本地優先 · 零雲端依賴

把弱點掃描留在
你自己的機器裡

以本地 LLM 為後端的離線資安弱點掃描工具。原始碼與 URL 雙模式掃描,LLM 生成繁體中文報告與修補建議——零雲端依賴、零外送敏感資料

查看方案比較 了解核心功能 →
100% 本地執行 繁中報告 narrative 零信任 sandbox 排除中國供應鏈
產品介紹

3 分鐘看懂 VulnLens 怎麼運作

從掃描、LLM 解讀到封版報告,一條龍流程一次看完。

為什麼選 VulnLens

同樣是掃描,差在資料去了哪裡

業界主流把你的程式碼送上雲端引擎。我們把整條鏈留在地端。

痛點
業界常見方案
VulnLens
程式碼外送雲端 SAST 引擎
SonarCloud / Snyk Cloud
100% 本地,scan-agent 容器離線跑
中文掃描報告品質差
英文 raw output
LLM 生成繁體中文 narrative + 修補建議
Wiki 知識整合靠人工
手抄 OWASP / CWE
內建 OWASP / TWCERT/CC / NICS 三來源
供應鏈合規不可控
中國背景框架
跨類別硬性排除中國背景(模型 / 套件 / tokenizer)
跨境個資合規盲區
只報技術弱點
偵測服務範圍 → 對照台灣 + 跨境個資法(GDPR / 日韓)
核心功能

一條龍:掃描 → LLM 解讀 → 封版報告

🔍

雙模式掃描

原始碼目錄走 Semgrep,URL 應用層走 OWASP ZAP,一套介面覆蓋 SAST 與 DAST。

Semgrep · OWASP ZAP
🤖

LLM 兩段解讀

Stage 1 過濾誤報、Stage 2 生成繁中報告。snippet ≤ 2000 字、items ≤ 500,控管 token 與品質。

Stage 1 filter · Stage 2 narrative
📚

Wiki Manager

知識版次化封版(v2026-Q2 形式),retest 對齊版次,diff 清楚顯示新增與已修補項目。

versioned · retest diff
📄

雙格式報告

PDF(Typst 排版)與 DOCX(docx-rs)一鍵輸出——直接從結構化資料產出、不經 Markdown 轉換,交付稽核與客戶皆宜。

PDF · DOCX
🛡️

零信任 Sandbox

scan-agent 容器 --read-only + --cap-drop ALL,限額 512MB / 1 CPU / pids=64。

read-only · cap-drop ALL
🔐

Secret 管理

API Key 一律存入作業系統原生 keyring(憑證庫),絕不落地進 config 明文。

OS keyring · no plaintext
⚖️

法規合規對照

報告自動對照台灣資安法 / 個資法條文全文(grounded、不臆測、不下違法判決);並偵測受測 app 服務範圍(i18n / cookie consent / 幣別),標出疑似涉及的跨境個資法(GDPR / 日韓)宜對照——偵測非斷定。

台灣法 + 跨境個資

URL(DAST)掃描的覆蓋邊界

我們把話講清楚:被動揭露預設就跑、零侵入;主動注入需在你授權靶站後手動開啟。

被動揭露預設啟用 · 零侵入
  • Server / X-Powered-By 版號(nginx / Apache / 框架版本 banner)
  • 安全標頭缺失(CSP / HSTS / X-Frame-Options 等)
  • 技術指紋 + 已知 CVE 對照(Nuclei tech · cve)
  • Cookie 旗標、HTML 表單欄位偵測
  • 全程不送攻擊 payload,對目標零干擾
主動注入需授權開啟
  • LDAP / SQL injection、XSS、Path Traversal 等
  • GET querystring + POST 參數實際送測試向量
  • ZAP active + Nuclei 注入範本(破壞性規則預設關)
  • 注入值帶可清除前綴,DB 污染可回溯清理
  • 覆蓋範圍以 spider 爬取深度為界
// 邊界說明:server 隱藏版號(server_tokens off)時,版本級 CVE 對照會受限;SPA / 登入後 / 純 API 端點的主動覆蓋仍在強化中——我們不誇大黑箱掃描的能力。
多語系

