openrisk

项目介绍：openrisk

项目概述

openrisk 是一个实验性工具，由 ProjectDiscovery 研究团队发布。它用来读取 nuclei 工具生成的输出文件（支持文本、Markdown 和 JSON 格式），并利用 OpenAI 的 GPT-3 模型为主机生成风险评分。当前，该工具计划用于单个目标的风险评估。

注意：由于该程序是实验性质的，它可能不符合我们其他项目的代码质量标准，也可能没有经过充分测试。因此，我们欢迎任何对改进代码质量、修复漏洞以及将其与其他工具集成的建议和想法。

安装说明

要成功安装 openrisk，需要使用 go1.20 版本。可以通过以下命令安装最新版本：

go install -v github.com/projectdiscovery/openrisk@latest

使用指南

要了解 openrisk 的具体使用方法，可以运行以下命令：

openrisk -h

这将显示 openrisk 的版本信息和使用标志。主要的输入标志是：

• -f, -files string[]：用于指定 Nuclei 扫描结果文件或目录的路径，支持的文件扩展名有：.txt、.md、.jsonl。

生成风险评分

在使用 openrisk 之前，你需要一个 OPENAI_API_KEY。该钥匙可以通过在 OpenAI 网站注册获取。设置环境变量如下：

export OPENAI_API_KEY=<你的_OPENAI_API_KEY>

然后，你可以用以下命令生成风险评分：

openrisk -f nuclei_scan_result.txt

示例运行

以下是一个命令行示例，展示了如何生成具体的风险评分：

openrisk -f nuclei_results.txt

输出将会包含一个 10 分制的风险评分，例如：检测结果中可能存在多个高危漏洞，如 Pantheon、AWS 和 Netlify 的接管风险。

将 openrisk 用作库

openrisk 还可以作为库来使用。用户可以创建一个 Options 结构实例，并输入自己的 OpenAI API 密钥。在拥有这些选项后，可以通过包括一个示例的 Nuclei 扫描结果文件来创建 OpenRisk 和 IssueProcessor。然后，通过调用 openRisk.GetScore 函数来为示例文件生成评分。

如果需要更详细的例子，可以参考项目中的 examples 文件夹。

小结

openrisk 是一个借助 AI 技术进行风险评分的工具，尽管尚在实验阶段，它显示了强大的潜在功能。随着更多的使用和改进，它有望成为网络安全领域的重要工具。欢迎所有对工具改进有想法的开发者和安全专家参与进来，共同推动该项目的发展。