claude-bug-bounty

1.6k 272 简单 1 次阅读今天MITAgent插件

AI 解读由 AI 自动生成，仅供参考

claude-bug-bounty 是一款专为专业漏洞赏金猎人打造的 AI 智能助手，它深度集成于 Claude Code 终端环境中。传统的安全测试往往需要手动运行脚本、在多个窗口间切换上下文，并花费大量时间处理误报或撰写报告。这款工具通过"AI 代理集群”模式解决了这些痛点：它能像经验丰富的搭档一样，自主规划测试顺序，利用持久化记忆从过往目标中汲取经验，并在生成报告前自动验证漏洞真实性，从而大幅减少无效工作。

其核心技术亮点在于强大的生态集成与自动化能力。它不仅支持 Burp Suite 和 HackerOne 的 MCP 协议，让 AI 能直接“看见”实时流量和情报数据，还内置了针对 20 类 Web2 和 10 类 Web3 漏洞的检测逻辑。用户只需输入简单指令（如 /autopilot），即可启动全自动狩猎循环，由 AI 协调二十多种工具协同工作，并在分钟内生成符合提交标准的高质量报告。

该工具非常适合网络安全研究人员、白帽黑客以及希望提升挖洞效率的开发人员使用。它将繁琐的重复性劳动交给 AI 处理，让用户能更专注于高价值的逻辑分析与策略制定，是提升漏洞挖掘产出比的得力伙伴。

使用场景

安全研究员小李正在对一家电商平台的子域名进行漏洞赏金挖掘，目标是寻找高危漏洞并提交报告。

没有 claude-bug-bounty 时

盲目测试效率低：需要手动在十几个终端窗口间切换，凭经验猜测先测哪个接口，经常漏掉关键攻击面。
误报浪费大量时间：脚本跑出一堆潜在问题，花两小时人工验证后发现全是误报，最终被平台拒绝。
报告撰写耗时：每次发现有效漏洞都要从零开始写报告，整理复现步骤和截图至少花费 45 分钟。
经验无法沉淀：上个月在目标 A 成功的测试思路，面对目标 B 时完全想不起来，每次都是“重新开始”。
流量上下文割裂：无法直接让 AI 分析 Burp Suite 中的实时流量，只能复制粘贴数据，容易丢失关键细节。

使用 claude-bug-bounty 后

智能编排测试：AI 自动调度 25+ 工具按最佳顺序执行，一键完成从信息收集到漏洞探测的全流程。
自动验证去噪：内置验证代理在生成报告前自动过滤误报，确保小李只处理真实有效的高危漏洞。
秒级报告生成：确认漏洞后，报告撰写代理在 60 秒内输出符合提交标准的完整报告，包含复现步骤与建议。
持久化记忆赋能：系统记住过往目标的成功模式，自动将针对目标 A 的有效策略应用到当前目标 B 的测试中。
深度流量集成：通过 Burp MCP 插件，claude-bug-bounty 直接读取代理历史流量，结合上下文精准定位漏洞。

claude-bug-bounty 将原本碎片化、高重复的手工挖掘过程，转变为由 AI 主导的自动化闭环，让研究员专注于核心逻辑而非繁琐操作。

运行环境要求

操作系统

未说明

GPU

未说明

内存

未说明

依赖

notes该工具是一个基于 Claude Code 的代理框架，主要依赖外部安全工具（如 subfinder, httpx, katana, nuclei）和 MCP 集成（Burp Suite, HackerOne）。README 中未列出具体的 Python 依赖库列表或安装命令（仅提到运行 install.sh），也未提及 GPU 或特定内存需求。运行此工具需要配置 Anthropic API 密钥以及可选的 Burp Suite 和 HackerOne API 凭证。

python3.8+

未说明

快速开始

Claude漏洞赏金计划Logo

Claude漏洞赏金计划

基于AI的代理框架，专为专业漏洞赏金猎人打造

你的AI副驾驶，可实时监控流量、记忆过往狩猎记录，并实现自主狩猎。
社区还发行了一枚模因币来支持该项目：CA: J6VzBAGnyyNEyzyHhauwg3ofRctFxnTLzQCcjUdGpump _{由 shuvonsec 提供}

快速入门 | 工作原理 | 命令列表 | 新特性 | 安装

  13个命令  ·  7个AI代理  ·  8个技能领域
  20种Web2漏洞类型  ·  10种Web3漏洞类别
  Burp MCP  ·  HackerOne MCP  ·  自主导航模式

