Batta – AI編碼代理的計劃階段安全審查（開源）

Batta是一款開源工具，專為AI編碼代理設計，在計劃階段提供安全審查。其核心理念是“安全設計”，即在代碼編寫之前注入安全上下文，使每個代理決策都有充分的信息依據。

與傳統的安全審查不同，Batta不是在拉取請求或部署後進行，而是在代理開始新功能或代碼變更前運行。它通過索引整個代碼庫、雲配置和組織策略，構建一個結構化的安全模型，包括服務、入口點、身份、雲資源、數據流、信任邊界、數據分類、威脅和已知缺口。當代理提出變更時，Batta會將變更與該模型對比，返回具體的上下文缺失信息、風險、所需安全任務以及證據支持的證明，供人工審核。

Batta的工作流程圍繞MCP（Model Context Protocol）協議展開。編碼代理通過MCP將倉庫索引到Batta API，Batta存儲結構化架構上下文。在特性開發前，代理啓動安全審查，Batta比較變更與索引的架構，返回缺失上下文、風險和任務。代理實施變更並提交證據證明。整個過程在本地優先的OSS環境中運行，無需LLM密鑰即可進行MCP索引和審查循環。

快速開始：運行docker compose up，打開http://localhost:3100/onboarding，然後向編碼代理粘貼包含Batta服務器地址的提示，代理自動獲取設置指令、配置MCP、驗證連接、索引倉庫，並添加運行Batta審查的永久指令。

Batta的架構包括React+Vite的前端UI、Express REST API和MCP端點、Postgres+pgvector持久化以及Redis緩存。它支持Ollama本地模型，如qwen2.5-coder:14b，用於聊天、索引代理和語義嵌入。

對於組織而言，Batta不僅是一個安全工具，更是安全決策的記錄系統。它記錄每個決策、發現和證明，讓人工始終控制關鍵事項，並保留完整的審計跟蹤。許可證為Apache-2.0。