npm package discovery and stats viewer.

Discover Tips

  • General search

    [free text search, go nuts!]

  • Package details

    pkg:[package-name]

  • User packages

    @[username]

Sponsor

Optimize Toolset

I’ve always been into building performant and accessible sites, but lately I’ve been taking it extremely seriously. So much so that I’ve been building a tool to help me optimize and monitor the sites that I build to make sure that I’m making an attempt to offer the best experience to those who visit them. If you’re into performant, accessible and SEO friendly sites, you might like it too! You can check it out at Optimize Toolset.

About

Hi, 👋, I’m Ryan Hefner  and I built this site for me, and you! The goal of this site was to provide an easy way for me to check the stats on my npm packages, both for prioritizing issues and updates, and to give me a little kick in the pants to keep up on stuff.

As I was building it, I realized that I was actually using the tool to build the tool, and figured I might as well put this out there and hopefully others will find it to be a fast and useful way to search and browse npm packages as I have.

If you’re interested in other things I’m working on, follow me on Twitter or check out the open source projects I’ve been publishing on GitHub.

I am also working on a Twitter bot for this site to tweet the most popular, newest, random packages from npm. Please follow that account now and it will start sending out packages soon–ish.

Open Software & Tools

This site wouldn’t be possible without the immense generosity and tireless efforts from the people who make contributions to the world and share their work via open source initiatives. Thank you 🙏

© 2026 – Pkg Stats / Ryan Hefner

@mingyilab/mingyi-atlas

v0.24.0

Published

Mingyi Atlas command-line coding and security assessment agent.

Readme

Mingyi Atlas

中文 | English

Mingyi Atlas

Mingyi Atlas 是一个面向软件工程和授权安全评估的终端 AI Agent。它提供交互式 TUI、无头自动化、持久化项目上下文、内置技能、浏览器/容器辅助能力,以及专用的渗透测试模式。

本项目发布为 @mingyilab/mingyi-atlas,并提供 mingyi-atlas 命令。

安装

npm install -g @mingyilab/mingyi-atlas
mingyi-atlas

也可以不全局安装,直接运行:

npx @mingyilab/mingyi-atlas

运行要求:

  • Node.js >=22.19.0
  • fdfdfind 可选,但建议安装,用于更快的 @file 自动补全
  • Docker 可选,但使用容器支持的渗透测试浏览器/工具运行器时需要 Docker

支持的运行环境包括 macOS、Linux,以及现代 x64 或 arm64 Node.js 构建上的 Windows。原生可选依赖会由包管理器按当前平台解析。

快速开始

启动交互式 TUI:

mingyi-atlas

运行一次无头任务:

mingyi-atlas --prompt "Review the auth module and summarize risks"

在无头自动化中使用渗透测试模式:

mingyi-atlas --mode pentest --prompt "Start an authorized assessment of https://example.test"

界面预览

Mingyi Atlas 测试结果预览

Mingyi Atlas 模式与工具

Mingyi Atlas 渗透测试工作流

Mingyi Atlas 任务执行结果

核心特性

  • 交互式终端 UI,支持持久线程和项目级状态。
  • 支持 build、plan、fast 和 pentest 模式。
  • 通过模型包配置支持多模型提供商。
  • 支持 OAuth 和 API Key 认证。
  • 项目与全局配置分别存放在 .mingyi-atlas/~/.mingyi-atlas/
  • 内置技能加载机制,支持显式搜索和读取技能。
  • Goal 模式用于较长周期的持续目标。
  • 通过 /browser 配置浏览器自动化。
  • 为渗透测试工作流提供结构化安全上下文、发现、报告和工具产物。

下一步计划

  • Mastra Workflow 接入:为侦察、验证、报告生成、清理等确定性安全评估流程引入可复用工作流编排。
  • Workflow Tool 接入:将关键工作流封装为语义清晰的模型工具,使 pentest mode 和专用子 Agent 能在合适上下文中自主选择调用。
  • 逆向分析 Agent 模式:面向二进制、固件、移动应用和协议样本的辅助分析工作流。
  • APK 渗透 Agent 模式:面向授权 Android APK 安全评估,覆盖静态分析、组件暴露面梳理、敏感配置审查和报告生成。

认证

可以使用 /login 登录支持 OAuth 的提供商,也可以在启动 CLI 前通过环境变量设置提供商 API Key。

常用 API Key 环境变量:

export ANTHROPIC_API_KEY=...
export OPENAI_API_KEY=...
export GOOGLE_GENERATIVE_AI_API_KEY=...

