免費AI智能體安全審計工具發佈
一款針對AI智能體及MCP服務器的安全掃描工具正式發佈,支持代碼漏洞檢測、依賴包驗證、提示注入防護等多項功能,並提供輕量版和完整版兩種選擇。
一款名為Agent Security Scanner的開源AI安全審計工具近日在GitHub上正式發佈,旨在幫助開發者在利用AI智能體(如Claude、Cursor、Windsurf等)進行編程時,確保代碼及依賴的安全性。該工具由sinewaveai團隊基於MCP(Model Context Protocol)構建,提供了從代碼掃描、依賴驗證到合規評估的全方位安全檢測能力。
工具提供兩個版本:輕量版ProofLayer和完整版(Advanced)。ProofLayer採用純正則表達式實現,無Python依賴,安裝僅需4秒,包體積僅有81.5KB,內置400多條安全規則覆蓋9種編程語言,特別適合快速安全檢查。完整版則具備AST解析、污點分析、跨文件追蹤等深度分析能力,內置超過1700條安全規則覆蓋12種語言,並集成LLM驅動的語義審查功能,能夠理解代碼意圖並識別潛在安全風險,例如同樣的eval()調用在構建工具中是安全的,但在電商應用中則可能被標記為危險。
工具的核心功能包括:掃描代碼漏洞並自動修復(120個修復模板)、檢測AI幻覺導致的虛假依賴包(支持4.3M+包驗證)、審計MCP服務器安全(包括Unicode中毒、名稱欺騙、Rug Pull檢測等)、檢測提示注入攻擊(59條規則+多編碼繞過檢測)、生成CycloneDX v1.5格式的SBOM並掃描OSV.dev上的CVE漏洞、以及基於SOC2(8項控制)和GDPR(6項控制)框架的合規證據收集與評估。所有掃描結果支持A-F安全評級,並可通過CLI或GitHub Actions輕鬆集成到CI/CD流水線中。
自2026年4月以來,工具持續快速迭代,已發佈多個重要版本更新。v4.4.11新增了Share Kit生成器,方便分享安全測試結果;v4.4.10增加了Quickstart規劃器,可根據倉庫生成定製化命令;v4.4.9和v4.4.8分別引入了MCP審計演示和包幻覺演示;v4.4.7改進了CI集成,支持自動全量掃描;v4.3.0修復了多個關鍵安全漏洞(包括8個Hono CVE);v4.2.0引入了合規證據收集功能;v4.1.0增加了SBOM生成與依賴漏洞分析;v4.0.0推出了LLM驅動的語義代碼審查智能體。此外,v3.11.0對ClawHub生態系統的16,532個技能進行掃描,發現其中46%存在高危漏洞,v3.10.0則發佈了ClawProof OpenClaw插件,支持深層技能掃描和惡意軟件簽名檢測(覆蓋27條規則121種模式)。
開發者可以通過npm全局安裝工具,並快速集成到主流AI編程客户端中。工具採用MIT許可證,完全免費用於商業和非商業項目。