Cyber Neo
Hainrixz/cyber-neoOpen-source агент кибербезопасности для Claude Code. Сканирует проекты по всем категориям OWASP 2025 Top 10 и CWE Top 25: 11 доменов безопасности, 60+ паттернов секретов, параллельный анализ субагентами, профессиональные отчёты.
Установка
git clone https://github.com/Hainrixz/cyber-neo.gitREADME
CYBER NEO
Open-source агент кибербезопасности для Claude Code
Защищайте свои приложения. Защищайте своих пользователей. Защищайте своё сообщество.
-00ff41.svg){kind=icon}
Выпущено @soyenriquerocha | Создано сообществом Tododeia — помогаем разработчикам выпускать безопасный код.
Что такое Cyber Neo?
Cyber Neo — это комплексный агент анализа кибербезопасности, работающий внутри Claude Code. Укажите его на любой проект на вашем компьютере, и он выполнит глубокий аудит безопасности: просканирует код, зависимости, секреты, инфраструктуру и цепочку поставок на наличие уязвимостей. Агент генерирует профессиональный приоритизированный отчёт с конкретными рекомендациями по устранению, чтобы вы могли исправить проблемы до того, как они станут инцидентами.
Экспертиза в области безопасности не требуется. Просто запустите /cyber-neo и позвольте агенту сделать всё остальное.
Cyber Neo создан с определённой миссией: наше сообщество на tododeia.com разрабатывает приложения, инструменты и продукты. Мы хотим помочь каждому разработчику в сообществе защитить то, что он создаёт. Этот агент — наш вклад: open-source, бесплатный и разработанный как наиболее полный сканер безопасности среди доступных Claude Code скиллов.
Почему Cyber Neo?
Большинство инструментов безопасности требуют установки, настройки и экспертизы для интерпретации результатов. Cyber Neo устроен иначе:
| Традиционные инструменты безопасности | Cyber Neo |
|---|---|
| Требуют установки и настройки | Работает мгновенно как Claude Code скилл |
| Для интерпретации нужна экспертиза | Понятные описания находок с исправлениями на уровне кода |
| Сканируют одну категорию (SAST или SCA или секреты) | Сканирует 11 категорий за один запуск |
| Выдают сырые находки без контекста | Находки с классификацией по CWE/OWASP и примерами исправлений |
| Работают последовательно | 5 параллельных субагентов для скорости |
| Требуют платных лицензий для полного покрытия | 100% бесплатно и open-source |
Что сканируется
Cyber Neo охватывает 11 доменов безопасности по всем основным классам уязвимостей:
| # | Категория | Что находит | Как |
|---|---|---|---|
| 1 | Безопасность кода (SAST) | SQL-инъекции, XSS, инъекции команд, инъекции кода, обход путей, SSRF, десериализация, загрязнение прототипов | Semgrep (опционально) + нативный анализ паттернов Claude |
| 2 | Аутентификация и авторизация | Отсутствие middleware аутентификации, неправильная конфигурация JWT, сломанный контроль доступа, IDOR, уязвимости управления сессиями, отсутствие RBAC | Нативный анализ Claude с использованием auth-authz-patterns.md |
| 3 | Криптографическая безопасность | Слабые алгоритмы (MD5, SHA1, DES, RC4), захардкоженные ключи/IV, обход TLS, небезопасная генерация случайных чисел, слабая длина ключей | Нативный анализ Claude с использованием crypto-patterns.md |
| 4 | Обнаружение секретов | 60+ regex-паттернов: AWS, GCP, Azure, GitHub, Slack, Stripe, учётные данные БД, приватные ключи, API-ключи, JWT-токены, .env-файлы | Python batch-сканер + Gitleaks (опционально) |
| 5 | Уязвимости зависимостей (SCA) | Известные CVE в зависимостях npm, pip, cargo, bundler, composer и Go | Trivy / npm audit / pip-audit / cargo-audit (опционально) |
| 6 | Веб-безопасность | Отсутствующие заголовки безопасности (CSP, CORS, HSTS), CSRF, флаги cookie, уязвимости загрузки файлов, открытые редиректы | Нативный анализ Claude с использованием web-security-patterns.md |
| 7 | Безопасность цепочки поставок | Целостность lock-файлов, dependency confusion, опечатки в именах пакетов, незафиксированные версии, вредоносные пакеты | Python-проверщик lockfile + нативный анализ Claude |
| 8 | Безопасность CI/CD | Инъекции скриптов в GitHub Actions, избыточные разрешения, незафиксированные actions, утечка секретов в воркфлоу | Нативный анализ Claude с использованием cicd-security.md |
| 9 | Безопасность Docker и контейнеров | Запуск от root, незафиксированные базовые образы, секреты в слоях, привилегированные контейнеры, открытый Docker socket | Нативный анализ Claude с использованием iac-docker.md |
| 10 | Обработка ошибок | Debug-режим в продакшене, утечка stack trace, пустые блоки catch, отсутствие error boundaries | Нативный анализ Claude с использованием error-handling-patterns.md |
| 11 | Безопасность логирования | Чувствительные данные в логах, log injection, отсутствие логирования событий безопасности | Нативный анализ Claude с использованием logging-patterns.md |
Покрытие стандартов
Cyber Neo сопоставляет каждую находку с отраслевыми стандартами:
- Все 10 категорий OWASP 2025 Top 10 — включая два новых пункта: A03 Software Supply Chain Failures и A10 Mishandling of Exceptional Conditions
- 15+ пунктов CWE Top 25 (2025) — XSS, SQLi, CSRF, инъекции команд, SSRF, десериализация, обход путей, отсутствие аутентификации, сломанная криптография, захардкоженные учётные данные и другое
- Оценка серьёзности по CVSS — Critical (9.0–10.0), High (7.0–8.9), Medium (4.0–6.9), Low (1.0–3.9), Info (0.0–0.9)
Поддерживаемые языки и фреймворки
| Язык | Фреймворки | Файл справки |
|---|---|---|
| JavaScript / TypeScript | Express, Next.js, React, Vue, Angular, Fastify, NestJS, Koa, Electron | lang-javascript.md (924 строки) |
| Python | Django, Flask, FastAPI, Tornado, Starlette | lang-python.md (935 строк) |
| Любой язык | Общие SAST-паттерны (eval, exec, захардкоженные учётные данные, инъекции команд) | Встроено в SKILL.md |
В версии v0.2: Go, Ruby/Rails, Java/Spring, Rust, PHP/Laravel
Установка
Полные инструкции по установке доступны в репозитории GitHub: https://github.com/Hainrixz/cyber-neo