sec-npm
The AI Security Engine
Uma ferramenta CLI open-source que intercepta ataques de supply chain no ecossistema NPM, analisando comportamentos maliciosos via IA antes da execução de scripts de ciclo de vida.
➜ ~ npx @devgustavor/sec-npm install malicious-lib
◆ Buscando metadados no registry.npmjs.org... ✔
◆ Analisando tarball e scripts de pré-instalação... ✔
◆ Consultando Motor de IA (Claude 3.5 Sonnet)... ✔
⚠️ RISCO ALTO DETECTADO
┌ Análise Comportamental:
│ • Script de 'preinstall' tenta acessar /etc/passwd
│ • Ofuscação de código detectada em 'index.js' (base64 payload)
│ • Tentativa de exfiltração de dados para IP não catalogado.
└
Deseja cancelar a instalação? (S/n) › _account_treeDirectory Tree
Arquitetura de Segurança Shift-Left
Diferente do npm audit, que é reativo e depende de vulnerabilidades conhecidas (CVEs), o sec-npm atua de forma heurística. Ele analisa o código "vivo" antes que qualquer script do pacote toque o sistema de arquivos local.
Scan
Varredura de scripts de ciclo de vida.
Inference
Análise por IA de padrões ofuscados.
Intercept
Bloqueio proativo de ameaças Zero-Day.
O Fluxo de Dados (Pipeline)
Fetch
O registry.ts busca o tarball e os metadados diretamente da fonte oficial do NPM.
Pre-Filtering
O scanner.ts extrai apenas arquivos críticos (install.js, index.js) para otimizar o uso de tokens da API.
Explainable Security
A IA não apenas bloqueia; ela explica detalhadamente o risco detectado, educando o desenvolvedor.
Sustentabilidade Open-Source
O projeto utiliza o modelo BYOK (Bring Your Own Key), garantindo que usuários avançados utilizem sua própria infraestrutura de IA sem custos centralizados para o mantenedor, permitindo que a ferramenta permaneça gratuita e focada na comunidade.