核心功能
guard-scanner 是一款专为 AI 代理(Agent)生态设计的综合安全扫描工具,由 Guava Parity 开发并采用 MIT 开源协议。其核心能力涵盖 358 种静态威胁模式 与 27 项运行时检查,横跨 35 个威胁类别,填补了传统安全工具在 LLM 代理场景下的检测盲区。
静态扫描能力
- 威胁检测范围:提示注入(隐藏指令、不可见 Unicode、同形字符)、身份劫持(SOUL.md 篡改、人格替换、记忆清除)、记忆投毒(对话历史注入)、MCP 工具投毒、A2A 蠕虫传播、供应链攻击(typo/slopsquatting、生命周期脚本)、CVE 特征匹配(2026-2256、25046 等)
- 资产审计:支持 npm、GitHub、ClawHub 仓库的凭证泄露扫描
- 输出格式:JSON、SARIF(CI/CD 集成)、HTML 报告
运行时防护(OpenClaw v2026.3.8)
通过 before_tool_call 钩子提供五层防御:
1. 威胁检测层:反向 Shell、curl|bash、SSRF
2. 信任防御层:SOUL.md 篡改检测、内存注入防护
3. 安全裁决层:工具参数中的提示注入识别
4. 行为分析层:无研究背景的执行检测
5. 信任利用层:权威声明伪造、创建者绕过
集成与部署
- MCP 服务器模式:原生支持 Cursor、Windsurf、Claude Code、OpenClaw 编辑器集成
- 实时监视:开发阶段目录级文件监控(
watch模式) - CI/CD 就绪:SARIF 格式输出 +
--fail-on-findings退出码控制 - VirusTotal 增强:可选对接 70+ 杀毒引擎双重校验
显著优点
- 垂直场景深度:首个专门针对 AI 代理架构(MCP/A2A/OpenClaw)的安全工具,威胁模型覆盖 OWASP LLM Top 10 与 Agentic Security Top 10
- 运行时闭环:区别于纯静态扫描器,提供工具调用前的实时拦截能力
- 生态兼容性:单依赖(
ws)、MIT 协议、零配置快速启动 - 可扩展架构:支持自定义规则 JSON/插件模块注入
局限性与风险
- 身份防护依赖:核心功能「身份劫持检测」(⚿标记)需显式启用
--soul-lock标志,默认关闭可能导致遗漏关键攻击向量 - Node.js 运行时限制:依赖 Node 环境,对纯 Python/Rust 技能生态的嵌入支持有限
- VirusTotal 外部依赖:实时云查需 API 密钥,离线场景功能降级
- 新兴威胁滞后:CVE 模式库需持续更新,2026 年后新披露漏洞存在检测窗口期
适用人群
- AI 代理开发者(OpenClaw/MCP 技能作者)
- DevSecOps 工程师(CI/CD 安全流水线搭建)
- AI 应用审计人员(第三方技能安全评估)
- IDE 安全插件开发者
常规风险提示
- 误报率:严格的
--strict模式可能产生较多误报,建议生产环境配合人工复核 - 权限边界:运行时钩子需挂载于
before_tool_call,过度拦截可能影响正常业务流程 - 供应链信任:尽管自身 MIT 开源,但扫描目标若包含
postinstall等生命周期脚本,执行前建议容器化隔离