Что это такое?
Автономный AI-агент для поиска и подтверждения уязвимостей в Python-пакетах из PyPI. Он сканирует код, генерирует эксплойты и проверяет их в Docker.
Проект / Python
nandrzej/vlnr: VLNR — автономный AI-агент для поиска уязвимостей в Python-пакетах
Автоматизированный агент безопасности, который не только находит потенциальные уязвимости в PyPI-пакетах, но и генерирует работающие эксплойты для их подтверждения.
Это инструмент с открытым исходным кодом на Python, который применяет подход AI-агентов для автоматического поиска и подтверждения уязвимостей в экосистеме PyPI. Вместо простого статического анализа он замыкает цикл, доказывая exploitability уязвимостей в...
Для кого это
Для специалистов по безопасности Python-приложений, DevOps-инженеров, ответственных за безопасность цепочки поставок, и исследователей уязвимостей, которые хотят автоматизировать рутинную часть работы.
Проблема / задача
Традиционные инструменты статического анализа (Bandit, Semgrep) лишь помечают потенциальные проблемы, оставляя исследователю ручную проверку — действительно ли уязвимость эксплуатируется. Это требует времени и часто приводит к ложным срабатываниям.
Как это работает
VLNR использует LLM-агента, который управляет полным циклом безопасности: находит кандидатов среди популярных PyPI-пакетов, сканирует их код, оценивает риск, генерирует proof-of-concept эксплойты и автоматически проверяет их в изолированных Docker-контейнерах. Агент сам принимает решения о следующих действиях, учитывая бюджет токенов и предыдущие находки.
Что видно по README
Это инструмент с открытым исходным кодом на Python, который применяет подход AI-агентов для автоматического поиска и подтверждения уязвимостей в экосистеме PyPI. Вместо простого статического анализа он замыкает цикл, доказывая exploitability уязвимостей в песочнице.
Ключевые возможности
Технологии
Темы и ключи
Интересный факт
Проект использует трёхуровневую стратегию LLM: тяжёлые модели (397B параметров) генерируют эксплойты, средние — фильтруют результаты, а лёгкие — классифицируют метаданные. Это снижает стоимость вызовов на 25% без потери качества.
С чего начать
- Установите зависимости: Python >=3.14, Docker
- Настройте API-ключи для LLM-провайдеров в llm_config.yaml
- Запустите поиск кандидатов: poc-find-candidates --llm-discovery
- Запустите агента: vlnr agent --state-path state.json
Оценка GitRadar
Удобство
5/10
Свежесть
9/10
Перспектива
8/10
Монетизация
6/10
Общая оценка
7/10
Вердикт GitRadar
Стоит пробовать, если вы занимаетесь безопасностью Python и готовы экспериментировать с сыроватыми инструментами. Это концептуально свежий подход, но проект очень молодой (0 звёздных форков, 0 issues), что говорит о ранней стадии развития.
Наблюдения по обновлениям
Проект очень свежий и активный: требует Python 3.14, использует современные LLM-модели (Qwen 3.5, Gemini 3), архитектура продумана, но сообщество ещё не сформировалось.
Что мы проверили
Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.
- Исходный репозиторий
- https://github.com/nandrzej/vlnr
- Лицензия
- MIT
- Создан на GitHub
- 23 апреля 2026 г.
- Последнее обновление репо
- 23 апреля 2026 г.
- Последняя проверка GitRadar
- 23 апреля 2026 г.
- Изученные файлы
- README.md, pyproject.toml, vlnr/cli.py, justfile, vlnr/vuln_scorer.py, tests/test_discovery_llm.py
FAQ
Для кого подходит?
Для специалистов по безопасности Python, исследователей уязвимостей и DevOps-инженеров, которые хотят автоматизировать аудит зависимостей.
Источники
Нужна помощь с nandrzej/vlnr?
Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.