开源安全扫描代理
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
OpenHack 是面向开发者和工程团队的 AI 安全扫描工具,定位为“开源模型驱动的安全代理”。它重点发现传统规则型扫描器较难覆盖的逻辑漏洞,并通过浏览器或沙箱进行端到端验证,输出带 PoC exploit 的有效发现。官方给出的基准显示,其在已知漏洞集合和 CVE-Bench 上表现接近前沿模型代理,同时强调运行成本最高可低 40 倍。
在防护类型上,OpenHack 覆盖 AI 语义扫描、PR 安全审查、全仓库扫描、Basic SCA、威胁建模、业务影响排序和 AI Autofix。它不是传统边界防护产品,而是偏应用安全与代码安全治理。部署方式分为 CLI 和 Platform:CLI 通过 pip install openhack 安装,可本地扫描任意代码库,适合个人、开源项目和 CI;Platform 可连接 GitHub 组织,实现多仓库持续扫描、修复 PR 和合规报告。企业版还提供本地部署、SSO/SAML、审计日志和高级 RBAC。
定价较清晰:Free Solo 免费,限制为 1 名用户和 3 个项目;Pro Team 为 50 美元/月固定价,最多 10 名成员、无限项目,并包含 AI Autofix、合规报告和优先支持;Enterprise 为定制报价,面向有 SSO、审计、RBAC、本地部署、专属 SLA 和定制集成需求的组织。需要注意的是,页面没有披露 SOC 2、ISO 27001 等第三方合规认证,Free/Pro 的具体用量额度也只描述为 starter credit 或 monthly allowance,边界不够精确。
优点是上手简单、语言和框架覆盖广,支持 JavaScript、Python、Go、Java、Ruby 以及 Next.js、Django、Rails、Express、FastAPI 等,并通过验证机制降低误报。固定月费对小团队有吸引力。局限在于它仍声明不能保证发现所有漏洞,且合规认证、默认数据驻留、告警渠道、支付方式等信息不足。它适合重视 Web 应用逻辑漏洞、希望在 PR 和 CI 中前移安全检查的团队;大型企业应重点评估本地部署、数据处理和审计需求。
抓取文本未提供中国大陆网络可达性、人民币支付或本地支持信息,因此中国访问状态为未知。若访问、支付或合规采购受限,可对比 Semgrep、Snyk Code、Bearer 等替代方案,并结合国内代码安全/DevSecOps 平台进行选型。
本测评基于公开资料整理,不构成购买建议,请以 openhack.com 官网实际信息为准。
主打发现业务逻辑漏洞,并验证PoC。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。