Agentsec

🛡️ AI 技能安全审计与合规检测专家

OWASP 标准 AI 技能安全审计工具,支持多格式报告生成与 CI/CD 集成,适用于企业级 Agent 供应链安全治理。

收藏
3k
安装
973
版本
0.2.7
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能与定位

agentsec 是一款面向 AI Agent 生态系统的专业安全审计 CLI 工具,专为检测技能(skills)中的安全漏洞、配置错误和治理缺陷而设计。其核心价值在于将 OWASP Agentic Skills Top 10 安全标准落地为可执行的自动化检测能力,覆盖从开发到部署的全生命周期安全管控。

显著优点

1. 权威标准对齐:深度整合 OWASP Agentic Skills Top 10 十大风险类别(AST01-AST10),并首创 AST-10 Web3 专项附录,针对区块链/智能合约交互场景扩展 12 条专项检测规则,填补 Web3 Agent 安全审计空白。

2. 零配置开箱即用:通过 npx agentsec 即可执行完整审计,自动识别 Claude Code、OpenClaw、Codex 等主流平台的技能目录,无需手动指定路径,大幅降低使用门槛。

3. 企业级 CI/CD 集成:支持 SARIF/HTML/JSON 多格式输出,退出码设计(0/1)可直接用于流水线门禁,配合 strict/permissive 等策略预设,满足从开发到生产的差异化合规要求。

4. 动态风险分级:采用 A-D 四级评分体系,结合 default/strict/web3 策略画像,实现风险的可视化量化与精准治理。

潜在局限与风险

  • 依赖生态成熟度:工具有效性受限于技能清单(manifest)的标准化程度,非规范声明的技能可能产生漏报。
  • Web3 检测启发式:自动检测依赖源码导入分析和文件名模式,存在误报或漏报可能,关键场景建议显式启用 --profile web3
  • 政策执行刚性strict 策略下高/严重级 findings 即触发失败,可能对快速迭代场景造成阻塞。

适用人群

  • 企业安全团队:需建立 Agent 技能供应链安全基线
  • Web3/DeFi 开发者:涉及智能合约交互的 Agent 技能审计
  • DevOps/Platform 工程师:CI/CD 流水线安全门禁建设
  • AI Agent 框架维护者:技能市场/生态的安全治理

常规风险

  • 供应链投毒:恶意技能通过元数据伪装(AST04)或依赖混淆(AST02)侵入
  • 权限逃逸:Over-Privileged Skills(AST03)在跨平台复用场景(AST10)中放大攻击面
  • 密钥泄露:Web3 技能中私钥/助记词硬编码或日志残留(AST-W11)

Agentsec 内容

手动下载zip · 4.2 kB
SKILL.mdtext/markdown
请选择文件