🚀 2026 年 2 月 GitHub 十大热门项目排行榜 🔥

说明：本期 2 月榜单更新得比较晚，主要是因为 2 月搬家 + 工作太忙，拖到了很多天才整理完成。给大家说声抱歉，也感谢你的耐心等待！

欢迎来到 2026 年 2 月 GitHub 热门开源项目排行榜 ！本月榜单横跨 应用安全自动化 、本地检索与上下文工程 、编码智能体工具链 、超级智能体编排 与下一代数据库 等前沿领域。这十个项目代表了当下最火热的几大趋势：白盒 AI 渗透测试 补足交付与安全之间的空白、规范驱动与元提示 让 Claude Code 等编码智能体稳定产出、超级智能体框架 将研究、编码与创作统一到沙箱与记忆中、数据库即服务器重新定义后端架构。它们正推动开源从单点工具走向完整工作流与基础设施。

下面一起来看看 2026 年 2 月最值得 Star 的十大爆款！

`Shannon`

🌟 Star 数：33.8K+

🛡️ 完全自主的白盒 AI 渗透测试器：分析源码、执行真实利用并生成 PoC 报告

Shannon 是 Keygraph 推出的自主白盒 AI 渗透测试工具，面向 Web 应用与 API。它分析你的源代码、识别攻击面，并执行真实漏洞利用（注入、认证绕过、SSRF、XSS 等），仅在漏洞可被复现时才写入报告，确保「无利用即无报告」，在漏洞到达生产前完成验证。

项目结合源代码分析、浏览器自动化与安全工具链（Nmap、Subfinder、WhatWeb、Schemathesis），支持 2FA/TOTP/SSO 登录、并行多漏洞测试、可复现 PoC，适用于安全团队、红队与开发者在每次构建或发布前进行按需自动化渗透测试。

完全自主运行 ：单命令启动全流程，自动处理登录、导航、利用与报告
证明式漏洞验证 ：只报告真正可利用的漏洞，附带可复制粘贴 PoC
OWASP 关键覆盖 ：Injection、XSS、SSRF、Broken Auth/Authorization 等
代码 + 动态双轮驱动 ：先分析源码制定策略，再在运行中的浏览器执行攻击
并行处理 ：多漏洞类别并发分析与利用，提升效率
本地/自托管友好 ：本仓库为 Shannon Lite（AGPL-3.0），支持 Docker 与自有 API

💡 Shannon 适合安全团队、渗透测试者与开发者自测 Web 应用，以及希望用 AI 填补持续交付与年度渗透测试之间安全空白的组织。

👉 立即体验 ：GitHub

`qmd`

🌟 Star 数：15.8K+

🔍 本地 CLI 知识库搜索引擎：BM25 + 向量 + LLM 重排，全程零云、SOTA 检索

qmd （Query Markup Documents）是面向文档、笔记、会议记录与知识库的迷你 CLI 搜索引擎，跟踪当前 SOTA 检索思路且全部在本地运行。它结合 BM25 全文、向量语义与 LLM 重排，使用 SQLite + sqlite-vec + FTS5，支持多集合、上下文树（qmd:// 路径）、MCP 服务器，便于 AI Agent 直接调用。

你可为笔记、会议、文档建立多个 collection，通过 qmd search / qmd vsearch / qmd query 进行关键词、语义或混合+重排检索，输出 JSON/文件列表等格式，适合个人知识管理与 Agent 工作流中的记忆与上下文增强。

混合检索管道 ：BM25 + 向量 + LLM 重排，RRF 融合，相关性出色
完全本地执行 ：索引、嵌入、重排均在设备上，无外部 API
上下文树结构 ：qmd:// 路径与元数据，提升 LLM 对文档层次的理解
MCP Agent 集成 ：内置 MCP 服务器，Claude Code 等可一键安装插件
多端安装 ：npm/bun 全局安装或 npx/bunx 直接运行
SDK 支持 ：可作为库在 Node/Bun 项目中集成

💡 qmd 适合开发者、研究员、重度笔记用户与 AI Agent 爱好者，尤其在需要私密、精准的本地知识检索或为 Claude 等 Agent 提供可靠记忆时价值巨大。

