Vulnflow - открытие проекта для аудита с ИИ
Сегодня я рад представить вам свой первый опенсорс проект, над которым работал последние 2 месяца.
Идея проекта пришла в голову, когда я пытался собрать своего бота для аудита контрактов с использованием различных скиллов. Тогда я понял, что мне очень не хватает некой визуальной части, где я мог бы просто собирать пайплайн из нужным мне частей. Так появился Vulnflow.
VulnFlow — это локальная платформа для аудита смарт контрактов, которая позволяет превратить сложный и разрозненный процесс анализа в понятный, управляемый и воспроизводимый workflow. Вместо ручного запуска множества агентов и постоянной потери контекста между этапами, пользователь собирает единый пайплайн из независимых блоков, каждый из которых выполняет конкретную задачу: анализ кода, поиск уязвимостей, обработку данных или взаимодействие с внешними сервисами.
Подход VulnFlow строится вокруг визуального конструктора по примеру n8n, где логика аудита представляется в виде графа. Это позволяет не только гибко настраивать процесс под конкретный проект, но и сохранять его в виде структуры, которую можно повторно использовать, масштабировать и дорабатывать. Таким образом аудит перестаёт быть набором одноразовых действий и становится системным процессом с чёткой логикой и воспроизводимыми результатами.
Платформа поддерживает работу с AI моделями, включая локальные (Ollama, LM Studio или llama.cpp) и OpenAI-compatible модели, что даёт возможность автоматизировать анализ, выдвижение гипотез и объяснение потенциальных уязвимостей. Вам не нужно тратить бюджет на дорогой GPT или Claude для каждого агента. Вы сами решаете, сколько агентов использовать — от одного простого до сложного многошагового пайплайна.
Важной частью системы являются skills и lead_skills. Skills — это переиспользуемые модули поведения агента: специализированные промпты, логика анализа и сценарии поиска уязвимостей, которые можно комбинировать между собой. Пользователь может использовать как собственные skills, так и любые другие — готовые варианты и рекомендации по ним можно найти в репозитории и адаптировать под свои задачи. Lead_skills управляют общим ходом рассуждения агента, задают стратегию анализа и координируют использование отдельных skills внутри сложных пайплайнов. Такой подход позволяет не просто запускать модели, а выстраивать структурированное и контролируемое поведение агентов.
Кроме того, встроенная проверка по YAML-правилам позволяет описывать собственные уязвимости и проверять их автоматически.
VulnFlow также решает проблему контекста за счёт встроенной системы памяти и поиска по embedding, что позволяет подключать документацию, отчёты об аудитах и другие источники знаний прямо в процесс анализа. Память работает как долговременное хранилище результатов и наблюдений: агенты могут сохранять промежуточные выводы, извлекать релевантный контекст и использовать его на следующих этапах пайплайна. Это особенно важно при анализе сложных систем, где информация накапливается постепенно и требует повторного использования.
Поддержка выполнения Python-кода даёт возможность реализовывать кастомную логику любой сложности, а для усиления проверок можно подключить внешние инструменты вроде Solodit или HornetMCP через блок Tool — модель получит доступ к базам известных багов и внешнему контексту.
VulnFlow поддерживает два режима аудита: Contract для прямого анализа отдельных sol-файлов и Cluster для автоматической группировки связанных контрактов в крупных кодовых базах. Все собранные пайплайны сохраняются в папке pipelines и могут быть переиспользованы на других проектах без перенастройки.
В результате пользователь получает не просто инструмент для поиска уязвимостей, а полноценную среду для построения собственных систем аудита, где знания формализуются, автоматизируются и могут быть повторно использованы в любых проектах.
📟 Прилетело из
https://t.me/solidityset