问题所在

大多数漏洞赏金工具包只是提供一堆脚本。你仍然需要：

弄清楚该测试什么以及以何种顺序进行
浪费大量时间在会被拒绝的误报上
每次都从头开始撰写报告
忘记之前目标中哪些方法有效
在15个不同的终端窗口之间不断切换上下文

解决方案

Claude漏洞赏金计划是一个代理框架，而不仅仅是脚本集合。它能够智能地判断应该测试的内容，在你花费时间撰写报告之前就验证发现结果，记住跨多个目标的有效策略，并生成真正能获得奖励的报告。

之前	之后
手动运行脚本，寄希望于运气	AI按正确顺序编排25+种工具
从头编写报告（每次需45分钟）	报告撰写代理可在60秒内生成可提交的报告
忘记上个月的有效方法	持久化记忆——目标A中的模式会指导目标B的行动
无法查看来自Claude的实时流量	Burp MCP集成——Claude可读取你的代理历史
一次只狩猎一个端点	`/autopilot`运行完整的狩猎循环，并设有安全检查点

快速入门

步骤1 — 安装

git clone https://github.com/shuvonsec/claude-bug-bounty.git
cd claude-bug-bounty
chmod +x install.sh && ./install.sh

步骤2 — 狩猎

claude                          # 启动Claude Code

/recon target.com               # 发现攻击面
/hunt target.com                # 测试漏洞
/validate                       # 在撰写报告前验证发现
/report                         # 生成可提交的报告

步骤3 — 进入自主模式 (v3新增功能)

/autopilot target.com --normal  # 完整的自主狩猎循环
/intel target.com               # 获取CVE及披露情报
/resume target.com              # 继续上次未完成的工作

或直接运行工具——无需Claude：

python3 tools/hunt.py --target target.com
./tools/recon_engine.sh target.com
python3 tools/intel_engine.py --target target.com --tech nextjs

工作原理

                         你
                          |
                    ┌─────▼─────┐
                    │   Claude   │ ◄── Burp MCP（查看你的流量）
                    │   Code     │ ◄── HackerOne MCP（获取情报）
                    └─────┬─────┘
                          |
          ┌───────────────┼───────────────┐
          |               |               |
    ┌─────▼─────┐  ┌──────▼──────┐  ┌────▼────┐
    │   探测    │  │    狩猎     │  │ 报告  │
    │   代理    │  │   引擎    │  │ 撰写  │
    └─────┬─────┘  └──────┬──────┘  └────┬────┘
          |               |               |
    subfinder        范围检查      H1/Bugcrowd
    httpx            漏洞测试        Intigriti
    katana           验证          Immunefi
    nuclei           链接A→B→C      CVSS 3.1
          |               |               |
    ┌─────▼───────────────▼───────────────▼─────┐
    │              狩猎记忆                   │
    │  日志 · 模式 · 审计 · 速率限制   │
    └───────────────────────────────────────────-─┘

每个阶段都会为下一个阶段提供输入。Claude会统筹所有流程，或者你也可以独立运行任意一个阶段。

命令

核心流程

命令	功能
`/recon target.com`	全面探测——子域名、在线主机、URL、Nuclei扫描
`/hunt target.com`	主动测试——范围检查、技术识别、高优先级漏洞测试
`/validate`	7问门控+4重门控——通过/终止/降级/必须链式利用
`/report`	可直接提交给H1/Bugcrowd/Intigriti/Immunefi的报告
`/chain`	从漏洞A找到B和C——系统性漏洞利用链构建
`/scope <asset>`	在测试前确认资产是否在范围内
`/triage`	深度验证前的快速2分钟决策
`/web3-audit <contract>`	10类智能合约检查清单+Foundry PoC样例

自主导航与记忆功能 (v3新增)

命令	功能
`/autopilot target.com`	完整的自主狩猎循环，带安全检查点
`/surface target.com`	基于探测结果和记忆的AI排序攻击面
`/resume target.com`	恢复之前的狩猎——显示尚未测试的内容
`/remember`	将发现或模式保存到持久化记忆中
`/intel target.com`	CVE及披露信息与你的狩猎历史交叉比对

