这是一款基于AI Agent的API自动化安全测试工具,用户只需提供Swagger或OpenAPI接口文档,Agent即可自动完成全流程安全测试并生成专业报告。
核心功能包括:自动解析OpenAPI 3.x和2.0规范文件(支持JSON和YAML格式),覆盖功能验证、边界测试、异常处理、SQL注入、XSS跨站脚本、命令注入、SSRF服务端请求伪造、路径遍历、JWT安全及CSRF跨站请求伪造共十大测试维度。Agent自动生成测试用例后通过异步并发执行,使用JSON Schema校验响应结构,最终输出Markdown、HTML和JSON三种格式的测试报告,全程无需人工干预。
技术实现方面,后端基于Python的FastAPI框架结合LangGraph七节点StateGraph编排,包含文档解析、接口分析、用例生成、批量执行、Schema校验和ReAct反思回退六个处理节点。Reflect节点利用大模型分析测试失败原因,自动区分真实Bug与用例设计偏差,将误报率从约百分之十五降至低于百分之五,缺陷检出效率提升百分之六十至八十。前端采用React配合TypeScript及Vite构建工具和Tailwind CSS样式框架与Zustand状态管理,通过SSE协议实时推送测试进度。系统集成了令牌桶全局限流、per-host动态熔断器、沙箱隔离执行及JSONL结构化安全日志等完善的安全防护机制。项目累计编写三百八十八个以上自动化测试用例,建立Golden Dataset回归体系,集成LangFuse全链路追踪与Token成本监控,单次完整测试的LLM调用成本约零点零三美元。
本人在该项目中独立完成全栈开发,负责从需求分析、架构设计、前端界面、后端逻辑到测试用例编写的全部环节。