👉 立即探索 ：GitHub

`gogcli`

🌟 Star 数：6.3K+

🧭 Google Workspace 全家桶 CLI：Gmail、Calendar、Drive、Contacts 等终端一站式

gogcli 是 Google 套件统一 CLI，覆盖 Gmail、GCal、GDrive、GContacts、Docs、Sheets、Tasks、Keep（Workspace）等几乎所有 Workspace 服务。JSON 优先输出、多账号切换、最小权限认证（如 --readonly、--drive-scope），让终端用户、脚本与编码智能体都能方便地自动化 Google 生态操作。

提供 OAuth2、Workspace 全域委派、自动 token 刷新、系统钥匙串存储与 headless/远程认证，适合 Claude Code、Agent 或脚本与 Google 服务深度集成。

全服务覆盖 ：Gmail、Calendar、Drive、Sheets、Contacts、Tasks 等一网打尽
JSON-first 输出 ：稳定、可管道化，便于脚本与 Agent 消费
多账号与最小权限 ：无缝切换账号、只读模式、域级委派
安全与便利 ：OS 钥匙串/加密存储、自动刷新、headless 认证
脚本/Agent 友好 ：命令 allowlist、环境变量与 config 支持
快速部署 ：Homebrew、Arch AUR 或源码构建

💡 gogcli 适合终端重度用户、开发者与 AI Agent 开发者，尤其在需要自动化邮件、日程、文件与表格或为 Claude 等提供 Google 集成时非常实用。

👉 立即探索 ：GitHub

`PageIndex`

🌟 Star 数：22K+

📑 无向量数据库的推理式 RAG：层次化文档索引 + 多步推理，高可解释检索

PageIndex 是创新的 RAG 框架，完全不用向量数据库与分块，通过构建文档的层次化树状索引（类目录结构），结合 LLM 的多步推理与树搜索，实现类似人类「翻书查阅」的精准、可追溯检索。支持 PDF、Markdown 等，在 FinanceBench 等基准上达到 98.7% 的 SOTA 准确率，输出带页码/章节引用，可解释性极强。

零向量数据库 ：纯结构 + 推理检索，无需 embedding 或向量存储
无分块处理 ：保留文档自然章节与层次，避免信息割裂
类人类树搜索 ：多步推理 + 树遍历，模拟专家逐级定位
高可解释性 ：检索路径可追溯，输出带精确页码/章节引用
SOTA 性能 ：FinanceBench 98.7% 准确率，远超传统向量 RAG

💡 PageIndex 适合金融分析、法律研究、技术手册、监管报告等长篇复杂文档场景，以及对检索准确性、可解释性与本地部署有高要求的团队。

👉 立即体验 ：GitHub

`playwright-cli`

🌟 Star 数：5.7K+

🎭 微软官方 Playwright CLI：为编码智能体设计的浏览器自动化，Token 高效 + Skills

playwright-cli 是微软推出的 Playwright 命令行接口，面向编码智能体（Claude Code、GitHub Copilot 等）优化。与 MCP 相比，CLI + Skills 更省 token：无需把整页可访问性树塞进上下文，智能体通过简洁命令完成打开、点击、输入、截图、录制等操作，适合在有限上下文内同时处理代码库与浏览器自动化。

支持多会话、持久化配置、快照与监控面板（playwright-cli show），可录制视频与 Trace，并可通过 playwright-cli install --skills 为 Claude Code 等安装技能，开箱即用。

Token 高效 ：不强制将页面数据灌入 LLM，适合编码智能体
Skills 集成 ：为 Claude Code、Copilot 等安装技能，智能体按需调用
完整浏览器能力 ：open、goto、click、type、screenshot、pdf、cookie、localStorage 等
多会话管理 ：命名会话、持久化配置、playwright-cli show 监控
快照与录制 ：snapshot、trace、video，便于调试与复现
配置灵活 ：JSON 配置、环境变量、多浏览器与 viewport

💡 playwright-cli 适合使用 Claude Code、Copilot 等编码智能体做 E2E 测试、自动化填表、录屏与浏览器脚本的开发者。

👉 立即体验 ：GitHub

`LangExtract`

🌟 Star 数：34.7K+

📋 Google 开源：用 LLM 从非结构化文本抽取结构化信息，精准溯源 + 交互式可视化

LangExtract 是 Google 开源的 Python 库，基于用户定义的指令与少量示例，用 LLM 从非结构化文本（如临床笔记、报告、长文档）中抽取结构化信息，并确保每条抽取结果与原文位置对应，支持精准溯源与交互式 HTML 可视化，便于审核与验证。

