免費AI智慧體安全審計工具釋出
一款針對AI智慧體及MCP伺服器的安全掃描工具正式釋出,支援程式碼漏洞檢測、依賴包驗證、提示注入防護等多項功能,並提供輕量版和完整版兩種選擇。
一款名為Agent Security Scanner的開源AI安全審計工具近日在GitHub上正式釋出,旨在幫助開發者在利用AI智慧體(如Claude、Cursor、Windsurf等)進行程式設計時,確保程式碼及依賴的安全性。該工具由sinewaveai團隊基於MCP(Model Context Protocol)構建,提供了從程式碼掃描、依賴驗證到合規評估的全方位安全檢測能力。
工具提供兩個版本:輕量版ProofLayer和完整版(Advanced)。ProofLayer採用純正規表示式實現,無Python依賴,安裝僅需4秒,包體積僅有81.5KB,內建400多條安全規則覆蓋9種程式語言,特別適合快速安全檢查。完整版則具備AST解析、汙點分析、跨檔案追蹤等深度分析能力,內建超過1700條安全規則覆蓋12種語言,並整合LLM驅動的語義審查功能,能夠理解程式碼意圖並識別潛在安全風險,例如同樣的eval()呼叫在構建工具中是安全的,但在電商應用中則可能被標記為危險。
工具的核心功能包括:掃描程式碼漏洞並自動修復(120個修復模板)、檢測AI幻覺導致的虛假依賴包(支援4.3M+包驗證)、審計MCP伺服器安全(包括Unicode中毒、名稱欺騙、Rug Pull檢測等)、檢測提示注入攻擊(59條規則+多編碼繞過檢測)、生成CycloneDX v1.5格式的SBOM並掃描OSV.dev上的CVE漏洞、以及基於SOC2(8項控制)和GDPR(6項控制)框架的合規證據收集與評估。所有掃描結果支援A-F安全評級,並可透過CLI或GitHub Actions輕鬆整合到CI/CD流水線中。
自2026年4月以來,工具持續快速迭代,已釋出多個重要版本更新。v4.4.11新增了Share Kit生成器,方便分享安全測試結果;v4.4.10增加了Quickstart規劃器,可根據倉庫生成定製化命令;v4.4.9和v4.4.8分別引入了MCP審計演示和包幻覺演示;v4.4.7改進了CI整合,支援自動全量掃描;v4.3.0修復了多個關鍵安全漏洞(包括8個Hono CVE);v4.2.0引入了合規證據收集功能;v4.1.0增加了SBOM生成與依賴漏洞分析;v4.0.0推出了LLM驅動的語義程式碼審查智慧體。此外,v3.11.0對ClawHub生態系統的16,532個技能進行掃描,發現其中46%存在高危漏洞,v3.10.0則釋出了ClawProof OpenClaw外掛,支援深層技能掃描和惡意軟體簽名檢測(覆蓋27條規則121種模式)。
開發者可以透過npm全域性安裝工具,並快速整合到主流AI程式設計客戶端中。工具採用MIT許可證,完全免費用於商業和非商業專案。