LLM 驅動之 WEB 安全性健康報告生成系統 - 完整研究計畫
文件導覽
本研究計畫採用模塊化文件結構,請依據需求參閱各子文件:
📑 核心文件
- 五大核心價值 - 專案的核心價值主張與創新意涵
- 系統架構 - 系統架構設計與核心組件
- 互動模式 - 四種使用者互動模式詳述
- 工作流程 - 技術工作流程與工具整合
- 實作計畫 - 開發時程與可行性評估
1. 專案概述
1.1 願景與目標
本專案旨在打造一個由大型語言模型(LLM)驅動的智能化 WEB 安全性健康報告生成系統。系統核心目標是利用 LLM 的程式生成、資料解釋與邏輯推理能力,自動化執行網頁應用程式的安全性檢測,並將複雜的技術數據轉化為資安新手也能理解的健康報告與修補建議。
1.2 專案定位
從工具到知識體系的演進
本專案不僅是一個自動化掃描工具,更是一個:
- 互動式學習平台:每次掃描都是一次資安教育體驗
- 知識累積系統:持續增長的資安案例資料庫
- 實踐導向工具:將理論轉化為實際可執行的安全檢測
- 雙向價值創造:學習者獲得知識,實務者獲得效率
1.3 創新意涵
LLM 作為「資安專家大腦」與「自動化引擎」的結合體
MVP 階段應用
- 資安教育工具
- 開發人員的自我檢測輔助工具
- 學習資源生成系統
成熟應用階段
- 整合至企業 CI/CD 流程(DevSecOps)
- 中小企業的輕量級定期資安健檢服務
- 持續性安全監控與趨勢分析平台
2. 專案核心特色
2.1 四種檢測觸發模式
本系統提供四種智能化的檢測啟動方式:
模式 A:使用者主動輸入(引導式掃描)
- 互動方式:使用者透過 UI 明確指定想要進行的檢測項目
- 適用場景:使用者已有明確的安全檢測需求
- 系統行為:直接執行對應的檢測腳本
模式 B:資安情資驅動建議(情資驅動掃描)
- 互動方式:系統基於 CVE 資料庫或其他資安情資,主動建議相關檢測
- 適用場景:使用者輸入目標後,系統自動分析並推薦
- 系統行為:
- 執行初步偵察(如版本探測)
- 比對 CVE 知識庫
- 列出相關已知漏洞供選擇
模式 C:對話式資安議題探索(對話式掃描)
- 互動方式:使用者與 LLM 進行自然語言對話,討論 WEB 安全議題
- 適用場景:學習導向、探索性測試
- 系統行為:
- LLM 扮演「資安導師」角色
- 逐步引導使用者理解安全議題
- 討論後共同決定檢測方向
模式 D:預設策略執行(全自動化掃描)
- 互動方式:一鍵執行預設的完整掃描策略
- 適用場景:定期資安健檢、CI/CD 整合、企業用戶
- 系統行為:
- 使用者選擇掃描策略(快速/標準/深度掃描)
- 系統自動依序執行多項檢測
- 產出全面性的安全評估報告
2.2 階段性工作流程
階段一:檢測觸發與目標確認
├─ 模式 A:使用者選擇檢測項目(引導式)
├─ 模式 B:系統建議相關 CVE 檢測(情資驅動)
├─ 模式 C:對話式議題探索(對話式)
└─ 模式 D:選擇預設掃描策略(全自動化)
階段二:工具與腳本生成
├─ 系統提示可用工具(nmap, curl, Nikto, SQLMap...)
├─ 使用者選擇工具或由 LLM 推薦
└─ LLM 生成客製化 Python 測試腳本
階段三:執行與結果呈現
├─ 單次執行:執行當前生成的腳本
├─ 批次執行:依序執行多個檢測任務(模式 D)
└─ 生成報告:結構化結果 + LLM 解釋 + 修復建議
3. 五大核心價值
本專案的價值體現在以下五個層面(詳見 proposal_core_values.html):
- 資安學習與探究 - 每次掃描都是互動式學習體驗
- 目標、工具與結果的清晰對應 - 完整的檢測邏輯鏈
- 自動化的資安掃描資料庫 - 可分析的數據資產
- 系統化的教學案例庫 - 持續增長的知識庫
- 學習與實用並存 - 雙重需求的滿足
4. 快速導覽
想了解系統如何運作?
👉 閱讀 系統架構 與 工作流程
想知道如何與系統互動?
👉 閱讀 互動模式
想了解專案的核心理念?
👉 閱讀 五大核心價值
想知道如何實作?
👉 閱讀 實作計畫
5. 技術摘要
5.1 核心技術棧
| 層級 |
技術選型 |
| 前端 |
React / Next.js + TypeScript |
| 後端 |
Python 3.11+ (FastAPI / Django) |
| 資料庫 |
PostgreSQL (支援 JSONB) |
| 沙箱 |
Docker 容器隔離 |
| LLM |
OpenAI API / Claude API |
| 安全工具 |
nmap, curl, Nikto, SQLMap, WPScan 等 |
5.2 安全與道德框架
本系統基於防禦性資安理念設計,所有功能必須遵守:
- 授權驗證:僅允許掃描合法擁有或獲得授權的目標
- 輸入驗證:嚴格的輸入清理與命令注入防護
- 沙箱隔離:網路隔離、資源限制、唯讀檔案系統
- 稽核日誌:所有掃描活動可追溯至使用者帳號
- 速率限制:防止濫用與資源耗盡攻擊
6. 預期成果
6.1 學術貢獻
- 探索 LLM 在資安自動化領域的應用模式
- 建立「對話式安全測試」的新型互動範式
- 累積結構化的資安教學案例資料集
6.2 實務價值
- 降低中小企業進行資安檢測的技術門檻
- 為開發人員提供自助式安全檢測工具
- 加速 DevSecOps 流程的落地實施
6.3 教育價值
- 將抽象的資安知識具象化為可執行的檢測
- 透過實作與結果解釋,加深學習者的理解
- 建立一個持續增長的開源資安教材庫
7. 專案時程概覽
| 階段 |
時程 |
核心目標 |
| Phase 1: MVP |
6 週 |
驗證核心流程,整合 nmap 與 curl |
| Phase 2: 功能擴展 |
3 個月 |
整合更多工具,實現三種觸發模式 |
| Phase 3: 智能化 |
4 個月 |
全自動模式,複雜測試鏈 |
| Phase 4: 部署整合 |
持續 |
API 整合、效能優化 |
詳細時程請參閱 實作計畫
8. 結語
本專案透過 LLM 的智能協調能力,將資安檢測從「專家專屬」轉化為「人人可及」,同時在過程中累積寶貴的知識資產。我們相信,一個好的資安工具不應只是執行掃描,更應該是一位耐心的導師、一個可靠的助手,以及一座持續成長的知識寶庫。
讓安全檢測不再是黑盒子,而是一場可理解、可學習、可複用的探索之旅。
最後更新:2025-10-21