GF Code Scanner [Local + AI]

Проверка кода скриптов GreasyFork на безопасность (Локально + ИИ)

이 스크립트 설치 ?

질문 또는 리뷰 남기기, 또는 스크립트 신고하기.

작성자

ktt21

일일 설치 수

총 설치 수

평점

2 0 0

버전

1.2.0

생성일

2026-03-23

갱신일

2026-04-26

크기

48.9KB

호환성

라이선스

MIT

적용 사이트

greasyfork.org

Цель: Скрипт призван помочь людям далёким от программирования и анализа кода бегло оценить степень угроз устанавливаемого скрипта с сайта GreasyFork. При переходе на вкладку "КОД" для любого скрипта на сайте GreasyFork происходит запускается автоматический "статистический анализ" кода.Имеется функция Этот скрипт проводит статический анализ кода (без его запуска), проверяя исходный текст на наличие опасных паттернов, функций и обращений к чувствительным данным. Вот основные группы параметров, которые он проверяет локально:

Критические угрозы (Выполнение кода и майнинг) eval(): Прямое выполнение произвольного кода из строки. Самый опасный паттерн. new Function(): Динамическое создание функций (аналог eval). Майнеры: Поиск сигнатур криптомайнеров (coinhive, cryptonight, monero, minero.js).
Скрытие кода и обфускация atob(): Декодирование строк из Base64 (часто используется для скрытия вредоносной нагрузки). Шестнадцатеричные строки: Паттерны вида _0xabc123 или String.fromCharCode, характерные для обфусцированного (запутанного) кода.
Доступ к устройству и приватности Геолокация: navigator.geolocation (доступ к GPS). Медиа-устройства: navigator.mediaDevices (доступ к веб-камере и микрофону). Буфер обмена: navigator.clipboard (чтение/запись буфера).
Работа с данными пользователя Cookies: document.cookie (кража сессий или трекинг). Хранилища браузера: localStorage, sessionStorage (сохранение данных на компьютере пользователя). Хранилище менеджера скриптов: GM_getValue, GM_setValue (доступ к постоянным данным расширения).
Сетевая активность Скрытые запросы: GM_xmlhttpRequest (позволяет делать запросы в обход CORS политик браузера). Обычные запросы: fetch(), XMLHttpRequest (загрузка данных с внешних серверов). Перезапись страницы: document.write() (может использоваться для подмены содержимого сайта).
Анализ доменов Скрипт также извлекает все URL-адреса из кода, выделяет уникальные доменные имена и показывает их в отчёте, чтобы вы видели, куда скрипт может отправлять данные. Итог: Если скрипт находит совпадения, он помечает их уровнем опасности (Low, Medium, High, Critical) и показывает конкретные строки кода, где была найдена угроза.

По аналогии со скриптом "GreasyFork Code Safety Scaner" этот скрипт при нажатии на кнопку Проверить в ИИ" и выборе нужного вам движка ИИ (Требуется первичный одноразовый ввод API-Key для используемого движка ИИ), кроме варианта "Llama 🡒 Puter.js"

Groq - проверено
DeepSeek - проверено
Grok - нет возможности проверить, но функционал сохранен (можете изменить под себя)
Gemini - проверено
Qwen [через Groq] - проверено
ChatGPT - нет возможности проверить, но функционал сохранен (можете изменить под себя)
nVidia 🡒 OpenRouter - проверено
Llama 🡒 Puter.js - проверено

отправляет найденные статистические замечания по проверенному локально коду в ИИ и получает ответ на выбранном языке по конкретно этим замечаниям на предмет их безопасности или ложно-положительного срабатывания. Можно использовать как дополнительный способ проверки кода. Также имеется "чекбокс" с "просьбой" рассказать ИИ о кратком описании работы исследуемого скрипта и сделать юмористический вывод о его работе :-)))

В коде реализован флаг TEST_MODELS_AVAILABLE = true/false тестирование доступных для использования движков ИИ на платформах Groq и OpenRouter с выводом в консоль. Также в коде реализован флаг CLEAR_ALL_API_KEYS = true/false для отчисти из хранилища браузера ранее введенных API-KEY разных движков ИИ.

Примечание 1: буду признателен, если подскажите как изменить строки кода для других ИИ или включить дополнительные проверки, чтобы скрипт получился более качественным.

Примечание 2: Я не программист, поэтому не критикуйте, а предлагайте, если есть что сказать. Скрипт использую для себя, но если кому-то пригодится, то буду рад.