npm - wormclaude - Versions diffs - 1.0.83 → 1.0.85 - Mend

wormclaude 1.0.83 → 1.0.85

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/dist/cli.js CHANGED Viewed

@@ -20,6 +20,7 @@ import { linkify } from './links.js';
 import { recordLearned } from './learn.js';
 import { loadSkills, getSkills, getSkill, buildSkillPrompt } from './skills.js';
 import { loadExtensions, getExtCommands, getExtCommand, buildExtCommandPrompt } from './extensions.js';
+import { platformNote } from './subagents.js';
 import { COMMANDS, runSlashCommand } from './commands.js';
 import { tasks } from './tasks.js';
 import { connectMcpServers } from './mcp.js';
@@ -123,12 +124,12 @@ loadExtensions(); // extensions/<ad>/ (gömülü + kullanıcı + proje) yükle
 // Kalıcı hafıza: açılışta .wormclaude/memory.md + WORMCLAUDE.md'yi context'e yükle
 const _memCtx = loadMemoryContext();
 const _envContext = () => {
-    const plat = process.platform === 'win32' ? 'Windows' : process.platform === 'darwin' ? 'macOS' : 'Linux';
-    const shell = process.platform === 'win32' ? 'PowerShell (cmd.exe altinda calisir)' : 'bash/sh';
-    const winNote = process.platform === 'win32'
-        ? ' This is WINDOWS. Use Windows-correct commands. The Bash tool runs via cmd.exe so && chaining works, but do NOT assume a Unix shell: avoid grep/sed/awk/ls/cat — use the Read/Grep/Glob tools or PowerShell (Get-Content, Select-String, Get-ChildItem). Backslash paths are fine. AVOID interactive scaffolders that hang or are slow (create-react-app); prefer non-interactive, e.g. Vite: npm create vite@latest myapp -- --template react, then npm install. Always pass non-interactive flags (-y, --yes) when available.'
-        : ' Use POSIX shell commands.';
-    return `ENVIRONMENT: The user machine runs ${plat}. Bash tool shell: ${shell}. Current working directory: ${process.cwd()}.${winNote}`;
+    // Platform + kabuk kuralları paylaşılan kaynaktan (subagents.platformNote) — ana ajan
+    // ve alt-ajanlar AYNI Windows tırnak/araç kurallarını görür.
+    const extra = process.platform === 'win32'
+        ? '\n- AVOID interactive scaffolders that hang (create-react-app); prefer Vite: npm create vite@latest myapp -- --template react.'
+        : '';
+    return platformNote() + extra;
 };
 const _initHistory = () => {
     const sys = [{ role: 'system', content: _envContext() }];

