agent-bom runtime

📊 AI运行时漏洞关联与安全分析

AI运行时安全监控工具,支持上下文图分析、审计日志与CVE关联及漏洞分析查询,无需API密钥,零凭据设计。

收藏
11.6k
安装
2.6k
版本
0.88.3
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能与用法

agent-bom-runtime 是一款专注于 AI 运行时安全监控的专业工具,提供三大核心能力:

1. Context Graph 分析:构建智能体上下文图谱,识别横向移动路径与潜在攻击面
2. Runtime 审计关联:将运行时审计日志与 CVE 漏洞库进行交叉关联,实现漏洞暴露面实时分析

3. 漏洞分析查询:支持趋势分析、安全态势历史回溯及运行时事件查询

显著优点

  • 零凭据架构:无需 API 密钥,不强制依赖云服务,大幅降低凭证泄露风险
  • 隐私优先设计:数据仅在内存处理或用户显式提供的审计文件中操作,无自动文件发现、无网络外传
  • 可选持久化:ClickHouse 连接完全由用户配置,非自动发现,保持部署灵活性
  • 开源可信:Apache-2.0 协议,7,000+ 测试用例,集成 CodeQL 与 OpenSSF Scorecard
  • 零遥测:无跟踪、无埋点、无分析数据上传

潜在局限

  • 依赖特定格式:审计日志需为 agent-bom proxy 产出的 JSONL 格式,通用性受限
  • Python 版本限制:仅支持 Python 3.11+,旧环境兼容性不足
  • 可选组件增加复杂度:kubectl 与 ClickHouse 虽为可选,但完整功能需额外运维投入
  • 自主调用受限autonomous_invocation: restricted 表明自动化场景下的调用能力有限

适用人群

  • AI/ML 平台安全工程师
  • 运行时可观测性团队
  • 需要离线/私有化部署的企业安全部门
  • 关注供应链安全与 CVE 关联分析的研发团队

常规风险

  • 审计日志敏感信息:运行时审计数据可能包含环境变量名(不含值),需确保日志文件本身的访问控制
  • 可选凭证管理:若启用 ClickHouse,需自行保障连接字符串安全,避免配置泄露
  • 权限边界:工具本身不涉及权限提升,但分析结果可能暴露系统脆弱性,需限制报告访问范围

---

来源:GitHub msaad00/agent-bom,OpenSSF Scorecard 评估,Apache-2.0 开源协议

agent-bom runtime 内容

手动下载zip · 1.6 kB
SKILL.mdtext/markdown
请选择文件