← argusred · 自助CLI · cos v2.0.19 审核您的代码，或攻击它。一个CLI中的两种模式。安全扫描读取代码。渗透测试尝试针对您授权的系统进行攻击。$ brew install CosineAI/tap/cos $ curl -fsSL https://cosine.sh/install | bash PS> winget install Cosine.CLI 选择模块，设置代理的权限，运行。输出是一个Markdown报告 — 每个发现的地点、严重性、原因和修复方向。免费安装。运行扫描需要一个有效的$20/月的Cosine订阅——与运行Cosine编码代理相同的登录。$ cos login $ cd path/to/your/repo $ cos --security-scan 在扫描运行之前。cos v2.0.19 · 安全扫描 · 设置 扫描范围 — 8个模块中的5个[×]依赖漏洞分析[×]秘密和凭证检测[×]SQL注入/XSS向量[ ]身份验证和会话流[×]输入验证和清洗[ ]CORS和CSP误配置[ ]加密弱点扫描[×]文件权限和访问控制 代理权限 终端访问( ) 启用 (•) 禁用 ( ) 沙盒网络请求 ( ) 启用 (•) 禁用 ( ) 沙盒文件写入 ( ) 启用 ( ) 禁用 (•) 沙盒滚动 0% · 开始 · tab 下一个 · shift+tab 上一个 · q 退出 查看输出。阅读样本报告 .cos/scan-2026-06-05.md # Anthos银行 — 安全审计报告 29,846 LOC / 391个文件 · 8个模块中的6个 ## 1. 执行摘要 总体风险评级：严重 多个严重和高严重程度的漏洞：可伪造的令牌跨每个账本服务——balancereader，transactionhistory和ledgerwriter验证JWTagainst一个没有发行人或受众声明绑定的单一共享RSA公钥。结合存储在repo中的硬编码私钥（见下文），在每个服务中通过验证的令牌签字通过，授权任何帐户；每个服务的信任崩溃为“你是否有repo。” 前端认证助手中禁用JWT签名验证 在财务交易验证中允许余额绕过的整数溢出 OAuth同意流程中的SSRF和开放重定向 登录流程中在URL查询字符串中传输的凭证 版本控制中的硬编码秘密，包括用于签署JWT的RSA私钥 [经过修剪 — 完整报告包含每个模块的发现] 观看扫描运行 · 1m 26s 不会这样做。不会修改您的代码。只读由下面模型的Go工具强制执行——每个工具调用在执行之前被拦截；改变的调用（文件写入、命令执行）是确定性阻止的，无论模型想要什么。没有模糊测试，没有DAST，没有实时利用。活动测试在渗透测试模式中进行。不会包括无法在您的代码中找到的发现。没有基于感觉的漏洞。 快速回答。 扫描需要多长时间？两个数据点：对Anthos银行的6个模块扫描（约30k LOC）在约10分钟内完成；对Symfony的全面扫描（约1.5M LOC）花费了约40分钟。时间随着代码库大小的增加而次线性缩放，因为模块作为并行群体运行；在您开始之前，TUI显示实时估计。 输出文件是什么？一个单独的Markdown文件在.cos/scan-<日期>.md中，包含执行摘要、每个模块发现、地点、严重性、原因和修复方向。该文件保留在您的机器上。费用是多少？安装是免费的。运行扫描需要一个有效的$20/月的Cosine订阅——与运行Cosine编码代理相同的登录。使用一个帐户，两个产品。相同的CLI，第二个选项卡。 群体对您授权的系统进行攻击——不仅仅是读取代码，尝试利用。因为安全影响是真实的，所以有门槛；在任何操作运行之前，通过预订、范围和书面授权进行访问。 在渗透测试开始之前。cos vnightly-906 · 渗透测试 · 设置 目标 仅添加您被授权测试的系统。按 a 添加主机或URL。 ○ 尚未添加目标 努力 被动 侵略侦察 轻 ▲ 中度 深 侵略 主动探测带有特定有效载荷的。可能触发WAF规则或速率限制。没有破坏性行动。适合暂存环境。 [×] 端口和服务指纹识别 [×] 头部和TLS分析 [×] 目录和端点枚举 [×] 有效负载注入（SQLi、XSS、SSTI） [ ] 暴力凭证喷射 — 深 [ ] 漏洞链构造 — 侵略 [ ] 拒绝服务韧性测试 — 侵略 代理权限 终端访问 (•) 启用 ( ) 禁用 ( ) 沙盒网络请求 (•) 启用 ( ) 禁用 ( ) 沙盒文件写入 (•) 启用 ( ) 禁用 ( ) 沙盒目标/说明 估计目标 0 主机 努力 中等（4个技术类别） 估计时间 ~1分钟 代理周期 ~2–3 迭代 ▶ 开始渗透测试 取消s 开始 · tab 下一个 · shift+tab 上一个 · 1/2模式 · a 添加目标 · q 退出 查看输出。阅读样本参与摘要 .cos/pentest-2026-06-08.md # api.your-app.com — 渗透测试参与 预订 2A4F · 2026-06-08 · 4小时22分钟 · 中等努力 ## 执行摘要 状态：2个严重，1个高，3个中 — 全部可重复。