package/dist/commands.js CHANGED Viewed

@@ -15,6 +15,7 @@ import { isLearnEnabled, setLearnEnabled, getLearnFile, getLearnCount } from './
 import { saveMemoryFact, getMemoryPath, loadMemoryContext } from './memory.js';
 import { fetchAccount, getVerifyStatus, submitVerification } from './api.js';
 import { programText, tier } from './program.js';
+import { runPentest } from './pentest.js';
 export const COMMANDS = [
     { name: '/help', desc: 'komutları ve ipuçlarını göster' },
     { name: '/clear', desc: 'sohbeti ve geçmişi temizle' },
@@ -44,6 +45,10 @@ export const COMMANDS = [
     { name: '/izinler', desc: 'onayli shell komutlarini yonet (list/add/remove/clear)' },
     { name: '/program', desc: 'Doğrulanmış Araştırmacı Programı — güven seviyeni göster' },
     { name: '/dogrula', desc: 'Doğrulanmış Araştırmacı başvurusu gönder: /dogrula <profil/şirket/gerekçe>' },
+    { name: '/recon', desc: '[seviye 3+] yetkili hedefte keşif (alt-alan/host/crawl): /recon <alan>' },
+    { name: '/scan', desc: '[seviye 3+] yetkili hedefte zafiyet taraması (nuclei): /scan <url>' },
+    { name: '/xss', desc: '[seviye 3+] yetkili hedefte XSS taraması (dalfox): /xss <url>' },
+    { name: '/sqli', desc: '[seviye 3+] yetkili hedefte SQLi taraması (sqlmap): /sqli <url>' },
     { name: '/export', desc: 'sohbeti dosyaya kaydet' },
     { name: '/resume', desc: 'en son kaydedilen oturumu yükle' },
     { name: '/quit', desc: 'çıkış' },
@@ -101,6 +106,85 @@ function tsStamp() {
     return `${d.getFullYear()}${p(d.getMonth() + 1)}${p(d.getDate())}-${p(d.getHours())}${p(d.getMinutes())}${p(d.getSeconds())}`;
 }
 // Komut yürütücü. true → komut işlendi, false → komut değil (normal mesaj).
+const PT_LABELS = {
+    recon: 'Keşif (subfinder+httpx+katana)', scan: 'Zafiyet tarama (nuclei)',
+    xss: 'XSS (dalfox)', sqli: 'SQL injection (sqlmap)',
+};
+const PT_REASON = {
+    trust_required: 'Bu komut Doğrulanmış Araştırmacı (seviye 3+) gerektirir. Başvuru: /dogrula',
+    scope_required: 'Yetki onayı gerekli.',
+    no_quota: 'Bu ay tarama kotan yok (planını yükselt).',
+    quota_exceeded: 'Aylık tarama kotan doldu.',
+    invalid_target: 'Geçersiz hedef. URL/alan adı ver (örn https://test.com/p?id=1).',
+    unknown_tool: 'Bilinmeyen araç.',
+    auth: 'Giriş gerekli. /config key <anahtar>',
+    timeout: 'Sunucu zaman aşımı.',
+    upstream_error: 'Sunucuya ulaşılamadı.',
+};
+function formatFinding(x) {
+    const sev = x.severity ? `[${String(x.severity).toUpperCase()}] ` : '';
+    if (x.type === 'vuln')
+        return `${sev}${x.name || ''} — ${x.url || ''}`;
+    if (x.type === 'xss')
+        return `${sev}XSS ${x.param ? 'param ' + x.param : ''} — ${x.url || x.poc || ''}`;
+    if (x.type === 'sqli')
+        return `${sev}SQLi ${x.vulnerable ? 'ZAFİYETLİ' : ''} ${x.params ? '(' + x.params.join(',') + ')' : ''}`;
+    if (x.type === 'host')
+        return `${x.status || ''} ${x.url || ''}${x.title ? ' · ' + x.title : ''}${x.server ? ' · ' + x.server : ''}`;