支持长文档分块、多轮抽取与并行处理，输出稳定 schema（如 Gemini 的受控生成），兼容 Gemini、OpenAI、Ollama 等，适用于医疗、法律、文学分析等多领域的信息抽取与标注。

精准溯源（Source Grounding） ：每条抽取映射到原文位置，可高亮与核对
可靠结构化输出 ：基于 few-shot 与受控生成，输出格式一致
长文档优化 ：分块、并行、多轮抽取，提高召回
交互式可视化 ：生成自包含 HTML，在原文上下文中浏览大量实体
灵活模型支持 ：Gemini、OpenAI、Ollama 等，可扩展 Provider
任意领域适配 ：仅需少量示例即可定义抽取任务，无需微调

💡 LangExtract 适合需要从长文本中抽取实体、关系与属性的研究者、数据工程师与领域专家，尤其在要求可追溯与可解释性的场景下非常合适。

👉 立即探索 ：GitHub

`get-shit-done`

🌟 Star 数：31.2K+

⚡ 轻量强大的元提示、上下文工程与规范驱动开发系统，专为 Claude Code 等编码智能体

get-shit-done（GSD）是 TÂCHES 推出的轻量级系统，解决「上下文腐化」------随着 Claude 填满上下文窗口导致的输出质量下降。它通过元提示、上下文工程与规范驱动开发，让 Claude Code、OpenCode、Gemini CLI、Codex、Copilot、Antigravity 等编码智能体在明确需求下稳定构建可验证的成果，无需复杂敏捷仪式。

一条命令 npx get-shit-done-cc@latest 即可安装，选择运行时（Claude Code / OpenCode / Gemini 等）与作用范围（全局或当前项目），通过 /gsd:help 等触发，被 Amazon、Google、Shopify、Webflow 等工程师使用。

解决上下文腐化 ：通过规范与上下文工程保持输出质量
多运行时支持 ：Claude Code、OpenCode、Gemini CLI、Codex、Copilot、Antigravity
规范驱动 ：描述需求，系统提取规范并交给智能体执行与验证
极简工作流 ：无繁复 sprint/Jira 流程，适合个人与小团队
持续更新 ：安装器与命令随版本迭代，建议定期更新
本地/全局可选 ：当前项目或全局安装，按需选择

💡 get-shit-done 适合「描述想要什么、让 AI 稳定建出来」的开发者，尤其依赖 Claude Code 等编码智能体且希望减少无效试错、提升一致性的用户。

👉 立即体验 ：GitHub

`DeerFlow`

🌟 Star 数：31.3K+

🦌 字节开源超级智能体框架：研究、编码、创作一体，沙箱·记忆·工具·子智能体

DeerFlow （Deep Exploration and Efficient Research Flow）是字节开源的超级智能体编排框架，通过沙箱、记忆、工具、技能与子智能体，处理从几分钟到数小时的多层级任务------研究、编码、创作均可在一个 harness 中完成。2.0 为全新重写，支持可扩展技能、MCP 服务器、IM 渠道与 Claude Code 集成。

提供 Docker 一键部署与本地开发流程，内置长期记忆、上下文工程与推荐模型建议，适合构建复杂多步骤、多工具、多 Agent 的自动化与研究流水线。

超级智能体编排 ：子智能体、记忆、沙箱、工具与技能统一调度
可扩展技能 ：自定义技能与工具，适配不同领域任务
沙箱与文件系统 ：安全执行与文件访问控制
长期记忆 ：跨会话上下文与检索增强
MCP 与 IM ：MCP 服务器、IM 渠道集成，便于人机协同
Claude Code 集成 ：可与 Claude Code 等编码智能体配合使用

💡 DeerFlow 适合需要「研究 + 编码 + 创作」一体化流水线的团队与研究者，以及希望用统一框架编排多 Agent、多工具与记忆的开发者。

👉 立即探索 ：GitHub

`SpacetimeDB`

🌟 Star 数：23.6K+

⚡ 数据库即服务器：把业务逻辑写进数据库，客户端直连，零中间层、实时同步

SpacetimeDB 是一种「本身即服务器」的关系型数据库。你将应用逻辑以模块形式上传到数据库（支持 Rust、C#、TypeScript、C++），客户端直接连接数据库并调用模块中的逻辑，无需中间的 Web/游戏服务器。表结构 + 业务逻辑（reducer）在库内运行，状态变更实时同步到已订阅的客户端，ACID 保证与低延迟兼顾。