AI代理

7个专业代理，各自针对特定角色进行了优化：

代理	功能	模型
探测代理	子域名枚举、在线主机、URL爬取、Nuclei扫描	Haiku (快速)
报告撰写代理	专业报告，强调影响，语气自然	Opus (高质量)
验证代理	7问门控+4重门控验证发现	Sonnet
Web3审计代理	10类合约审计+Foundry PoC模板	Sonnet
链式利用代理	系统性A-B-C漏洞利用链构建	Sonnet
自主导航代理	带断路器的自主狩猎循环	Sonnet
探测排序代理	基于探测结果和记忆的攻击面排序	Haiku (快速)

v3.0.0 新功能

“罐中大脑”如今已升级为仿生黑客。

自主狩猎循环 — /autopilot

一个持续运行的7步循环：侦察 - 情报收集 - 排名 - 狩猎 - 验证 - 报告 - 检查点

三种检查点模式：

--paranoid — 每发现一处漏洞就暂停，等待您审核
--normal — 将漏洞分批处理，每隔几分钟进行一次检查点
--yolo — 几乎不暂停（但仍需批准才能提交报告）

内置安全机制：连续失败后会触发断路器停止对主机的反复攻击；针对每台主机实施速率限制；所有请求都会记录到 audit.jsonl 文件中。

持久化狩猎记忆 — 记住一切

日志 — 每次狩猎操作的追加式 JSONL 日志（支持并发写入）
漏洞模式数据库 — 哪种技术在哪个技术栈上有效，并按奖励金额排序
目标画像 — 已测试/未测试的端点、技术栈、发现的漏洞
跨目标学习 — 在狩猎目标 B 时，系统会建议使用目标 A 中的漏洞利用模式

MCP 集成 — Burp + HackerOne

Burp Suite MCP — Claude 可以读取您的代理历史记录，通过 Burp 重放请求，并使用 Collaborator 负载。您的 AI 助手现在能看到与您相同的流量。

HackerOne MCP — 公开 API 集成：

search_disclosed_reports — 可按关键词或项目搜索 Hacktivity 数据
get_program_stats — 奖金范围、响应时间、已解决漏洞数量
get_program_policy — 范围、安全港政策、排除的漏洞类别

按需情报 — /intel

整合了 learn.py、HackerOne MCP 和狩猎记忆：

标记与目标技术栈匹配的 未测试 CVE
显示不在您已测试列表中的 新端点
展示来自您自身狩猎历史的 跨目标漏洞模式
优先级排序：未测试的 CRITICAL > 未测试的 HIGH > 已测试的漏洞

确定性范围安全

scope_checker.py 使用锚定后缀匹配——基于代码检查，而非 LLM 判断：

*.target.com 匹配 api.target.com，但不匹配 evil-target.com
排除的域名始终优先于通配符
IP 地址会被拒绝并发出警告（仅按域名匹配）
每次测试都会在执行前经过范围过滤

漏洞覆盖范围

20 种 Web2 漏洞类型 — 点击展开

类型	关键技术	典型奖励
IDOR	对象级、字段级、GraphQL node()、UUID 枚举、方法交换	$500 - $5K
认证绕过	缺少中间件、客户端侧检查、BFLA	$1K - $10K
XSS	反射型、存储型、DOM 型、postMessage、CSP 绕过、mXSS	$500 - $5K
SSRF	重定向链、DNS 重绑定、云元数据、11 种 IP 绕过方式	$1K - $15K
业务逻辑漏洞	工作流绕过、负数数量、价格操纵	$500 - $10K
竞态条件	TOCTOU、优惠券重复使用、限额突破、双重支付	$500 - $5K
SQL 注入	基于错误、盲注、基于时间、ORM 绕过、WAF 绕过	$1K - $15K
OAuth/OIDC	缺失 PKCE、state 绕过、11 种 redirect_uri 绕过方式	$500 - $5K
文件上传	扩展名绕过、MIME 混淆、多格式文件、10 种绕过方法	$500 - $5K
GraphQL	自省、node() IDOR、批处理绕过、变更授权	$1K - $10K
LLM/AI	提示注入、聊天机器人 IDOR、ASI01-ASI10 框架	$500 - $10K
API 配置错误	批量赋值、JWT 攻击、原型污染、CORS	$500 - $5K
账户接管	密码重置中毒、令牌泄露、9 种接管路径	$1K - $20K
SSTI	Jinja2、Twig、Freemarker、ERB、Thymeleaf → RCE	$2K - $10K
子域名接管	GitHub Pages、S3、Heroku、Netlify、Azure	$200 - $5K
云/基础设施	S3 列表枚举、EC2 元数据、Firebase、K8s、Docker API	$500 - $20K
HTTP 搭乘	CL.TE、TE.CL、TE.TE、H2.CL 请求隧道	$5K - $30K
缓存投毒	无键头、参数伪装、Web 缓存欺骗	$1K - $10K
MFA 绕过	无速率限制、OTP 重复使用、响应篡改、竞态	$1K - $10K
SAML/SSO	XSW、注释注入、签名剥离、XXE	$2K - $20K

