Trepan: AI生成コードのためのローカルVS Codeセキュリティ監査ツール
Trepanは、『サイレントAIセキュリティ負債』—コンパイルは通るがアーキテクチャ的なセキュリティコンテキストを欠いたAI提案コードの脆弱性—に対処するVS Code拡張機能です。AIコーディングアシスタントとコードベースの間で、ローカルセキュリティゲートキーパーとして機能します。
Trepanの仕組み
このツールは、ローカルセキュリティルールに対してAI提案を監査するゼロベースラインアプローチを採用しています。推測するだけでなく、プロジェクト内の.trepan/system_rules.mdファイルに基づいたポリシーを強制します。
- 100%ローカル専用: Ollamaを使用してマシン上でセキュリティ監査を実行し、外部APIへのコード漏洩を防ぎます
- 決定論的検証: ローカルLLMに、提案コードが特定のセキュリティ制約を満たすことを受け入れ前に強制的に検証させます
- コンテキスト対応: プロジェクト固有のルールを読み取り、汎用リンターが見逃すロジック固有の欠陥を捕捉します
Trepanが捕捉するもの
このツールは、標準的な静的解析を回避するハルシネーションを特に検出するように調整されています:
- AIによって提案された安全でないAPIエンドポイント
- フロントエンドロジック内のサイレントDOM XSS脆弱性
- AIがハルシネーションする可能性のあるハードコードされたシークレットや「便利な」バックドア
技術詳細
TrepanはAGPLv3ライセンスの下でオープンソース化されており、VS Code Marketplaceで入手可能です。開発者は監査フェーズ用の様々なシステムプロンプトを実験中で、監査ロジックとプロンプトエンジニアリングに関するフィードバックを求めています。
開発者は、過度なレイテンシなしにセキュリティ重視の監査に最適なローカルモデル(Llama 3、Mistralなど)について、コミュニティからの意見を求めています。
📖 Read the full source: r/LocalLLaMA
👀 See Also
オープンソースのClaudeスキル:経営コンサルティングのフレームワークとケーススタディ向け
MITライセンスで無料提供されているClaudeスキルは、経営コンサルティング業務向けに構造化された参考資料を提供し、フレームワーク、業界コンテキスト、ケーススタディを含みます。このプロジェクトは80以上のマークダウンファイルで構成され、ドメイン別に整理されており、カバレッジ拡大のための貢献者を募集しています。
OpenClaw Nerve WebUIは、音声制御とチーム管理ダッシュボードを追加しました。
NerveはOpenClaw向けのWebUIで、AIエージェントの監視と管理のためのオールインワンダッシュボードを提供し、Whisperによるダブルタップシフトでの音声制御やサブエージェントチーム構築機能を備えています。
トークンを無駄にせずClaudeのチャット間でコンテキストを引き継ぐ2プロンプトシステム
開発者が、Claudeの会話全体を構造化されたコンテキストブロックに圧縮し、新しいチャットに読み込んで、決定事項、作業内容、次のステップを保持する2つのプロンプトを共有しています。
オリー・ルーメン:Claude Code用オープンソースローカルセマンティック検索プラグイン
Ory Lumenは、Claude Codeのパフォーマンス問題を解決するためのプラグインです。Ollamaのコード埋め込みモデルとSQLite-vecのセマンティック検索を使用してコードベースをインデックス化し、大規模なコードベースでのClaude Codeの性能問題に対処します。このツールは無料でローカルのみ動作し、再現可能な結果を得るためのSWEスタイルのベンチマークテストハーネスを含んでいます。