Trepan: Lokaler VS Code-Sicherheitsauditor für KI-generierten Code

Trepan ist eine VS-Code-Erweiterung, die 'Stille KI-Sicherheitsschulden' angeht – Schwachstellen in KI-vorgeschlagenem Code, der die Kompilierung besteht, aber den architektonischen Sicherheitskontext vermissen lässt. Sie fungiert als lokaler Sicherheitswächter zwischen KI-Coding-Assistenten und Ihrer Codebasis.

Wie Trepan funktioniert

Das Tool verwendet einen Zero-Baseline-Ansatz, um KI-Vorschläge gegen lokale Sicherheitsregeln zu prüfen. Es rät nicht einfach; es erzwingt Richtlinien basierend auf einer .trepan/system_rules.md-Datei in Ihrem Projekt.

• 100% lokal: Nutzt Ollama, um Sicherheitsaudits auf Ihrem Rechner ohne Code-Leckage an externe APIs durchzuführen
• Deterministische Validierung: Zwingt das lokale LLM, vorgeschlagenen Code gegen Ihre spezifischen Sicherheitsbeschränkungen zu validieren, bevor er akzeptiert wird
• Kontextbewusst: Liest projektspezifische Regeln, um logikspezifische Fehler zu erkennen, die generische Linter übersehen

Was Trepan erkennt

Das Tool ist speziell darauf ausgelegt, Halluzinationen zu finden, die Standard-Static-Analysis umgehen:

• Unsichere API-Endpunkte, die von der KI vorgeschlagen werden
• Stille DOM-XSS-Schwachstellen in der Frontend-Logik
• Hartkodierte Geheimnisse oder 'bequeme' Hintertüren, die die KI halluzinieren könnte

Technische Details

Trepan ist Open-Source unter der AGPLv3-Lizenz und im VS-Code-Marketplace verfügbar. Der Entwickler experimentiert mit verschiedenen System-Prompts für die Audit-Phase und sucht Feedback zur Audit-Logik und Prompt-Engineering.

Der Entwickler bittet die Community um Input, welche lokalen Modelle (Llama 3, Mistral, etc.) sich am besten für sicherheitsfokussierte Audits ohne übermäßige Latenz eignen.