你在AI安全错误发布之前就将其拦截。

在本地运行Shoulder，几秒内看到真实漏洞，在它们到达生产环境之前修复。

beta.heroNote

你不会放慢脚步。你获得掌控力。

试用公开仓库 → 安装 Shoulder CLI →

$ npm install -g @shoulderdev/cli

~/github.com/appsecco/dvna

$ shoulder trust

BASELINE: CRITICAL

30 routes analyzed · 7 reachable issues

/bulkproductslegacy — unsafe deserialization

req.files → serialize.unserialize()

Crafted payload may trigger code execution

/ping — command execution

req.body → exec()

Command execution on server

/bulkproducts — unsafe output

req.query → res.render()

Script execution in user browser

4 more issues · See full analysis →

真实分析

查看真实影响

存在漏洞的 Node.js 应用已分析 30 条路由 · 7 条可达问题打开分析 → 恶意软件包安装脚本、代码混淆和维护者风险打开分析 → 恶意提交被植入后门的发布流程和恶意代码路径打开分析 →

检查漏洞或扫描 GitHub 仓库

粘贴一个包、CVE 或 GitHub URL

▲ 最高风险警报

CRITICAL [email protected] — Raw socket usage paired with credential reads — possible TCP exfil bypass CRITICAL [email protected] — Bulk env-var sweep + shell exec at runtime — credential-stealer CRITICAL [email protected] — Cluster-model outlier: capability shape matches no known archetype, with install-time shell/network

生态系统最近的警报

HIGH [email protected] — Cluster-model outlier: capability shape matches no known archetype, with install-time shell/network CRITICAL @mneme-ai/[email protected] — Payload delivery from suspicious source: IOC URL + execution capability MEDIUM @contember/[email protected] — size_delta=778% from previous version (+2218KB, blast_radius=6,274)

beta.pill

betaScope.title

betaScope.lead

betaScope.languagesLabel

betaScope.languageJs
betaScope.languageTs
betaScope.languagePy
betaScope.languageGo

betaScope.ecosystemsLabel

betaScope.ecosystemNpm
betaScope.ecosystemPypi
betaScope.ecosystemGo

betaScope.honestTitle

betaScope.honestConfident1
betaScope.honestConfident2
betaScope.honestConfident3
betaScope.honestConfident4
betaScope.honestConfident5
betaScope.honestConfident6
betaScope.honestConfident7

betaScope.honestLearningTitle

betaScope.honestLearning1

betaScope.comingTitle

betaScope.comingLead

betaScope.comingCta →

AI提高了你的产出。也提高了你的风险。

AI 提高了产出，但不会提高人工审查的深度。信任就在这道缝隙里断裂。

审查者看到的是

一个 diff、一个重命名函数和一个通过的测试
在更大系统里改动的少数几个文件
单独看起来还算合理的代码

Shoulder 计算的是

看见私有路由何时变成公开路由
知道你的各个端点何时失去认证覆盖
在可疑依赖执行前把它们拦下来
把不可信输入追踪到数据库、shell 和 eval

少花时间猜测一个改动是不是吓人，多一些把握知道它到底改了什么。

为你实际的工作方式而设计

你用AI来加速。AI可能会无验证序列化、绕过认证检查、引入注入路径、使用弱随机数。Shoulder捕获AI遗漏的问题，让你自信地发布。

Diff

System Graph

Trust Delta

Enforcement

One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

你不是在审查AI的输出。

你是在验证它实际做了什么。

生态系统信任情报

根据维护者历史、下载异常、安装脚本和已知恶意软件信号检查任何软件包。

shoulder scan --ecosystem

$ shoulder scan --ecosystem

Checking dependency: @shoulderdev/malware-demo

Install scriptdetected

Obfuscated codedetected

Account age3 days

Ecosystem alertmalicious

⚠ Do not install

See full briefing →

了解每次变更实际做了什么。

你查看代码和依赖项中的漏洞。你获得清晰的修复指导。

代码保留在本地

确定性分析

每次运行结果相同

适用于任何模型或人类作者

通过npm获取

Shoulder CLI

你查看代码和依赖项中的漏洞。你获得清晰的修复指导。

已上线

Threat Centre

你查询任何漏洞、软件包或CVE。你获得基于真实代码的证据和指导。

透明建立信任

你可以在安装前阅读Shoulder的工作原理。我们公开检测逻辑。我们记录每条规则。我们解释每个决策。

由Katacoda背后的团队构建

我们构建了Katacoda，这个被Red Hat、HashiCorp和Kubernetes使用的交互式学习平台，被O'Reilly Media收购。同一团队。同一方法：找到开发者犹豫的时刻，消除不确定性。

阅读完整故事 → 阅读透明度报告

AI增加了你发布的代码量。Shoulder增加了你能信任的量。

阅读透明度报告 →

与我们合作成为设计合作伙伴 →

AI提升速度。Shoulder提升掌控力。

安装CLI。几秒内开始扫描。成为快速行动又保持安全的开发者。

npm install -g @shoulderdev/cli

安装 Shoulder CLI →

AI增加了你发布的代码量。Shoulder增加了你能信任的量。 CLI二进制文件经过校验和验证。