介面、報表框架、AI 敘述分層多語

介面 UI 繁體中文 English 日本語 한국어
報表框架 繁體中文 English 章節 / 標籤等靜態文字
AI 弱點敘述 繁體中文 日本語 한국어 LLM 依語系即時翻譯 · 離線無雲端
方案比較

自助、期間授權,沒有人力密集的顧問費

掃描功能 100% 免費全開。付費版=本機模型一鍵啟用 + 數位簽章 + SLA——不是賣顧問工時。

Self-Hosted

Free 自架

$0/ 永久

掃描功能全開,自行串接 LLM。適合已有模型資源、想完全自主的技術團隊。

  • SAST(Semgrep + 深度分析 Joern / Pysa / Roslyn)
  • DAST(ZAP + Nuclei URL 掃描)
  • SCA(Trivy CVE + Gitleaks 密鑰 + 中國供應鏈偵測)
  • LLM 分析報告(自串 OpenAI 相容 endpoint)
  • 報告匯出 PDF / Word / SARIF
  • Wiki / CWE 繁中 / 規則 / 緊急情資持續更新
  • 需自行安裝 / 調校 LLM 模型
  • 無數位簽章 / SLA
載入版本資訊…
查看所有版本 →
本地 · 試水溫

本機模型 · 半年

$11,800/ 180天·台
每月約 $1,967

含免費版全部功能 + 本機模型一鍵啟用,不需自架 LLM。

  • Free 全部掃描功能
  • 一鍵下載 + 本地離線執行(免裝 endpoint)
  • E4B 標準 / 12B 高階 兩檔可選(依硬體自動推薦)
  • 購買前真實試跑硬體 gate
  • 數位簽章(報告驗真偽)
  • SLA 聲明(授權版品質保證)
立即購買
最划算
本地 · 一鍵體驗

本機模型 · 年度

$19,800/ 365天·台
每月只要 $1,650,比半年方案省 16%

同半年版、整年授權。修一輪、複檢一輪都免費納入——資安掃描的正確計價單位。

  • 半年方案全部
  • 整年不限掃描 + 複檢循環
  • 年內 prompt 包 / 規則 / 法規對照更新
立即購買
年度授權 · 可地端

企業 / 地端

從 $198,000/ 年

組織不限席次,可地端封閉部署;含完整 SLA 與導入協助。

  • 年度方案全部
  • 組織不限席次授權
  • 地端封閉部署選項(含 GX10 主機可選)
  • 完整 SLA(含回應時間承諾)
  • 導入協助 + 工單支援
聯繫洽談

// 計價單位是「期間授權 + 不限複檢」,不是單次掃描——對齊資安「修了再複檢」的真實工作流。

硬體建議

Free 自架
硬體取決於你接的後端(LM Studio · Ollama · 雲端 endpoint);App 本身無 GPU 需求,推論在你指定的後端跑。
本機 E4B · 標準
建議 8GB+ 顯卡記憶體全速;或 16GB+ 系統記憶體走 CPU / Apple Silicon。下載約 4.5GB。一般機器主力。
本機 12B · 高階
建議 12GB+ 獨立顯卡(RTX 4070 Ti 等級以上)全載,實測約 54 tok/s。下載約 7.4GB;弱顯卡不建議。

購買本機模型前,App 會真實試跑量測你的機器,給 ✅ 順跑 / ⚠️ 可跑但慢 / ⛔ 不足 判定——不靠你猜。

零外送

原始碼、URL、掃描結果全程留在地端;無遙測、無雲端回傳。

隔離執行

scan-agent 以唯讀容器執行,cap-drop ALL、資源硬限。

機密不落地

所有金鑰入 OS keyring;簽章私鑰留離線氣隙機,線上永不持有。

供應鏈純淨

模型、套件、tokenizer 跨類別硬性排除中國背景元件。

讓資安掃描,回到你能掌控的邊界內

先用 Free 自架體驗完整功能,想一鍵省去裝設就升級本機模型授權。

查看方案 核心功能 →