humanify
humanify 是一款利用大语言模型(如 ChatGPT、Gemini 或本地模型)自动还原混淆 JavaScript 代码的开源工具。它主要解决开发者在面对经过压缩、混淆或打包的代码时,难以阅读和理解逻辑的痛点,能将晦涩的变量名和函数名转换为语义清晰的自然语言标识,同时确保代码功能与原始版本完全一致。
这款工具特别适合前端开发者、安全研究人员以及需要维护或分析第三方库的技术人员。无论是调试生产环境的压缩文件,还是进行代码审计,humanify 都能显著提升工作效率。
其核心技术亮点在于“智能提示 + 精准重构”的双重机制:大模型仅负责分析代码逻辑并提供重命名建议,而实际的代码结构变换则由 Babel 在抽象语法树(AST)层面执行。这种设计既发挥了 AI 的理解能力,又避免了模型直接生成代码可能引发的结构错误,保证了输出代码的 1:1 等价性。此外,humanify v2 版本已全面转向 Node.js 环境,无需安装 Python,并提供了灵活的运行模式:用户可选择高精度的云端 API 模式(OpenAI/Gemini),也可下载模型使用免费的本地离线模式,兼顾了准确性、成本与数据隐私需求。
使用场景
某安全研究员在分析一个涉嫌窃取用户数据的恶意网站时,获取了其经过高度混淆和压缩的 JavaScript 核心代码,急需还原逻辑以撰写分析报告。
没有 humanify 时
- 变量名全是单字符(如
a,b,x1),完全无法直观判断数据流向和功能意图。 - 人工逐行反推逻辑耗时极长,面对数千行压缩代码,排查关键恶意函数如同大海捞针。
- 传统格式化工具仅能调整缩进,无法恢复语义,仍需依赖研究员的经验进行大量猜测性重命名。
- 在高压应急响应场景下,漫长的分析过程导致威胁情报输出滞后,延误了防御时机。
使用 humanify 后
- 利用 LLM 智能推断,将无意义的单字符变量自动重命名为
userInput、exfilData等具象名称,代码意图一目了然。 - 原本需要数小时的人工逆向工作缩短至几分钟,研究员可快速定位到发送数据的核心函数块。
- 基于 Babel AST 技术确保重构后的代码与原始逻辑 100% 等价,避免了人工修改可能引入的错误或逻辑偏差。
- 支持调用本地模型免费运行,既保护了敏感样本不上传云端,又大幅降低了分析成本和时间门槛。
humanify 通过将 AI 的语义理解能力与编译器的结构严谨性结合,把不可读的机器码瞬间转化为人类可维护的逻辑文档,极大提升了代码审计与逆向工程的效率。
运行环境要求
- 未说明
- 非必需
- 支持本地 GPU 加速(特别提及原生支持 Apple M 系列芯片),无 GPU 时自动回退至 CPU 模式(速度较慢)
- 未指定具体显卡型号、显存大小或 CUDA 版本
未说明
快速开始
HumanifyJS
使用大型语言模型(“AI”)对 JavaScript 代码进行去混淆
该工具利用大型语言模型(如 ChatGPT 和 Llama)以及其他工具,来对 JavaScript 代码进行去混淆、去压缩、转译、反编译和解包。请注意,大型语言模型并不会对代码结构做出任何更改——它们仅提供重命名变量和函数的提示。真正的核心工作由 Babel 在 AST 层面完成,以确保代码保持一一对应的等价性。
版本 2 已发布!🎉
与 v1 相比,v2 的亮点包括:
- 不再需要 Python!
- 增加了大量测试,代码库现在真正可维护了。
- 重新设计的 CLI 工具
humanify可通过 npm 安装。
➡️ 请查看介绍博客文章以获取更详细的说明!
