agent-bom scan

🛡️ AI供应链安全扫描与验证工具

AI代理供应链安全扫描器,支持CVE检测、容器镜像分析、SBOM生成与来源验证,零凭证设计保障隐私。

收藏
7.1k
安装
2.6k
版本
0.88.4
CLS 安全扫描中
预计需要 3 分钟...

使用说明

agent-bom-scan 综合评估

核心用法

agent-bom-scan 是一款专为AI代理基础设施设计的开源安全扫描工具,覆盖包管理、容器镜像、MCP配置、文件系统及SBOM生成等全链路安全检查。用户可通过CLI或MCP Server模式调用,支持check(包CVE检测)、scan(完整扫描流水线)、blast_radius(漏洞影响链分析)、remediate(修复优先级规划)、verify(Sigstore来源验证)等8项核心工具。

显著特点包括:原生容器镜像扫描(无需外部扫描器)、零凭证启动设计、自动发现20+主流AI客户端(Claude、Cursor、Windsurf、Copilot等)的MCP配置。数据流采用"本地优先"原则——仅公开包名和CVE ID外发至OSV/NVD/EPSS/GitHub Advisories,敏感内容通过sanitize_env_vars()在预处理阶段强制脱敏为***REDACTED***

显著优点

  • 隐私优先架构:环境变量值永不从配置文件提取,脱敏逻辑开源可审计(security.py#L159)
  • Sigstore provenance:支持软件供应链来源验证,降低依赖投毒风险
  • 多格式输出:SARIF(CI集成)、JSON(自动化)、CycloneDX/SPDX(SBOM消费)、HTML/Markdown(人工审阅)
  • Agentic工作流设计:提供工具链组合建议(如registry_lookup → check → blast_radius),适配"是否安全安装""PR门禁""舰队审计"等场景

潜在缺点与局限性

  • Python 3.11+硬依赖:旧环境需升级或容器化部署
  • NVD速率限制:未配置API key时可能受限于NVD查询频次
  • UNKNOWN severity处理:需人工介入判断,无法自动降级风险
  • 可选工具链依赖:semgrep、kubectl等为增强功能需额外安装

适合人群

AI应用开发者、DevSecOps工程师、MCP生态维护者、需满足供应链合规(SLSA/SBOM)的企业安全团队。

常规风险

  • 扫描范围误配:工具会读取大量AI客户端配置文件,需确认~/.config等路径的访问授权
  • CVE数据时效性:依赖公共数据库(OSV/NVD等),零日漏洞存在检测窗口期
  • 误报与漏报平衡:EPSS评分仅反映利用概率,不替代业务风险评估

agent-bom scan 内容

手动下载zip · 5.2 kB
skill-card.mdtext/markdown
请选择文件