看看你的代码实际做了什么。
测试任何公共GitHub仓库——MCP服务器、npm包、AI技能。在安装或集成之前查看认证覆盖、风险路径和依赖信号。
查看真实结果
每个演示都是真实仓库。选一个,看看Shoulder能发现什么。
shoulder diff
JavaScript
一行SQL注入
开发者用字符串拼接替换参数化查询。Shoulder立即标记。
→
shoulder diff
JavaScript
没有防护措施的AI代理
硬编码API密钥、用户控制的URL、无速率限制——一个快捷方式带来三个发现。
→
shoulder scan
JavaScript
有漏洞的API——完整态势
SQL注入、缺少认证、无速率限制、凭证暴露。这个API所有问题一次扫描全发现。
→
shoulder scan --ecosystem
JavaScript
恶意依赖
不是代码漏洞——是供应链攻击。Shoulder发现SAST工具遗漏的内容。
→你将看到什么
信任档案
认证覆盖、公开与受保护路由,以及信任在哪里崩溃。
攻击路径
从用户输入到危险执行的确认路径——SQL、shell、eval、反序列化。
生态系统信号
依赖风险、维护者信任和可疑软件包模式。
想扫描自己的项目?安装CLI——它在本地运行,你的源代码永远不会离开你的机器。
npm install -g @shoulderdev/cli