核心功能
agent-bom-runtime 是面向AI Agent运行时的安全监控套件,专注于三大核心场景:
1. Context Graph(上下文图分析):构建Agent执行上下文的关系图谱,识别潜在的横向移动路径与权限扩散风险
2. Runtime Correlate(运行时关联):将代理审计日志与CVE漏洞数据库交叉比对,发现实际运行中的安全暴露面
3. Analytics Query(分析查询):支持趋势分析、安全态势历史回溯、运行时事件聚合等高级查询
显著优点
- 零凭证设计:无需API密钥,不依赖云服务,完全离线运行
- 数据隐私优先:仅处理内存中的扫描结果与用户主动提供的审计文件,无自动文件发现机制
- 开源可审计:Apache-2.0协议,7,100+测试用例,集成CodeQL与OpenSSF Scorecard安全评分
- 可选持久化:支持ClickHouse作为分析存储后端,但完全由用户显式配置
局限性与注意事项
- 依赖前置数据:需配合
agent-bom扫描工具生成的审计日志(JSONL格式),非独立扫描器 - Python 3.11+限制:对运行环境版本有硬性要求
- 可选组件依赖:Kubernetes上下文分析需要
kubectl,高级分析需要ClickHouse - 无实时阻断能力:纯监控与分析工具,不具备入侵防御或实时拦截功能
适合人群
- 运维安全团队需审计AI Agent生产环境运行时的安全态势
- 合规团队需要生成漏洞趋势报告与历史追溯
- 红队/蓝队进行横向移动路径分析与攻击面评估
- 关注数据主权的组织(零云端依赖、完全本地运行)
常规风险
- 审计日志敏感性:虽然工具不存储凭证值,但日志可能包含环境变量名等元数据,需妥善保管输入文件
- 分析结论依赖数据质量:CVE关联准确性取决于审计日志的完整性与CVE数据库时效性
- 权限要求:访问Kubernetes资源或审计文件可能需要相应系统权限
快速开始
pipx install agent-bom # 构建上下文图 context_graph() # 关联运行时审计与CVE runtime_correlate(audit_file="proxy-audit.jsonl") # 查询30天内的Top CVE analytics_query(query="top_cves", days=30)