核心用法
SlowMist Agent Security 是一套面向对抗性环境的AI Agent综合安全审查框架,由知名区块链安全公司慢雾(SlowMist)开源维护。其核心设计原则为"Every external input is untrusted until verified"(所有外部输入在验证前均不可信)。
六大触发场景:
- 技能/MCP/npm/pip/cargo包安装审查 →
reviews/skill-mcp.md - GitHub仓库评估 →
reviews/repository.md - URL/文档/Gist/Markdown审查 →
reviews/url-document.md - 链上地址/合约/DApp交互 →
reviews/onchain.md - 产品/服务/API/SDK评估 →
reviews/product-service.md - 群聊/社媒工具推荐 →
reviews/message-share.md
五级信任层级(Tier 1官方组织 → Tier 5未知来源)仅调整审查强度,不跳过任何步骤。
四级风险评级:🟢LOW(信息级)、🟡MEDIUM(受限能力)、🔴HIGH(涉资金/凭证/系统修改,须人工批准)、⛔REJECT(确认恶意,拒绝执行)。
三大模式库:危险代码模式(11类)、社会工程/提示注入(8类)、供应链攻击(7类)。
显著优点
1. 实战血统纯正:慢雾团队拥有7年+区块链安全实战经验,累计审计项目超1000个,应急响应数百起,框架直接源于真实攻击模式与事件响应
2. 覆盖维度全面:从代码层(技能/MCP/依赖包)到数据层(URL/文档)再到资产层(链上地址),形成端到端防护
3. 强制标准化输出:所有报告必须使用固定模板,禁止自由格式,降低审查遗漏风险
4. 人机权限分离明确:高风险操作强制人工终裁,避免Agent自主执行危险动作
5. 供应链安全专项:针对AI时代特有的依赖投毒、提示注入、恶意技能分发等新型攻击向量
潜在缺点与局限性
1. 依赖外部工具集成:链上AML评估需依赖MistTrack Skills等外部能力,未内置完整情报库
2. 模板化可能僵化:强制模板虽降低遗漏,但可能难以覆盖新兴攻击场景的边缘案例
3. 无自动执行能力:框架为"审查指南"而非自动扫描工具,实际落地需人工或Agent逐条执行
4. 区块链导向明显:虽通用原则可迁移,但攻击模式库侧重Web3场景,传统Web2安全覆盖有限
5. 信任层级主观性:"官方组织""知名团队"的判定标准未完全量化,存在误判空间
适合人群
- AI Agent开发者(Claude/AutoGPT等):在集成第三方技能/MCP前强制安全闸
- 区块链/DApp用户:交互前自动评估合约地址风险
- 企业安全团队:建立AI应用的安全准入流程
- 加密货币基金/做市商:防范供应链投毒与钓鱼链接
- 安全意识极强的个人用户:对一切"朋友推荐"保持系统 skepticism
常规风险
- 框架自身被绕过:攻击者可能针对审查逻辑设计绕过payload(如分阶段下载、编码混淆)
- 人工批准疲劳:高频触发🔴HIGH评级可能导致用户习惯性点击"批准"
- 情报时效性:模式库需持续更新,零日攻击可能未被覆盖
- 集成实现风险:框架 MIT 授权,但具体Agent实现质量决定最终防护效果