示例
给定以下经过压缩的代码:
function a(e,t){var n=[];var r=e.length;var i=0;for(;i<r;i+=t){if(i+t<r){n.push(e.substring(i,i+t))}else{n.push(e.substring(i,r))}}return n}
该工具将输出一个易于阅读的版本:
function splitString(inputString, chunkSize) {
var chunks = [];
var stringLength = inputString.length;
var startIndex = 0;
for (; startIndex < stringLength; startIndex += chunkSize) {
if (startIndex + chunkSize < stringLength) {
chunks.push(inputString.substring(startIndex, startIndex + chunkSize));
} else {
chunks.push(inputString.substring(startIndex, stringLength));
}
}
return chunks;
}
🚨 注意: 🚨
处理大文件可能需要较长时间,并且如果使用 ChatGPT,会消耗大量 token。粗略估计,该工具处理每个字符大约需要 2 个 token:
echo "$((2 * $(wc -c < yourscript.min.js)))"
因此,作为参考:使用 ChatGPT 对一个经过压缩的 bootstrap.min.js 文件进行去压缩,大约需要花费 0.5 美元。
当然,使用 humanify local 是免费的,但可能耗时更长、准确性较低,而且可能无法在您现有的硬件上运行。
开始使用
安装
先决条件:
- Node.js ≥20
推荐通过 npm 安装该工具:
npm install -g humanifyjs
这会将工具全局安装到您的机器上。安装完成后,您应该能够通过以下命令运行该工具:
humanify
如果您想在安装前试用,可以使用 npx 来运行:
npx humanifyjs
这会下载工具并在本地运行。请注意,此处的所有示例都假定工具已全局安装,但您也可以将 humanify 替换为 npx humanifyjs 来实现相同的效果。
使用
接下来,您需要决定是使用 openai、gemini 还是 local 模式。简而言之:
openai或gemini模式- 在专门为此类任务优化的他人服务器上运行
- 费用取决于代码长度
- 准确性更高
local模式- 在本地运行
- 免费
- 准确性较低
- 运行速度取决于您的 GPU 性能(也可以在 CPU 上运行,但可能会非常慢)
有关每种选项的详细说明,请参见下文:
OpenAI 模式
您需要一个 ChatGPT API 密钥。可以通过访问 https://openai.com/ 注册获取。
有几种方式可以将 API 密钥提供给工具:
humanify openai --apiKey="your-token" obfuscated-file.js
或者,您也可以使用环境变量 OPENAI_API_KEY。运行 humanify --help 查看所有可用选项。
Gemini 模式
您需要一个 Google AI Studio 密钥。可以通过访问 https://aistudio.google.com/ 注册获取。
您需要将 API 密钥提供给工具:
humanify gemini --apiKey="your-token" obfuscated-file.js
或者,您也可以使用环境变量 GEMINI_API_KEY。运行 humanify --help 查看所有可用选项。
Local 模式
Local 模式使用预训练的语言模型来对代码进行去混淆。由于模型体积较大,未包含在仓库中,但您可以使用以下命令下载它:
humanify download 2b
这会将 2b 模型下载到您的本地机器上。只需执行一次即可。您也可以根据本地资源选择下载其他模型。使用 humanify download 列出可用的模型。
下载模型后,您可以运行以下命令:
humanify local obfuscated-file.js
这将使用您本地的 GPU 对代码进行去混淆。如果您没有 GPU,工具会自动回退到 CPU 模式。请注意,使用 GPU 可显著加快处理速度。
Humanify 原生支持 Apple 的 M 系列芯片,并能充分利用 Mac 的 GPU 性能。
功能
该工具的主要功能包括:
- 使用 ChatGPT 功能或本地模型,智能建议重命名变量和函数名称
- 使用自定义和现成的 Babel 插件,在 AST 层面进行去混淆
- 使用 Webcrack 解包 Webpack 打包文件
贡献
如果您希望贡献代码,请 fork 该仓库并使用特性分支。欢迎提交 Pull Request。
许可证
该项目中的代码采用 MIT 许可证授权。
版本历史
v2.2.22024/12/16v2.2.12024/11/07v2.2.02024/10/18v2.1.32024/10/06v2.1.22024/09/10v2.1.12024/08/28v2.1.02024/08/15常见问题
相似工具推荐
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
NextChat
NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。
PaddleOCR
PaddleOCR 是一款基于百度飞桨框架开发的高性能开源光学字符识别工具包。它的核心能力是将图片、PDF 等文档中的文字提取出来,转换成计算机可读取的结构化数据,让机器真正“看懂”图文内容。 面对海量纸质或电子文档,PaddleOCR 解决了人工录入效率低、数字化成本高的问题。尤其在人工智能领域,它扮演着连接图像与大型语言模型(LLM)的桥梁角色,能将视觉信息直接转化为文本输入,助力智能问答、文档分析等应用场景落地。 PaddleOCR 适合开发者、算法研究人员以及有文档自动化需求的普通用户。其技术优势十分明显:不仅支持全球 100 多种语言的识别,还能在 Windows、Linux、macOS 等多个系统上运行,并灵活适配 CPU、GPU、NPU 等各类硬件。作为一个轻量级且社区活跃的开源项目,PaddleOCR 既能满足快速集成的需求,也能支撑前沿的视觉语言研究,是处理文字识别任务的理想选择。
OpenHands
OpenHands 是一个专注于 AI 驱动开发的开源平台,旨在让智能体(Agent)像人类开发者一样理解、编写和调试代码。它解决了传统编程中重复性劳动多、环境配置复杂以及人机协作效率低等痛点,通过自动化流程显著提升开发速度。 无论是希望提升编码效率的软件工程师、探索智能体技术的研究人员,还是需要快速原型验证的技术团队,都能从中受益。OpenHands 提供了灵活多样的使用方式:既可以通过命令行(CLI)或本地图形界面在个人电脑上轻松上手,体验类似 Devin 的流畅交互;也能利用其强大的 Python SDK 自定义智能体逻辑,甚至在云端大规模部署上千个智能体并行工作。 其核心技术亮点在于模块化的软件智能体 SDK,这不仅构成了平台的引擎,还支持高度可组合的开发模式。此外,OpenHands 在 SWE-bench 基准测试中取得了 77.6% 的优异成绩,证明了其解决真实世界软件工程问题的能力。平台还具备完善的企业级功能,支持与 Slack、Jira 等工具集成,并提供细粒度的权限管理,适合从个人开发者到大型企业的各类用户场景。