了智能化辅助分析。

支持对PHP、Node.js/JavaScript、Python、Go、Java、C/C++等主流编程语言进行深度语义扫描。

提供内置技能模块，支持一键集成OpenClaw、Codex、Claude Code及Hermes等AI Agent进行自动化漏洞分析。

具备灵活的扫描模式，包括命令行交互和Web管理界面，能够高效处理大规模代码库的审计任务。

采用基于AST的分析引擎，在保证检测稳定性的基础上，显著降低了误报率并提升了审计效率。

该工具主要适用于负责源代码安全审计的安全研究人员和开发人员，可用于企业内部的代码安全合规扫描、漏洞挖掘以及安全自动化流水线建设。

⭐

2.4k

Stars

🔱

315

Forks

👁

Watchers

📋

Issues

PythonMIT创建于 2017/9/7更新于昨天

在 GitHub 上查看

README

由 Gemini 翻译整理

中文 | English

自 Cobra-W 2.0 起，Cobra-W 已正式更名为 Kunlun-M（昆仑镜）。

推荐使用 Python 3.10+（首选 Python 3.13+）；Python 2.7 已停止维护。

得益于 AI 时代，我能够以极低的成本解决项目的基本维护问题。尽管项目的核心理念在当今标准下可能不再前沿，但其稳定的核心架构依然是一个可靠的工具参考。我将继续利用 Codex 以极低的成本进行快速迭代，大胆尝试新功能，并尝试利用 AI 时代的手段打造一个极具实用价值的工具。

昆仑镜 (Kunlun-Mirror)

 _   __            _                      ___  ___
| | / /           | |                     |  \/  |
| |/ / _   _ _ __ | |    _   _ _ __       | .  . |
|    \| | | | '_ \| |   | | | | '_ \ _____| |\/| |
| |\  \ |_| | | | | |___| |_| | | | |_____| |  | |
\_| \_/\__,_|_| |_\_____/\__,_|_| |_|     \_|  |_/  -v2.13.1

GitHub: https://github.com/LoRexxar/Kunlun-M

KunLun-M 是一个自动化检测漏洞和安全问题的静态代码分析系统。

Main Program

positional arguments:
  {init,config,scan,show,search,console,plugin,web}
    init                Kunlun-M 使用前初始化。
    config              配置规则与 tamper
    scan                扫描目标路径
    show                查看规则与 tamper
    search              搜索组件/项目信息
    console             进入控制台模式
    plugin              运行插件命令
    web                 启动 Web 面板

optional arguments:
  -h, --help            显示帮助信息并退出

Usage:
  python kunlun.py scan -t tests/vulnerabilities
  python kunlun.py scan -t tests/vulnerabilities -r 1000, 1001
  python kunlun.py scan -t tests/vulnerabilities -tp wordpress
  python kunlun.py scan -t tests/vulnerabilities -d -uc

  python kunlun.py show rule -k php

项目简介

Cobra 是一款源代码安全审计工具，支持检测多种编程语言编写的源代码中最显著的安全问题和漏洞。 https://github.com/wufeifei/cobra

Cobra-W 是从 Cobra 2.0 演变而来的分支，其重心从发现尽可能多的威胁转向提高漏洞检测的准确性和精确度。 https://github.com/LoRexxar/Kunlun-M/tree/cobra-w

Kunlun-Mirror 演变自 Cobra-W 2.0。在经历并克服了维护和改进原始工具的繁琐过程后，Kunlun-Mirror（昆仑镜）将重心转向服务于安全研究人员，持续提升基于工具的实用操作体验。

该工具目前主要支持对 PHP、Nodejs/JavaScript、Python、Java、Go 和 C/C++ 进行语义分析，以及对 Chrome 插件和 Solidity 的基础扫描。

新增了内置技能 (Built-in Skills)，支持一键集成 AI Agent（OpenClaw / Codex / Claude Code / Hermes 等），实现快速漏洞扫描。

Star 记录

为什么选择 KunLun-M

KunLun-M 可能是目前市面上唯一开源且持续维护的自动化代码审计工具。我们希望这款开源工具能够推动白盒审计的发展 :>。

更新日志

changelog.md

安装

首先，安装依赖：

pip install -r requirements.txt

迁移配置文件：

cp Kunlun_M/settings.py.bak Kunlun_M/settings.py

初始化数据库（默认使用 SQLite）：

python kunlun.py init initialize

Docker 安装

通过 Docker 安装，默认启动 Web 模式：

sudo docker build -t kunlun-m -f ./docker/Dockerfile .

通过与 MySQL 关联，您可以进行本地扫描，并通过 Web 界面查看结果。

使用说明

CLI 模式

使用 scan 模式扫描各种源代码：

python3 kunlun.py scan -t ./tests/vulnerabilities/

导出报告 (JSON/Markdown/HTML)：

python3 kunlun.py scan -t ./tests/vulnerabilities/ -f json -o /tmp/report.json
python3 kunlun.py scan -t ./tests/vulnerabilities/ -f md -o /tmp/report.md
python3 kunlun.py scan -t ./tests/vulnerabilities/ -f html -o /tmp/report.html

使用 show 模式查看当前所有的规则/tamper：

python3 kunlun.py show rule           # 查看所有规则
python3 kunlun.py show rule -k php    # 查看所有 PHP 规则
python3 kunlun.py show tamper         # 查看所有 tamper

在任何子命令后使用 -h 参数即可查看详细的帮助文档。

技能自动化 (Skill Automation)

如果您正在使用 AI Agent（OpenClaw / Codex / Claude Code / Hermes 等）...