Batta – AI編碼代理的計劃階段安全審查（開源）

Batta是一款開源工具，專為AI編碼代理設計，在計劃階段提供安全審查。其核心理念是“安全設計”，即在程式碼編寫之前注入安全上下文，使每個代理決策都有充分的資訊依據。

與傳統的安全審查不同，Batta不是在拉取請求或部署後進行，而是在代理開始新功能或程式碼變更前執行。它透過索引整個程式碼庫、雲配置和組織策略，構建一個結構化的安全模型，包括服務、入口點、身份、雲資源、資料流、信任邊界、資料分類、威脅和已知缺口。當代理提出變更時，Batta會將變更與該模型對比，返回具體的上下文缺失資訊、風險、所需安全任務以及證據支援的證明，供人工稽核。

Batta的工作流程圍繞MCP（Model Context Protocol）協議展開。編碼代理透過MCP將倉庫索引到Batta API，Batta儲存結構化架構上下文。在特性開發前，代理啟動安全審查，Batta比較變更與索引的架構，返回缺失上下文、風險和任務。代理實施變更並提交證據證明。整個過程在本地優先的OSS環境中執行，無需LLM金鑰即可進行MCP索引和審查迴圈。

快速開始：執行docker compose up，開啟http://localhost:3100/onboarding，然後向編碼代理貼上包含Batta伺服器地址的提示，代理自動獲取設定指令、配置MCP、驗證連線、索引倉庫，並新增執行Batta審查的永久指令。

Batta的架構包括React+Vite的前端UI、Express REST API和MCP端點、Postgres+pgvector持久化以及Redis快取。它支援Ollama本地模型，如qwen2.5-coder:14b，用於聊天、索引代理和語義嵌入。

對於組織而言，Batta不僅是一個安全工具，更是安全決策的記錄系統。它記錄每個決策、發現和證明，讓人工始終控制關鍵事項，並保留完整的審計跟蹤。許可證為Apache-2.0。