+    if (x.value)
+        return `${x.value}`;
+    return JSON.stringify(x);
+}
+// /recon /scan /xss /sqli — ince runner'ı sürer. Zorunlu yetki onayı + trust 3+ teaser.
+async function pentestCmd(tool, arg, ctx) {
+    const parts = (arg || '').trim().split(/\s+/).filter(Boolean);
+    let scopeAck = false;
+    if (parts.length && /^(onayla|--yes|-y|yes|evet)$/i.test(parts[parts.length - 1])) {
+        scopeAck = true;
+        parts.pop();
+    }
+    const target = parts.join(' ').trim();
+    const label = PT_LABELS[tool] || tool;
+    if (!target) {
+        ctx.note(`${label}\nKullanım: /${tool} <hedef>\nÖrnek: /${tool} https://test.com/sayfa?id=1`);
+        return;
+    }
+    if (!scopeAck) {
+        ctx.note(`⚠️  YETKİ ONAYI GEREKLİ — ${label}\n` +
+            `Hedef: ${target}\n\n` +
+            `Bu tarama hedefe GERÇEK istekler gönderir ve trafik SENİN IP'nden çıkar. Yalnız sahibi olduğun ya da\n` +
+            `yazılı izin/angajman bulunan sistemlerde çalıştır. Yetkisiz tarama yasa dışıdır ve kayıt altına alınır.\n\n` +
+            `Onaylıyorsan tekrar çalıştır:  /${tool} ${target} onayla`);
+        return;
+    }
+    ctx.note(`${label} başlatılıyor — ${target}`);
+    const out = await runPentest(ctx.config, tool, target, true, (s) => ctx.note(s));
+    if (!out.ok) {
+        const r = out.reason || out.plan?.reason || 'error';
+        let msg = PT_REASON[r] || r;
+        if (r === 'quota_exceeded' && out.plan)
+            msg += ` (${out.plan.used}/${out.plan.quota})`;
+        ctx.note(`Tarama yapılamadı: ${msg}`);
+        return;
+    }
+    const rep = out.report || {};
+    const lines = [`✓ ${label} tamamlandı — ${rep.target || target}`];
+    if (out.missing && out.missing.length) {
+        lines.push(`⚠ Kurulu olmayan araç(lar) atlandı: ${out.missing.join(', ')}`);
+    }
+    const f = rep.findings || [];
+    if (!f.length) {
+        lines.push('Bulgu yok (hedef yanıt vermedi, temiz, ya da araç kurulu değil).');
+    }
+    else {
+        lines.push(`${rep.found_count} bulgu:`);
+        for (const x of f.slice(0, 40))
+            lines.push('  ' + formatFinding(x));
+        if (f.length > 40)
+            lines.push(`  … +${f.length - 40} daha`);
+    }
+    ctx.assistant(lines.join('\n'));
+}
 export async function runSlashCommand(input, ctx) {
     const v = input.trim();
     if (!v.startsWith('/'))
@@ -642,6 +726,12 @@ export async function runSlashCommand(input, ctx) {
                 : `Başvuru gönderilemedi: ${res.error}`);
             return true;
         }
+        case '/recon':
+        case '/scan':
+        case '/xss':
+        case '/sqli':
+            await pentestCmd(cmd.slice(1), arg, ctx);
+            return true;
         case '/export': {
             fs.mkdirSync(SESSION_DIR, { recursive: true });
             const file = path.join(SESSION_DIR, `session-${tsStamp()}.json`);