10 种 Web3 漏洞类型 — 点击展开

类型	发现频率	典型奖励
会计不同步	危急漏洞的 28%	$50K - $2M
访问控制	危急漏洞的 19%	$50K - $2M
代码路径不完整	危急漏洞的 17%	$50K - $2M
越界漏洞	高危漏洞的 22%	$10K - $100K
预言机操纵	报告的 12%	$100K - $2M
ERC4626 攻击	中等频率	$50K - $500K
重入攻击	经典漏洞	$10K - $500K
闪电贷	中等频率	$100K - $2M
签名重放	中等频率	$10K - $200K
代理/升级	中等频率	$50K - $2M

工具与架构

核心流程 — tools/

工具	功能
`hunt.py`	主控编排器 — 将侦察、扫描、报告串联起来
`recon_engine.sh`	子域名枚举 + DNS 查询 + 在线主机检测 + URL 爬取
`learn.py`	从 NVD、GitHub Advisory 和 HackerOne 获取 CVE 漏洞及披露情报
`intel_engine.py`	内存感知型情报封装层（结合 learn.py、HackerOne MCP 和内存管理）
`validate.py`	四重验证 — 范围、影响、去重、CVSS 分值
`report_generator.py`	生成 H1/Bugcrowd/Intigriti 格式的报告
`scope_checker.py`	基于锚定后缀匹配的确定性范围安全检查
`cicd_scanner.sh`	GitHub Actions SAST — 包装 sisakulint 远程扫描工具（52 条规则，81.6% GHSA 覆盖率）
`mindmap.py`	优先级攻击思维导图生成器

漏洞扫描工具 — tools/

工具	扫描目标
`h1_idor_scanner.py`	对象级和字段级 IDOR 漏洞
`h1_mutation_idor.py`	GraphQL mutation IDOR 漏洞
`h1_oauth_tester.py`	OAuth 配置错误（PKCE、state、redirect_uri）
`h1_race.py`	竞争条件（TOCTOU、限制溢出）
`zero_day_fuzzer.py`	逻辑漏洞、边界情况、访问控制问题
`cve_hunter.py`	技术指纹识别 + 已知 CVE 匹配
`vuln_scanner.sh`	编排 nuclei + dalfox + sqlmap
`hai_probe.py`	AI 聊天机器人 IDOR、提示注入
`hai_payload_builder.py`	提示注入载荷生成器

MCP 集成 — mcp/

服务器	提供的工具
Burp Suite (`burp-mcp-client/`)	读取代理历史记录、重放请求、Collaborator 载荷
HackerOne (`hackerone-mcp/`)	`search_disclosed_reports`、`get_program_stats`、`get_program_policy`

狩猎记忆系统 — memory/

模块	功能
`hunt_journal.py`	只追加式 JSONL 狩猎日志（通过 `fcntl.flock` 实现并发安全）
`pattern_db.py`	跨目标模式数据库 — 按漏洞类别 + 技术栈匹配
`audit_log.py`	记录所有出站请求 + 每主机速率限制 + 断路器机制
`schemas.py`	所有条目类型的模式校验（带版本号）

完整目录结构 — 点击展开

claude-bug-bounty/
├── skills/                     8 个技能领域（SKILL.md 文件）
├── commands/                   13 个 Slash 命令
├── agents/                     7 个专业 AI 代理
├── tools/                      21 个 Python/shell 工具
├── memory/                     持久化狩猎记忆系统
├── mcp/                        MCP 服务器集成
│   ├── burp-mcp-client/        Burp Suite 代理
│   └── hackerone-mcp/          HackerOne 公共 API
├── tests/                      129 个测试用例
├── rules/                      始终生效的狩猎 + 报告规则
├── hooks/                      会话开始/结束钩子
├── docs/                       载荷库 + 技术指南
├── web3/                       智能合约技能链
├── scripts/                    Shell 封装脚本
└── wordlists/                  5 个字典列表

安装

前置条件

# macOS
brew install go python3 node jq

# Linux (Debian/Ubuntu)
sudo apt install golang python3 nodejs jq

安装

git clone https://github.com/shuvonsec/claude-bug-bounty.git
cd claude-bug-bounty
chmod +x install.sh && ./install.sh     # 安装技能 + 命令到 ~/.claude/
bash install_tools.sh                    # 安装侦察/扫描工具 + sisakulint

