agent-bom scan

️ AI供应链漏洞扫描与SBOM生成

AI供应链安全扫描工具,支持CVE检测、容器镜像扫描、SBOM生成及签名验证,7,100+测试覆盖,零凭证设计。

收藏
7.1k
安装
2.6k
版本
0.94.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

agent-bom-scan 是一款专为 AI 代理基础设施设计的开源安全扫描工具,聚焦供应链安全与漏洞管理。其核心能力覆盖四大维度:

1. 包漏洞检测:集成 OSV、NVD、EPSS、KEV、GitHub Advisories 五大数据库,支持 PyPI、npm、Maven 等生态的 CVE 精准查询,提供 CVSS v4 评分与利用概率(EPSS)双维度风险评估。

2. 容器原生扫描:无需依赖 Trivy 等外部工具,直接解析镜像层与包管理器元数据,识别操作系统与语言运行时漏洞。

3. 代理配置审计:自动发现 20+ 主流 AI 客户端(Claude Desktop/Cursor/Windsurf/Cline 等)的 MCP 配置文件,扫描依赖关系并评估权限扩散面。

4. 供应链可信验证:通过 Sigstore 验证包 provenance,支持 SLSA 合规性检查,生成 CycloneDX/SPDX 标准 SBOM。

显著优点

  • 零凭证架构:基础功能无需 API Key,敏感环境变量自动脱敏(***REDACTED***),配置数据结构化提取而非内容读取。
  • 本地优先:扫描全本地执行,仅公网包名与 CVE ID 外发,扫描结果不离设备。
  • Agentic 工作流:内置 5 条推荐工具链(如 registry_lookup → check → blast_radius),支持 SARIF/JSON/Markdown 多格式输出,适配 CI/CD 门禁与人审场景。
  • 高测试强度:7,239 项测试 + CodeQL 静态分析 + OpenSSF Scorecard 追踪,Apache-2.0 协议开源。

潜在局限

  • NVD 速率限制:未配置 API Key 时 NVD 查询受限,可能影响高并发场景下的 CVE 富化速度。
  • 未知严重性处理:NVD 分析 pending 或 UNKNOWN 评级的 CVE 仍需人工复核,工具仅标记而非降级。
  • 权限边界:明确禁止自动扫描家目录外路径,需用户显式授权,限制了企业级批量资产发现能力。

适合人群

  • AI 开发者:验证 MCP Server 依赖安全性,防止恶意包植入。
  • DevSecOps 工程师:集成至 CI/CD 流程,实现镜像准入与 SBOM 合规。
  • 安全审计员:生成代理基础设施的依赖图谱与漏洞影响面(blast radius)分析。

常规风险

  • 供应链投毒:工具自身虽 Sigstore 签名,但用户需主动执行 verify 子命令,非默认行为。
  • 配置泄露:20+ 客户端配置路径读取存在理论风险,尽管环境变量脱敏,但文件路径、服务器名称等结构化元数据仍被提取。
  • 误报累积:多源 CVE 数据聚合可能导致同一漏洞重复计数,需人工 triage。

agent-bom scan 内容

手动下载zip · 5.3 kB
skill-card.mdtext/markdown
请选择文件