package/dist/pentest.js ADDED Viewed

@@ -0,0 +1,87 @@
+// WormClaude güvenlik tarama — İSTEMCİ ince runner.
+//
+// Bu modül JENERİK bir çalıştırıcıdır: hiç payload/şablon/araç-seçimi içermez.
+// Sunucudan bir komut PLANI alır, komutları YEREL makinede çalıştırır (trafik kullanıcının
+// IP'sinden çıkar), ham çıktıyı sunucuya geri gönderir. Tüm zeka sunucuda kalır.
+//
+// Güvenlik: yalnız PT_ALLOWED'daki ikililer çalıştırılır (ele geçirilmiş/kötü sunucunun
+// istemcide rastgele komut çalıştırmasını engeller). Komutlar SHELL'siz spawn edilir (enjeksiyon yok).
+import { spawn } from 'node:child_process';
+// İstemci-tarafı allowlist (sunucudakiyle aynı; çift güvence).
+export const PT_ALLOWED = new Set(['httpx', 'nuclei', 'dalfox', 'sqlmap', 'subfinder', 'katana', 'nmap', 'ffuf']);
+const MAX_OUT = 200_000;
+async function postJson(config, p, body, timeoutMs) {
+    try {
+        const r = await fetch(`${config.baseUrl}${p}`, {
+            method: 'POST',
+            headers: { 'Content-Type': 'application/json', ...(config.apiKey ? { Authorization: `Bearer ${config.apiKey}` } : {}) },
+            body: JSON.stringify(body),
+            signal: AbortSignal.timeout(timeoutMs),
+        });
+        const d = await r.json().catch(() => ({ ok: false, reason: 'bad_response' }));
+        if (!r.ok && !d.reason)
+            return { ok: false, reason: `HTTP ${r.status}` };
+        return d;
+    }
+    catch (e) {
+        return { ok: false, reason: e?.name === 'TimeoutError' ? 'timeout' : 'upstream_error' };
+    }
+}
+function runStep(step) {
+    return new Promise((resolve) => {
+        // İstemci allowlist zorlaması — sunucu ne derse desin, izinsiz ikili ÇALIŞMAZ.
+        if (!PT_ALLOWED.has(step.bin)) {
+            resolve({ id: step.id, ran: false, exit: -1, stdout: '', stderr: `engellendi: izinli olmayan ikili "${step.bin}"` });
+            return;
+        }
+        let out = '', err = '', done = false;
+        let child;
+        try {
+            child = spawn(step.bin, step.args, { shell: false, windowsHide: true });
+        }
+        catch {
+            resolve({ id: step.id, ran: false, exit: -1, stdout: '', stderr: `başlatılamadı (kurulu değil?): ${step.bin}` });
+            return;
+        }
+        const to = setTimeout(() => { try {
+            child.kill('SIGKILL');
+        }
+        catch { /* */ } }, Math.max(5, step.timeout) * 1000);
+        child.stdout?.on('data', (d) => { if (out.length < MAX_OUT)
+            out += d.toString(); });
+        child.stderr?.on('data', (d) => { if (err.length < 4000)
+            err += d.toString(); });
+        child.on('error', () => {
+            if (done)
+                return;
+            done = true;
+            clearTimeout(to);
+            resolve({ id: step.id, ran: false, exit: -1, stdout: out, stderr: `çalıştırılamadı (kurulu değil?): ${step.bin}` });
+        });
+        child.on('close', (code) => {
+            if (done)
+                return;
+            done = true;
+            clearTimeout(to);
+            resolve({ id: step.id, ran: true, exit: code ?? -1, stdout: out, stderr: err });
+        });
+    });
+}
+// Tam akış: plan al → yerelde çalıştır → rapor gönder. log() ile ilerleme bildirir.
+export async function runPentest(config, tool, target, scopeAck, log) {
+    const plan = await postJson(config, '/pentest/plan', { tool, target, scope_ack: scopeAck }, 15000);
+    if (!plan.ok)
+        return { ok: false, reason: plan.reason, plan };
+    log(`Plan alındı (${plan.steps.length} adım). Yerelde çalıştırılıyor — trafik senin IP'nden çıkıyor…`);
+    const results = [];
+    const missing = [];
+    for (const s of plan.steps) {
+        log(`  → ${s.bin} ${s.args.slice(0, 3).join(' ')}…`);
+        const r = await runStep(s);
+        if (!r.ran && /kurulu değil/.test(r.stderr))
+            missing.push(s.bin);
+        results.push(r);
+    }
+    const report = await postJson(config, '/pentest/report', { job_id: plan.job_id, results }, 30000);
+    return { ok: !!report.ok, plan, report, missing: [...new Set(missing)] };
+}

