agent-bom scan

🛡️ AI 供应链漏洞扫描与 SBOM 生成

AI智能体供应链安全扫描器,支持CVE查询、容器镜像扫描、SBOM生成及SLSA来源验证,零凭证本地优先运行。

收藏
8.8k
安装
2.6k
版本
0.94.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

agent-bom-scan 是一款专为 AI 智能体基础设施设计的开源安全扫描工具,覆盖 MCP 服务器、依赖包、容器镜像及文件系统的漏洞检测。核心能力包括:

  • CVE 聚合查询:整合 OSV、NVD、EPSS、KEV 及 GitHub Security Advisories 五大漏洞数据库
  • 原生容器扫描:无需外部扫描器,直接解析镜像层漏洞
  • SLSA 来源验证:通过 Sigstore 验证包完整性与供应链 provenance
  • 智能体感知:自动发现 Claude、Cursor、Windsurf、Cline 等 15+ 主流 AI 客户端的 MCP 配置
  • 爆炸半径分析:映射 CVE 在智能体网络中的级联影响

显著优点

| 维度 | 表现 |
|------|------|
| 隐私设计 | 零凭证默认运行,环境变量值在解析前强制脱敏为 `***REDACTED***` |
| 数据主权 | 本地优先架构,仅包名/CVE ID 外发,扫描结果不落盘 |
| 生态覆盖 | 支持 PyPI/npm/Go/Maven 等生态,原生 SARIF/CycloneDX/SPDX 输出 |
| 审计透明 | 7,100+ 单元测试、CodeQL、OpenSSF Scorecard 全公开 |

潜在局限

  • NVD 速率限制:无 API key 时可能受限,高并发扫描需配置可选凭证
  • 未知严重性处理:NVD 分析 pending 状态的 CVE 仍标记为 UNKNOWN,需人工复核
  • MCP 生态碎片化:配置路径随客户端版本迭代可能失效,依赖 where 工具动态发现

适合人群

  • AI 平台工程师:审查 MCP 服务器安全准入
  • DevSecOps 团队:CI 流水线集成依赖扫描与镜像门禁
  • 安全审计师:智能体供应链溯源与 SBOM 合规审计

常规风险

  • 供应链投毒:恶意 MCP 服务器通过 check 前需执行 blast_radius 评估级联风险
  • 凭证泄露误报:虽然环境变量脱敏,但配置文件结构(服务器名、URL)仍可见,需确认无敏感内网信息
  • 离线场景失效:依赖 OSV/NVD 在线查询,气隙环境需预置漏洞数据库镜像

---

快速开始

pipx install agent-bom
agent-bom scan                    # 全盘扫描
agent-bom verify agent-bom        # 自验证 provenance
agent-bom image nginx:1.25        # 镜像扫描

agent-bom scan 内容

手动下载zip · 5.2 kB
skill-card.mdtext/markdown
请选择文件