NEMESIS DEFENDER v0
Enforcement determinístico contra comandos destrutivos e malware de supply-chain em fluxos de desenvolvimento assistido por agentes LLM. Intercepta e bloqueia antes da execução via hooks de pre-tool (multi-IDE), scanner com 6 camadas (AST, byte, regex, denylist, entropia, decoder) e camada eBPF/BPF LSM no Linux como backstop de kernel.
Arquitetura em 3 camadas independentes: Pretool/Posttool Hook (interceptação antes de Bash.run()/file-write), Nemesis Defender (scanner com 36 categorias na deny-list embutida e 14 visitors AST despachados) e eBPF Kernel LSM (Linux, opt-in). Quarentena por corroboração (move, não deleta) com reversibilidade via restore/purge. Suporta Claude Code, OpenAI Codex, Cursor, GitHub Copilot, VS Code, Devin e Gemini/Agents. Inclui Nemesis Doctor (7 verificações estruturadas) e suíte de pentest como gate de CI. Design fail-closed: qualquer panic vira exit 2 (bloqueio).
- Rust
- eBPF
- BPF LSM
- tree-sitter
- Linux
- macOS
- AGPL-3.0
Em produção desde 2024 · Autor e mantenedor único