Проект / Python

mitkox/supply-chain-monitor-localai: Мониторинг цепочки поставок с локальным ИИ — автоматический детектор вредоносных обновлений PyPI/npm

Автоматически отслеживает обновления популярных Python и npm пакетов, анализирует изменения с помощью локального LLM и предупреждает о подозрительных правках через Slack.

Это форк оригинального монитора от Elastic, адаптированный для работы с локальными LLM через vLLM или совместимые с OpenAI API. Проект фокусируется на автоматическом обнаружении компрометации зависимостей в двух крупнейших экосистемах — Python и JavaScript.

★ 12 Python Форки 2 Issue 1 Оценка 6/10 Карточка проверена

Открыть на GitHub Помочь с установкой

Для кого это

Для DevOps-инженеров и специалистов по безопасности, которые хотят автоматизировать мониторинг зависимостей в своих проектах.

Проблема / задача

Разработчики часто не замечают, когда обновление легальной библиотеки содержит скрытый вредоносный код — такой компромисс цепочки поставок может привести к утечке данных или бэкдорам.

Как это работает

Система параллельно мониторит PyPI через XML-RPC changelog и npm через CouchDB feed, скачивает новые версии популярных пакетов, создаёт diff-отчёты и отправляет их в локальный vLLM-сервер для классификации. При обнаружении подозрительных изменений (обфускация, сетевые вызовы, запись в автозагрузку) отправляет алерт в Slack.

Что видно по README

Ключевые возможности

Мониторинг топ-1000 пакетов PyPI и npm по умолчаниюАнализ diff через локальный LLM (vLLM/llama.cpp)Slack-уведомления о подозрительных измененияхПараллельная обработка двух экосистемГибкая настройка через аргументы командной строки

Технологии

Python 3.9+vLLM/OpenAI APIXML-RPC (PyPI)CouchDB feed (npm)PythonExpressOpenAI APILLaMA

Интересный факт

Проект использует неочевидный источник данных для PyPI — changelog_since_serial через XML-RPC, что позволяет получать события в реальном времени без постоянного опроса всех пакетов.

С чего начать

Установите зависимости: pip install -r requirements.txt
Запустите локальный vLLM сервер: vllm serve meta-llama/Llama-3.1-8B-Ins
Настройте Slack-интеграцию в etc/slack.json
Запустите монитор: python main.py

Оценка GitRadar

Удобство

6/10

Свежесть

8/10

Перспектива

7/10

Монетизация

4/10

Общая оценка

6/10

Вердикт GitRadar

Стоит попробовать, если у вас уже есть инфраструктура с vLLM и нужно автоматизировать мониторинг зависимостей. Проект сыроват (всего 12 звёзд), но основан на проверенном решении от Elastic.

Наблюдения по обновлениям

Проект активно развивается как форк Elastic, но имеет мало звёзд и активности сообщества.

Что мы проверили

Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.

Исходный репозиторий: https://github.com/mitkox/supply-chain-monitor-localai
Лицензия: MIT
Создан на GitHub: 2 апреля 2026 г.
Последнее обновление репо: 2 апреля 2026 г.
Последняя проверка GitRadar: 2 апреля 2026 г.
Изученные файлы: README.md, requirements.txt, top_pypi_packages.py, analyze_diff.py, pypi_monitor.py, slack.py

FAQ

Что это такое?

Инструмент для автоматического обнаружения вредоносных обновлений в популярных Python и npm пакетах с использованием локального ИИ.

Для кого подходит?

Для команд разработки и безопасности, которые хотят автоматизировать мониторинг зависимостей без облачных сервисов.

Источники

GitHub исходный код и активность
README описание, ссылки, стартовые материалы

Нужна помощь с mitkox/supply-chain-monitor-localai?

Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.

Смотреть услуги Открыть на GitHub Написать в Telegram