Trepan: Auditor de Segurança Local do VS Code para Código Gerado por IA

Trepan é uma extensão do VS Code que aborda a 'Dívida de Segurança Silenciosa da IA'—vulnerabilidades em códigos sugeridos por IA que passam na compilação, mas carecem de contexto de segurança arquitetural. Ele atua como um guardião de segurança local entre os assistentes de codificação por IA e sua base de código.

Como o Trepan Funciona

A ferramenta usa uma abordagem de Linha de Base Zero para auditar sugestões de IA contra regras de segurança locais. Ela não apenas adivinha; ela aplica políticas com base em um arquivo .trepan/system_rules.md em seu projeto.

• 100% Apenas Local: Usa o Ollama para executar auditorias de segurança em sua máquina sem vazamento de código para APIs externas
• Validação Determinística: Força o LLM local a validar o código sugerido contra suas restrições de segurança específicas antes da aceitação
• Consciente do Contexto: Lê regras específicas do projeto para capturar falhas específicas da lógica que linters genéricos perdem

O que o Trepan Detecta

A ferramenta é especificamente ajustada para encontrar alucinações que contornam a análise estática padrão:

• Endpoints de API inseguros sugeridos por IA
• Vulnerabilidades silenciosas de DOM XSS na lógica do frontend
• Segredos embutidos ou "portas dos fundos" convenientes que a IA pode alucinar

Detalhes Técnicos

Trepan é de código aberto sob a licença AGPLv3 e está disponível no VS Code Marketplace. O desenvolvedor está experimentando diferentes prompts de sistema para a fase de auditoria e buscando feedback sobre a lógica de auditoria e engenharia de prompts.

O desenvolvedor está pedindo à comunidade opiniões sobre quais modelos locais (Llama 3, Mistral, etc.) têm melhor desempenho para auditorias focadas em segurança sem latência excessiva.