ecap-security-auditor

ecap-security-auditor 是一款专为 AI 时代设计的安全审计框架，通过"自动安全门"机制为 AI Agent 技能、MCP 服务器和 npm/pip 软件包提供安装前的安全验证与风险量化评估。

核心用法围绕三重防护体系展开：首先是自动安全门，在检测到 clawdhub install、pip install 或 MCP 服务器首次使用时，自动查询信任注册表并验证文件完整性哈希，基于风险评分（0-100）执行通过、警告或阻断决策；其次是手动深度审计，支持对未知包进行源码级分析，检测包括 AI 特定的提示词注入、权限提升、持久化机制等 12 类攻击模式，以及跨文件攻击链和零宽字符等高级混淆手段；最后是社区信任网络，通过 /api/reports 上传审计结果，利用积分系统激励安全研究者贡献，形成共享的威胁情报数据库。

显著优点包括：采用"默认拒绝"策略保障极端情况下的安全性；针对 AI Agent 特性设计了专门的检测模式（如 Prompt Injection、Capability Escalation）；引入组件类型风险加权（hooks、MCP 配置等高风险组件 penalty ×1.2）；支持跨文件关联分析以发现多阶段攻击链；提供可恢复的评分机制，允许维护者通过修复漏洞恢复信任分数。

潜在局限在于：目前完整性验证仅覆盖自身，其他包依赖社区贡献数据；需要稳定的网络连接访问 skillaudit-api.vercel.app；对于 500+ 文件的大型包采用抽样审计，可能遗漏边缘风险；AI 审计模式依赖 LLM 分析能力，存在被审计对象反制（通过注释注入误导指令）的可能；评分算法对"设计如此"（by-design）的判定依赖人工标注，可能存在主观差异。

适合人群主要包括：构建 AI Agent 生态的开发者（需验证第三方技能安全性）、企业 DevOps 工程师（防范供应链攻击）、MCP 服务器维护者（自证安全性）以及安全研究人员（贡献威胁情报）。特别适用于频繁集成外部 AI 工具、对运行环境安全性要求严格的团队。

使用风险需注意：脚本依赖 bash、curl、jq 系统工具；API 服务不可用时会进入"默认拒绝"状态，可能影响开发流程；尽管采取了 set -euo pipefail 等防护措施，但审计提示词文件本身可能成为提示词注入攻击的目标；用户需妥善保管 ECAP_API_KEY，避免凭证泄露导致恶意报告注入。

核心功能

ecap Security Auditor 是专为AI agent生态设计的安全审计框架，提供被动与主动双模式安全检查：

自动安全门（Automatic Security Gate）

在安装或使用任何package时自动触发，通过三级决策机制保护用户：

• 查询Trust Registry：获取已知安全发现（findings）和文件完整性哈希
• 哈希验证：比对本地文件与审计版本，检测篡改（tamper detection）
• 信任评分计算：基于严重程度扣分（Critical -25/High -15/Medium -8/Low -3），≥70分通过，40-69分警告，<40分拦截

手动深度审计（Manual Audit）

支持对skill、npm包、pip包、MCP server进行全方位审查，覆盖：

• 组件风险分级：hook脚本 > MCP配置 > settings.json > 插件入口 > 文档
• AI专项检测：12类prompt injection模式、agent impersonation、jailbreak等
• 持久化机制：crontab、shell RC、systemd、LaunchAgents等6类驻留手法
• 高级混淆：零宽字符、base64→exec链、ANSI转义、HTML隐写等
• 跨文件关联：检测credential+network、permission+persistence等攻击链

社区驱动信任体系

• 上传审计报告获得积分，参与同行评审验证他人发现
• 修复issue可恢复50%扣分，误判标记可全额恢复
• 积分排行榜激励高质量安全贡献

显著优点

1. AI原生设计：首个专门针对LLM agent生态的安全框架，识别传统工具无法发现的AI-specific攻击面（如prompt injection诱导agent执行危险操作）
2. 最小依赖攻击面：仅依赖bash/curl/jq系统工具，无第三方npm/pip依赖，自身供应链风险极低
3. 防御性架构设计：verify.sh硬编码官方registry URL，防止恶意fork重定向；SKILL.md内置安全警告章节，提醒验证自身完整性
4. 增量迭代演进：v2版本引入组件类型权重、AI专项检测、持久化机制等，社区持续贡献检测模式
5. 透明可验证：所有API端点公开，支持离线审计后批量上传，report JSON格式标准化

潜在缺点与局限

1. 外部依赖单点故障：核心功能依赖skillaudit-api.vercel.app，API不可用时会降级为警告或阻断（default-deny策略）
2. 个人维护者风险：由starbuck100个人维护（T3级别），虽文档规范但缺乏企业级SLA保障
3. 完整性验证覆盖有限：当前仅ecap-security-auditor自身在integrity database中，多数package无法验证是否被篡改
4. 审计时延与资源消耗：大型package（500+文件）需抽样审计，可能遗漏复杂攻击；自动审计会显著延长安装流程
5. 误报与漏报平衡：by_design判定依赖审计者主观判断，同类功能在不同场景下可能产生不一致评分

适合人群

| 用户类型 | 使用场景 | 建议配置 |

|---------|---------|---------|

| AI agent开发者 | 发布前自检skill/MCP server安全 | 启用自动门+手动深度审计 |

| 安全研究者 | 分析供应链攻击、AI-specific漏洞 | 关注v2新增AI_PROMPT/PERSIST/OBF模式 |

| 企业安全团队 | 管控内部AI工具链准入 | 搭建私有registry，定制评分阈值 |

| 高级终端用户 | 谨慎使用第三方AI工具 | 保持自动门开启，遇警告时查阅findings详情 |

常规风险

• 网络层：API通信虽TLS加密，但未实现证书固定，存在理论中间人风险
• 数据层：上传的审计报告可能包含敏感项目信息，建议脱敏后上传
• 运行时：bash脚本以用户权限执行，若SKILL.md被篡改可能导致未授权操作
• 供应链：作为安全工具自身可能成为攻击目标，需优先验证其完整性