API 密钥

Chaos API（侦察所需）

在 chaos.projectdiscovery.io 注册
导出你的密钥：

export CHAOS_API_KEY="your-key-here"
echo 'export CHAOS_API_KEY="your-key-here"' >> ~/.zshrc

可选 API 密钥（提升子域名覆盖范围）

在 ~/.config/subfinder/config.yaml 中配置：

VirusTotal — 免费
SecurityTrails — 免费层级
Censys — 免费层级
Shodan — 付费

黄金法则

这些规则始终生效，不可妥协。

 1. 完整阅读范围        在首次请求前核实每个资产
 2. 禁止理论漏洞        “攻击者现在就能做到吗？”——若不能，则停止
 3. 快速终止弱目标      第 0 道门限为 30 秒，节省大量时间
 4. 绝不超出范围        一次请求就可能被封禁
 5. 5 分钟法则           5 分钟内无进展则继续下一个目标
 6. 仅自动进行侦察      手动测试才能发现独特漏洞
 7. 影响优先            “如果认证被攻破，最坏后果是什么？”——以此决定目标选择
 8. 兄弟姐妹法则         9 个端点都有认证？检查第 10 个
 9. A→B 信号             确认 A 存在，意味着 B 很近——立即搜索
10. 先验证再行动        报告前先过 7 问门栏（15 分钟），而非直接提交（30 分钟）

三部曲

仓库	目的
claude-bug-bounty	完整狩猎流程 — 从侦察到报告
web3-bug-bounty-hunting-ai-skills	智能合约安全 — 10 类漏洞，Foundry PoC
public-skills-builder	将 500+ 漏洞分析文章导入 Claude 技能文件

贡献

欢迎 PR。最佳贡献包括：

新的漏洞扫描工具或检测模块
向 skills/security-arsenal/SKILL.md 添加新载荷
为特定平台定义新代理
基于实际案例改进方法论（需提供付费报告证据）
增加对其他平台的支持（YesWeHack、Synack、HackenProof）

git checkout -b feature/your-contribution
git commit -m "Add: 简短描述"
git push origin feature/your-contribution

联系方式

GitHub | Twitter | LinkedIn | Email

仅供授权的安全测试使用。 仅可在已批准的漏洞赏金范围内测试目标。
切勿在未经明确许可的情况下测试任何系统。请遵循负责任的漏洞披露原则。

MIT 许可证

由漏洞猎人打造，为漏洞猎人服务。

如果你因此发现了漏洞，请给个项目点个赞。

Claude Bug Bounty 快速上手指南

Claude Bug Bounty 是一款由 AI 驱动的专业漏洞赏金猎人助手。它不仅能编排 25+ 种安全工具，还能通过持久化记忆学习过往狩猎经验，并自动生成符合提交标准的报告。

环境准备

在开始之前，请确保您的开发环境满足以下要求：

操作系统：Linux 或 macOS（推荐），Windows 需使用 WSL2。
Python 版本：3.8 或更高版本。
前置依赖：
- git：用于克隆代码库。
- curl / wget：部分子工具可能需要。
- Claude Code：本项目作为 Claude Code 的插件运行，需确保已安装并配置好 Claude Code CLI。
- 可选集成：若需读取浏览器流量或获取项目情报，建议安装 Burp Suite 和配置 HackerOne API Key。

注意：本项目主要依赖 Python 脚本和 Shell 脚本，安装脚本会自动处理大部分依赖项。目前暂无官方提供的国内镜像源，如遇网络问题，请自行配置 GitHub 加速代理。

安装步骤

执行以下命令克隆仓库并运行自动安装脚本：

# 1. 克隆项目仓库
git clone https://github.com/shuvonsec/claude-bug-bounty.git

# 2. 进入项目目录
cd claude-bug-bounty

# 3. 赋予安装脚本执行权限并运行
chmod +x install.sh && ./install.sh

安装完成后，系统将自动配置所需的 AI Agent 和本地工具链。

基本使用

本项目设计为 Claude Code 的交互式插件，同时也支持直接命令行调用。

模式一：交互式 AI 狩猎（推荐）

启动 Claude Code 后，通过斜杠命令调用内置的 AI Agent 进行自动化作业：

# 1. 启动 Claude Code 交互界面
claude

# 2. 在 Claude 对话框中依次执行以下命令：

# 侦察阶段：发现攻击面（子域名、存活主机、URL 等）
/recon target.com

# 狩猎阶段：主动测试漏洞（范围检查、技术栈识别、高价值漏洞测试）
/hunt target.com

# 验证阶段：在撰写报告前验证发现的有效性（通过/驳回/降级/需链式利用）
/validate

# 报告阶段：生成可直接提交至 HackerOne/Bugcrowd 等平台的专业报告
/report

模式二：全自动驾驶模式 (v3.0+ 新特性)