package/dist/subagents.js CHANGED Viewed

@@ -4,6 +4,28 @@
 import * as fs from 'node:fs';
 import * as os from 'node:os';
 import * as path from 'node:path';
+/**
+ * Çalışma ortamı + kabuk kuralları — hem ana ajana hem ALT-ajanlara verilir.
+ * Windows'ta cmd.exe tırnak kuralları kritik: yanlış tırnak sessizce "Sistem
+ * belirtilen dosyayı bulamıyor" / "URL rejected" ile patlar (curl 'url' başarısız).
+ */
+export function platformNote() {
+    const isWin = process.platform === 'win32';
+    const plat = isWin ? 'Windows' : process.platform === 'darwin' ? 'macOS' : 'Linux';
+    const cwd = process.cwd();
+    if (isWin) {
+        return [
+            `ENVIRONMENT: User machine = Windows. The Bash tool runs commands via cmd.exe (NOT a Unix shell). CWD: ${cwd}.`,
+            'WINDOWS SHELL RULES (critical — wrong quoting fails with "Sistem belirtilen dosyayı bulamıyor" or "URL rejected"):',
+            '- Use DOUBLE quotes only. SINGLE quotes do NOT work in cmd.exe — `curl \'http://x\'` FAILS.',
+            '- The characters < > & | ^ ( ) are special in cmd.exe; ANY argument or URL containing them MUST be wrapped in double quotes. Correct: curl "https://site/path?q=<script>alert(1)</script>" — never single-quoted, never unquoted.',
+            '- For fetching or probing a URL, PREFER the WebFetch tool (cross-platform, no shell quoting). Use curl.exe only when you need the RAW HTTP response (e.g. to see if an XSS payload is reflected verbatim), and ALWAYS double-quote the full URL.',
+            '- Unix/security tools are usually NOT installed (no grep/sed/awk/ls/cat/nmap/nikto/sqlmap). Use the Read/Grep/Glob tools or PowerShell (Get-Content, Select-String, Get-ChildItem). Before calling an external tool, verify it exists with `where <tool>`; if missing, use an HTTP/WebFetch-based method instead.',
+            '- && chaining works in cmd.exe. Always pass non-interactive flags (-y/--yes) to avoid hangs.',
+        ].join('\n');
+    }
+    return `ENVIRONMENT: User machine = ${plat}. Bash tool shell: bash/sh (POSIX). CWD: ${cwd}. Use POSIX commands and standard quoting; double-quote URLs containing special characters.`;
+}
 // ── Gömülü uzman ajanlar ──────────────────────────────────────────────────────
 const BUILTINS = [
     {

package/dist/theme.js CHANGED Viewed

@@ -16,4 +16,4 @@ export const theme = {
     synType: '#a78bfa', // tip/sÄ±nÄ±f adlarÄ±, sabitler
     synProp: '#e0e0e0', // Ã¶zellik/anahtar adlarÄ±
 };
-export const VERSION = '1.0.83';
+export const VERSION = '1.0.84';

package/dist/tools.js CHANGED Viewed

@@ -8,7 +8,7 @@ import * as os from 'node:os';
 import * as path from 'node:path';
 import { loadConfig } from './api.js';
 import { runAgentLoop } from './agent.js';
-import { resolveSubagent, subagentTypesHint } from './subagents.js';
+import { resolveSubagent, subagentTypesHint, platformNote } from './subagents.js';
 import { saveMemoryFact } from './memory.js';
 import { emit as emitSpan } from './telemetry.js';
 import { tasks } from './tasks.js';
@@ -951,7 +951,7 @@ export async function executeTool(name, args) {
         if (name === 'Agent') {
             // Uzman ajan seçimi: subagent_type verilirse özel prompt + tool-kısıtı uygulanır.
             const def = resolveSubagent(args.subagent_type);
-            const sysPrompt = def ? def.system : SUBAGENT_SYSTEM;
+            const sysPrompt = (def ? def.system : SUBAGENT_SYSTEM) + '\n\n' + platformNote();
             const subTools = subAgentTools(def?.tools);
             const subMessages = [
                 { role: 'system', content: sysPrompt },
@@ -1391,7 +1391,7 @@ export async function executeTool(name, args) {
             if (sk.tools && sk.tools.length)
                 tools = tools.filter((t) => sk.tools.includes(t.function.name));
             const messages = [
-                { role: 'system', content: SUBAGENT_SYSTEM },
+                { role: 'system', content: SUBAGENT_SYSTEM + '\n\n' + platformNote() },
                 { role: 'user', content: prompt },
             ];
             const { finalText } = await runAgentLoop({ config: cfg(), messages, tools, executeTool });

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "wormclaude",
-  "version": "1.0.83",
+  "version": "1.0.85",
   "description": "WormClaude CLI - uncensored security+code assistant (ink TUI, Claude-style)",
   "type": "module",
   "bin": {