凭据会保存在本机的 ~/.mingyi-atlas/auth.json

渗透测试模式

渗透测试模式仅用于授权测试。它会为 Agent 提供面向安全任务的提示词、专用子 Agent、持久化目标上下文和受范围约束的工具。

渗透测试模式使用技能作为工作流指导。对于 benchmark、CTF 和夺旗类任务,它会优先使用 benchmark 工作流。对于 Atlas 风格的红队评估,它可以搜索并激活内置 Atlas 工作流技能,用于协调评估接收、OPPLAN 风格目标、专家委派、验证和报告。普通范围内评估会根据当前阶段选择最匹配的工作流或方法论技能。

系统提供监督、侦察、漏洞分析、验证、报告和修复等专用子 Agent。侦察和漏洞分析子 Agent 可以使用离线/API/认证辅助工具进行发现和证据审查。验证子 Agent 可以使用有边界、非破坏性的探测工具进行范围内检查。报告和修复子 Agent 默认不会获得主动探测工具。

安全工具包:

| 类别 | 工具 | 用途 | 安全边界 | | --- | --- | --- | --- | | HTTP 验证 | http_request | 范围内 HTTP 请求验证 | 仅面向授权目标和任务范围 | | 离线分析 | crypto_analyzehash_analyze | 编码/解码、摘要计算、哈希格式识别 | 不破解哈希,不恢复密钥 | | API 与认证 | graphql_validatewebsocket_validatejwt_analyzeoauth_validate | API、协议和认证配置验证 | 以配置审查和低风险验证为主 | | 漏洞信号检查 | sqli_probessti_probessrf_probexxe_probe | SQL 注入、模板注入、SSRF、XXE 信号检查 | 有边界、非破坏性探测 | | 请求走私评估 | request_smuggling_assess | 被动/低风险请求走私信号评估 | 不发送畸形 TE/CL payload | | 认证边界识别 | detect_auth_scheme | 识别登录、认证和访问控制边界 | 仅做检测和归类 | | CAPTCHA 检测 | detect_captcha | 检测 CAPTCHA 和机器人挑战,提取人工输入相关选择器 | 不自动求解或绕过 CAPTCHA | | 前端发现 | extract_js_endpoints | 从前端资源提取路由和 API 端点 | 用于发现和审查,不执行攻击 | | CVE 查询 | cve_search | 带缓存的本地/远程 CVE 查询 | 只读查询 | | 浏览器自动化 | run_browser_cli | 任务范围内的浏览器自动化 | 遵循授权目标和工具审批 | | 容器工具 | run_container_tool | 容器化工具执行并捕获产物 | 隔离运行,保留执行产物 | | 发现管理 | 结构化发现工具 | 报告、更新和复测发现 | 面向证据整理和复核 |

运行时渗透测试数据会按目标分桶保存:

.mingyi-atlas/pentest/targets/<target-slug>/
  context.json
  findings.json
  http-responses/
  browser-runs/
  tool-runs/
  reports/

CAPTCHA 处理仅限检测和人工交接。工具可以识别提供商、图片 CAPTCHA 字段、输入选择器、表单和提交控件,但不会自动求解或绕过 CAPTCHA。

Slash 命令

常用命令:

| 命令 | 用途 | | --- | --- | | /setup | 重新运行初始化引导 | | /login / /logout | 管理提供商认证 | | /models | 配置模型包 | | /mode | 切换模式 | | /subagents | 配置子 Agent 默认模型 | | /browser | 启用或配置浏览器自动化 | | /skills | 列出技能 | | /skill/<name> | 显式激活某个技能 | | /goal | 启动或管理持久目标 | | /threads | 列出并切换线程 | | /mcp | 查看或重新加载 MCP 服务连接 | | /hooks | 查看或重新加载 hooks | | /permissions | 管理工具审批 | | /settings | 管理通用设置 | | /diff | 查看本地 git diff | | /help | 查看命令帮助 |

数据布局

全局数据:

~/.mingyi-atlas/
  auth.json
  analytics.json
  settings.json
  mingyi-atlas.db
  mingyi-atlas-vectors.db
  locks/
  signals/

analytics.json 保存匿名、持久化的本机 telemetry distinct ID,不再使用主机名派生标识。

项目数据:

<project>/.mingyi-atlas/
  hooks.json
  mcp.json
  commands/
  skills/
  pentest/

可以通过代码覆盖配置目录:

import { createMingyiAtlas } from '@mingyilab/mingyi-atlas';

const app = await createMingyiAtlas({
  configDir: '.acme-agent',
});

环境变量

常用环境变量:

| 变量 | 用途 | | --- | --- | | ANTHROPIC_API_KEY | Anthropic API Key 兜底配置 | | OPENAI_API_KEY | OpenAI API Key | | GOOGLE_GENERATIVE_AI_API_KEY | Google 模型 API Key | | MASTRA_TELEMETRY_DISABLED=1 | 禁用产品 telemetry | | MINGYI_ATLAS_DISABLE_CAFFEINATE=1 | 禁用 macOS 防休眠 | | MINGYI_ATLAS_ANALYTICS_DEBUG=1 | 打印 analytics 调试事件 | | MINGYI_ATLAS_CVE_CACHE_PATH | 覆盖 CVE 缓存路径 | | MASTRA_PLANS_DIR | 覆盖已保存计划目录 |

开发

安装依赖:

pnpm install

从源码运行:

pnpm cli

检查、测试和构建:

pnpm check
pnpm test:run
pnpm build

运行发布前检查:

pnpm prepublishOnly
pnpm pack:check

贡献者和维护者文档:

发布

包发布为 @mingyilab/mingyi-atlas,并提供一个二进制命令:

mingyi-atlas -> dist/cli.js

发布:

npm login
npm publish --access public

@mingyilab npm scope 必须存在,并且你的 npm 账号需要具备发布权限。

许可证

Mingyi Atlas 社区版代码基于 Apache License 2.0 开源。

Mingyi Atlas 名称、Logo 和相关品牌资产属于 MingyiLab,不随 Apache-2.0 授权。