让 AI 自主完成从侦察到报告的完整闭环，包含安全检查点：

# 启动全自动狩猎循环（--normal 模式会每隔几分钟暂停以便人工确认）
/autopilot target.com --normal

# 获取目标相关的 CVE 和披露情报
/intel target.com

# 中断后可随时恢复之前的狩猎进度
/resume target.com

模式三：独立工具调用（无需 Claude）

如果您只想单独运行某个工具而不经过 AI 编排，可以直接调用底层脚本：

# 运行漏洞扫描引擎
python3 tools/hunt.py --target target.com

# 运行侦察引擎
./tools/recon_engine.sh target.com

# 运行情报引擎（指定技术栈，如 nextjs）
python3 tools/intel_engine.py --target target.com --tech nextjs

提示：首次使用时，建议先使用 /recon 了解目标资产，再使用 /scope <asset> 确认资产是否在授权范围内，以确保合规狩猎。

版本历史

v3.0.02026/03/26

v1.0.02026/03/13

相似工具推荐

openclaw

OpenClaw 是一款专为个人打造的本地化 AI 助手，旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚，能够直接接入你日常使用的各类通讯渠道，包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息，OpenClaw 都能即时响应，甚至支持在 macOS、iOS 和 Android 设备上进行语音交互，并提供实时的画布渲染功能供你操控。这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地，用户无需依赖云端服务即可享受快速、私密的智能辅助，真正实现了“你的数据，你做主”。其独特的技术亮点在于强大的网关架构，将控制平面与核心助手分离，确保跨平台通信的流畅性与扩展性。 OpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者，以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力（支持 macOS、Linux 及 Windows WSL2），即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你

★ 349.3k|★★★☆☆|昨天

Agent开发框架图像

stable-diffusion-webui

stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。

★ 162.1k|★★★☆☆|2天前

开发框架图像Agent

everything-claude-code

everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上

★ 143.9k|★★☆☆☆|今天

开发框架Agent语言模型

ComfyUI

ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。

★ 107.9k|★★☆☆☆|昨天

开发框架图像Agent

markitdown

MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具，专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片（含 OCR）、音频（含语音转录）、HTML 乃至 YouTube 链接等多种格式的解析，能够精准提取文档中的标题、列表、表格和链接等关键结构信息。在人工智能应用日益普及的今天，大语言模型（LLM）虽擅长处理文本，却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点，它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式，成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外，它还提供了 MCP（模型上下文协议）服务器，可无缝集成到 Claude Desktop 等 LLM 应用中。这款工具特别适合开发者、数据科学家及 AI 研究人员使用，尤其是那些需要构建文档检索增强生成（RAG）系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性，但其核心优势在于为机器

★ 93.4k|★★☆☆☆|昨天

插件开发框架

LLMs-from-scratch

LLMs-from-scratch 是一个基于 PyTorch 的开源教育项目，旨在引导用户从零开始一步步构建一个类似 ChatGPT 的大型语言模型（LLM）。它不仅是同名技术著作的官方代码库，更提供了一套完整的实践方案，涵盖模型开发、预训练及微调的全过程。该项目主要解决了大模型领域“黑盒化”的学习痛点。许多开发者虽能调用现成模型，却难以深入理解其内部架构与训练机制。通过亲手编写每一行核心代码，用户能够透彻掌握 Transformer 架构、注意力机制等关键原理，从而真正理解大模型是如何“思考”的。此外，项目还包含了加载大型预训练权重进行微调的代码，帮助用户将理论知识延伸至实际应用。 LLMs-from-scratch 特别适合希望深入底层原理的 AI 开发者、研究人员以及计算机专业的学生。对于不满足于仅使用 API，而是渴望探究模型构建细节的技术人员而言，这是极佳的学习资源。其独特的技术亮点在于“循序渐进”的教学设计：将复杂的系统工程拆解为清晰的步骤，配合详细的图表与示例，让构建一个虽小但功能完备的大模型变得触手可及。无论你是想夯实理论基础，还是为未来研发更大规模的模型做准备

★ 90.1k|★★★☆☆|昨天

语言模型图像Agent