测试版 Shoulder 目前处于测试阶段 — 结果有时可能不正确。您的反馈塑造我们接下来要修复的内容。 分享反馈
Shoulder.dev

开发者威胁情报

你在AI安全错误发布之前就将其拦截。

在本地运行Shoulder,几秒内看到真实漏洞,在它们到达生产环境之前修复。

我们处于早期阶段。结果有时会不正确。您的反馈塑造我们接下来要修复的内容。

你不会放慢脚步。你获得掌控力。

试用公开仓库 安装 Shoulder CLI
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
真实分析

查看真实影响

存在漏洞的 Node.js 应用 已分析 30 条路由 · 7 条可达问题 打开分析 恶意软件包 安装脚本、代码混淆和维护者风险 打开分析 恶意提交 被植入后门的发布流程和恶意代码路径 打开分析

检查漏洞或扫描 GitHub 仓库

粘贴一个包、CVE 或 GitHub URL

最高风险警报
生态系统最近的警报
测试版

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

AI提高了你的产出。也提高了你的风险。

AI 提高了产出,但不会提高人工审查的深度。信任就在这道缝隙里断裂。

审查者看到的是
  • 一个 diff、一个重命名函数和一个通过的测试
  • 在更大系统里改动的少数几个文件
  • 单独看起来还算合理的代码
Shoulder 计算的是
  • 看见私有路由何时变成公开路由
  • 知道你的各个端点何时失去认证覆盖
  • 在可疑依赖执行前把它们拦下来
  • 把不可信输入追踪到数据库、shell 和 eval

少花时间猜测一个改动是不是吓人,多一些把握知道它到底改了什么。

为你实际的工作方式而设计

你用AI来加速。AI可能会无验证序列化、绕过认证检查、引入注入路径、使用弱随机数。Shoulder捕获AI遗漏的问题,让你自信地发布。

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

你不是在审查AI的输出。

你是在验证它实际做了什么。

生态系统信任情报

根据维护者历史、下载异常、安装脚本和已知恶意软件信号检查任何软件包。

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

了解每次变更实际做了什么。

你查看代码和依赖项中的漏洞。你获得清晰的修复指导。

代码保留在本地
确定性分析
每次运行结果相同
适用于任何模型或人类作者
通过npm获取

Shoulder CLI

你查看代码和依赖项中的漏洞。你获得清晰的修复指导。

安装 CLI →
已上线

Threat Centre

你查询任何漏洞、软件包或CVE。你获得基于真实代码的证据和指导。

探索威胁中心 →

透明建立信任

你可以在安装前阅读Shoulder的工作原理。我们公开检测逻辑。我们记录每条规则。我们解释每个决策。

由Katacoda背后的团队构建

我们构建了Katacoda,这个被Red Hat、HashiCorp和Kubernetes使用的交互式学习平台,被O'Reilly Media收购。同一团队。同一方法:找到开发者犹豫的时刻,消除不确定性。

阅读完整故事 → 阅读透明度报告

AI增加了你发布的代码量。Shoulder增加了你能信任的量。

阅读透明度报告 →
与我们合作成为设计合作伙伴

AI提升速度。Shoulder提升掌控力。

安装CLI。几秒内开始扫描。成为快速行动又保持安全的开发者。

npm install -g @shoulderdev/cli
安装 Shoulder CLI →
AI增加了你发布的代码量。Shoulder增加了你能信任的量。 CLI二进制文件经过校验和验证。