其 MMORPG BitCraft Online 的完整后端（聊天、物品、地形、玩家位置等）即运行在单个 SpacetimeDB 模块上，数千玩家实时同步。支持 Docker、Maincloud 部署与多语言客户端 SDK（React、Unity、Unreal 等）。

数据库即服务器 ：无独立应用服务器，客户端直连数据库执行逻辑
表 + Reducer 模型 ：表存数据，reducer 即 API，变更自动推送到订阅端
多语言服务端 ：Rust、C#、TypeScript、C++
多平台客户端 ：TypeScript（React/Next/Vue/Node/Bun/Deno）、Rust、C#（含 Unity）、C++（Unreal）
极速与持久化 ：内存状态 + 磁盘 commit log，兼顾速度与恢复
一键开发 ：spacetime dev --template chat-react-ts 即可创建项目并发布到 Maincloud

💡 SpacetimeDB 适合实时协作应用、多人游戏、IoT 与低延迟后端场景，以及希望「一个二进制、零 K8s/容器编排」的团队。

👉 立即体验 ：GitHub

`pi-mono`

🌟 Star 数：24.8K+

🏖️ AI Agent 工具包：编码 Agent CLI、统一 LLM API、TUI/Web UI、Slack 机器人、vLLM Pod 管理

pi-mono 是用于构建 AI Agent 与管理 LLM 部署的 Monorepo，包含统一多提供商 LLM API（OpenAI、Anthropic、Google 等）、Agent 运行时（工具调用与状态管理）、交互式编码 Agent CLI、Slack 机器人（将消息委托给 pi 编码 Agent）、终端 TUI 与 Web 聊天组件、以及 vLLM GPU Pod 管理 CLI（pi-pods）等，覆盖从推理到交互的完整链路。

采用多包结构（pi-ai、pi-agent-core、pi-coding-agent、pi-mom、pi-tui、pi-web-ui、pi-pods），支持 AGENTS.md 与贡献规范，适合需要一站式 Agent 开发与部署的团队。

统一 LLM API ：多提供商兼容，便于切换与降本
编码 Agent CLI ：交互式编码智能体，支持工具与状态管理
TUI 与 Web UI ：终端与 Web 聊天组件，差分渲染与现代化交互
Slack 集成 ：pi-mom 将消息委托给编码 Agent，便于团队协作
vLLM Pod 管理 ：pi-pods CLI 管理 GPU Pod 上的 vLLM 部署
Monorepo 与规范 ：AGENTS.md、CONTRIBUTING，人机协作友好

💡 pi-mono 适合需要统一 LLM 接入、编码 Agent、Slack 机器人与自托管 vLLM 的开发者与团队，一站式补齐 Agent 工具链。

👉 立即探索 ：GitHub

结论

2026 年 2 月的榜单清晰勾勒出几条主线：

应用安全自动化 ：Shannon 等白盒 AI 渗透测试工具，在持续交付与安全审计之间提供按需、可复现的漏洞验证，让「无利用即无报告」成为可能。
本地检索与规范驱动 ：qmd 的 SOTA 本地检索、get-shit-done 的元提示与规范驱动、LangExtract 的精准抽取与可视化，共同提升编码智能体与知识工作的稳定性和可解释性。
超级智能体与数据库革新 ：DeerFlow 的超级智能体编排、SpacetimeDB 的数据库即服务器、pi-mono 的 Agent 工具链，从编排、基础设施到终端/Web 体验形成闭环。

这些项目不再是单点玩具，而是能直接融入工作流与架构的生产力与基础设施选项。2 月收官，开源社区继续用代码定义「做事的边界」。

📌 喜欢哪个就去点个 Star，每一个 Star 都是对开源社区最大的支持！

📬 欢迎收藏、转发，也欢迎在评论区安利你心目中的 2026 年 3 月黑马项目～

往期推荐

喜欢本期的热门项目？以下是一些值得一读的往期精彩内容：