免费AI智能体安全审计工具发布
一款针对AI智能体及MCP服务器的安全扫描工具正式发布,支持代码漏洞检测、依赖包验证、提示注入防护等多项功能,并提供轻量版和完整版两种选择。
一款名为Agent Security Scanner的开源AI安全审计工具近日在GitHub上正式发布,旨在帮助开发者在利用AI智能体(如Claude、Cursor、Windsurf等)进行编程时,确保代码及依赖的安全性。该工具由sinewaveai团队基于MCP(Model Context Protocol)构建,提供了从代码扫描、依赖验证到合规评估的全方位安全检测能力。
工具提供两个版本:轻量版ProofLayer和完整版(Advanced)。ProofLayer采用纯正则表达式实现,无Python依赖,安装仅需4秒,包体积仅有81.5KB,内置400多条安全规则覆盖9种编程语言,特别适合快速安全检查。完整版则具备AST解析、污点分析、跨文件追踪等深度分析能力,内置超过1700条安全规则覆盖12种语言,并集成LLM驱动的语义审查功能,能够理解代码意图并识别潜在安全风险,例如同样的eval()调用在构建工具中是安全的,但在电商应用中则可能被标记为危险。
工具的核心功能包括:扫描代码漏洞并自动修复(120个修复模板)、检测AI幻觉导致的虚假依赖包(支持4.3M+包验证)、审计MCP服务器安全(包括Unicode中毒、名称欺骗、Rug Pull检测等)、检测提示注入攻击(59条规则+多编码绕过检测)、生成CycloneDX v1.5格式的SBOM并扫描OSV.dev上的CVE漏洞、以及基于SOC2(8项控制)和GDPR(6项控制)框架的合规证据收集与评估。所有扫描结果支持A-F安全评级,并可通过CLI或GitHub Actions轻松集成到CI/CD流水线中。
自2026年4月以来,工具持续快速迭代,已发布多个重要版本更新。v4.4.11新增了Share Kit生成器,方便分享安全测试结果;v4.4.10增加了Quickstart规划器,可根据仓库生成定制化命令;v4.4.9和v4.4.8分别引入了MCP审计演示和包幻觉演示;v4.4.7改进了CI集成,支持自动全量扫描;v4.3.0修复了多个关键安全漏洞(包括8个Hono CVE);v4.2.0引入了合规证据收集功能;v4.1.0增加了SBOM生成与依赖漏洞分析;v4.0.0推出了LLM驱动的语义代码审查智能体。此外,v3.11.0对ClawHub生态系统的16,532个技能进行扫描,发现其中46%存在高危漏洞,v3.10.0则发布了ClawProof OpenClaw插件,支持深层技能扫描和恶意软件签名检测(覆盖27条规则121种模式)。
开发者可以通过npm全局安装工具,并快速集成到主流AI编程客户端中。工具采用MIT许可证,完全免费用于商业和非商业项目。