AIエージェント向け無料セキュリティ監査ツール
AIエージェントやMCPサーバー向けのセキュリティスキャナーが公開されました。コード脆弱性検出、依存関係検証、プロンプトインジェクション対策などを備え、軽量版とフル版の2種類が提供されます。
AIエージェントとMCPサーバー向けのセキュリティ監査ツール「Agent Security Scanner」が、GitHub上でオープンソースとして公開されました。このツールは、Claude、Cursor、WindsurfなどのAIコーディングクライアントを使用する開発者が、コードと依存関係のセキュリティを確保するために設計されています。sinewaveaiチームによってMCP(Model Context Protocol)を基盤に開発され、コードスキャンからコンプライアンス評価までをカバーする包括的なセキュリティチェックを提供します。
ツールには2つのバージョンがあります。軽量版の「ProofLayer」は、純粋な正規表現ベースでPython依存がなく、インストール時間はわずか4秒、パッケージサイズは81.5KBと驚異的に軽量です。400以上のセキュリティルールで9言語をカバーし、迅速なセキュリティチェックに最適です。一方、フルバージョン(Advanced)は、AST解析、テイント分析、クロスファイル追跡などの高度な機能を備え、1,700以上のルールで12言語をサポートします。さらに、LLMを活用したセマンティックコードレビュー機能が組み込まれており、コードの意図を理解して潜在的なリスクを特定します。例えば、eval()呼び出しがビルドツールでは安全でも、Eコマースアプリでは危険と判断されることがあります。
主な機能には、コード脆弱性のスキャンと自動修正(120の修正テンプレート)、AIによる幻覚(ハルシネーション)パッケージの検出(430万以上のパッケージ検証)、MCPサーバーのセキュリティ監査(Unicodeポイズニング、ネームスプーフィング、ラグプル検出など)、プロンプトインジェクション対策(59ルール+マルチエンコーディング)、CycloneDX v1.5形式のSBOM生成とOSV.devによるCVEスキャン、SOC2(8コントロール)およびGDPR(6コントロール)に基づくコンプライアンス証拠収集・評価が含まれます。すべてのスキャン結果はA~Fのセキュリティグレードで評価され、CLIまたはGitHub Actionsを介してCI/CDパイプラインに統合できます。
2026年4月以降、ツールは急速に進化を遂げています。v4.4.11ではShare Kitジェネレーターを追加、v4.4.10ではQuickstartプランナー、v4.4.9とv4.4.8ではMCP監査デモとパッケージ幻覚デモを導入。v4.4.7ではCI統合を改善し、スケジュール実行時の全プロジェクトスキャンをサポート。v4.3.0では8つのHono CVEを含む重要なセキュリティ修正が行われ、v4.2.0でコンプライアンス証拠収集、v4.1.0でSBOM生成と依存関係脆弱性分析、v4.0.0でLLM駆動のセマンティックコードレビューエージェントが追加されました。また、v3.11.0ではClawHubエコシステムの16,532スキルをスキャンし、46%に重大な脆弱性があることが判明。v3.10.0ではClawProof OpenClawプラグインをリリースし、ディープスキルスキャンとマルウェアシグネチャ検出(27ルール、121パターン)を実現しました。
開発者はnpmからグローバルインストールし、主要なAIコーディングクライアントと即座に統合できます。ツールはMITライセンスの下で提供され、商用・非商用を問わず無料で利用可能です。