aegis-audit

🔍 AI技能与MCP工具安全审计专家

Aegis-Scan出品的防御性安全审计工具,通过AST静态分析、Semgrep规则与加密签名技术,为AI Agent技能提供深度行为检测与供应链风险评分,助您在安装前识别恶意代码与过度权限申请。

收藏
15.3k
安装
3.4k
版本
3.0
CLS 安全性认证2026-05-12
点击查看完整报告 >

使用说明

核心用法

Aegis Audit是专为AI Agent技能和MCP工具设计的深度行为安全审计解决方案。该Skill本身为纯文档型资产,提供完整的使用指南与架构说明,实际扫描功能需通过PyPI安装aegis-audit包实现。核心操作包括:执行aegis scan启动确定性静态分析,利用AST解析和15+专业扫描器检测750+ Python函数模式;使用aegis lock生成Ed25519签名的aegis.lock锁定文件,通过Merkle树实现防篡改验证;作为MCP服务器集成至Cursor或Claude Desktop,暴露scan_skill等工具接口供AI调用。默认情况下所有扫描完全离线进行,无需API密钥或网络连接。

显著优点

该工具具备企业级安全审计特性。首先采用确定性分析架构,相同代码必定产生相同报告,确保结果可复现且适合CI/CD集成。其次检测维度全面,集成密钥扫描、Shell注入、XSS、Dockerfile风险、社会工程学攻击、隐写术等15+专业扫描器,所有发现均映射至CWE和OWASP标准。独创的"Persona Classifier"算法为技能打上信任标签(如"Cracked Dev"表示干净代码,"Permission Goblin"标识过度权限申请)。支持JSON格式输出和风险分数阈值设置,方便自动化流程集成。双许可模式(AGPL-3.0/商业)兼顾开源透明与企业合规需求。

潜在缺点与局限性

作为静态分析工具,Aegis存在特定限制。其LLM增强分析功能虽能提供更深入的意图理解,但启用后会将代码发送至Google、OpenAI或Anthropic等第三方服务商,存在隐私泄露风险,严禁用于扫描含生产密钥或商业机密的代码库。工具仅支持Python 3.11+环境,对旧系统兼容性有限。虽然能识别已知恶意模式,但面对零日攻击、高级混淆技术或逻辑型漏洞仍可能漏报。此外,该Skill本身仅为文档参考,用户需额外维护Python运行时环境和依赖包版本。

适合的目标群体

主要面向四类用户:一是AI Agent终端用户,在安装第三方技能前进行安全预审与风险评分;二是MCP工具开发者,用于发布前的自检、生成锁定文件和供应链安全验证;三是企业DevSecOps团队,需要集成到CI/CD流水线进行自动化合规检查和门禁控制;四是开源社区维护者,通过提交aegis.lock文件为下游用户提供可验证的安全基线。特别适合对供应链攻击(如恶意PyPI包、权限提升)防护有高要求的技术组织。

使用风险

使用该Skill及关联工具需注意以下风险:安装Python包时务必验证PyPI发布者身份(Aegis-Scan),防范域名抢注或 typo-squatting 攻击;启用LLM模式前需签署数据隐私确认,确保扫描代码不含敏感信息;扫描结果仅供参考,高复杂度代码(如"Spaghetti Monster"类型)可能存在误报或漏报;Ed25519私钥需妥善保管,泄露可能导致锁定文件被恶意伪造。建议在隔离环境或容器中扫描来源不明的技能,避免直接在生产环境执行未知代码的审计。

安全解读

核心用法

Aegis Audit 是一款面向 AI agent 生态的防御性安全审计工具,用于在安装、审查或批准任何 skill、MCP 工具或插件前执行深度行为安全扫描。

典型工作流
1. 安装审计pip install aegis-audituv tool install aegis-audit

2. 离线扫描aegis scan --no-llm(默认完全离线,无需API密钥)

3. 生成锁文件aegis lock 创建 Ed25519 签名的 aegis.lock,用于供应链验证

4. CI集成aegis scan --json --no-llm | jq '.deterministic.risk_score_static' 输出0-100风险评分

技术实现

  • AST静态分析:750+ Python 函数/方法模式识别,结合 15 个专项扫描器(Secret扫描、Shell分析、JS分析、Dockerfile分析、配置分析、社会工程检测、隐写术检测等)
  • 确定性输出:相同代码始终产生相同报告,支持 Merkle 树和 Ed25519 签名实现防篡改
  • 污点分析:追踪 source-to-sink 数据流(命令、URL、SQL、路径)
  • MCP服务器模式:通过 aegis mcp-serve 暴露 scan_skillverify_lockfilelist_capabilities 三个工具

可选LLM增强
配置 GEMINI_API_KEY/OPENAI_API_KEY/ANTHROPIC_API_KEY 或本地 Ollama 后,可启用 AI 辅助意图分析。注意:启用后会将代码发送至第三方LLM,默认完全关闭

显著优点

| 优势 | 说明 |
|------|------|
| **零信任设计** | 假设所有第三方skill都可能恶意,从防御者视角构建 |
| **完全离线** | 确定性扫描无需网络,敏感代码不外流 |
| **供应链安全** | 加密锁文件 + Merkle 树实现代码-报告绑定验证 |
| **多语言覆盖** | Python、JavaScript/TypeScript、Dockerfile、YAML/JSON/TOML/INI 配置 |
| **行为量化** | 不仅是"有/无"风险,而是精确到文件、行号、CWE编码、OWASP分类 |
| **Vibe Check人格分析** | 将技术发现转化为"Permission Goblin""Trust Me Bro"等直观标签 |
| **MCP原生** | 直接作为MCP服务器运行,与Cursor、Claude Desktop无缝集成 |

潜在缺点与局限性

1. Python专属:核心AST分析针对Python优化,JS/TS等其他语言依赖Semgrep规则,深度较浅
2. LLM分析非确定性:AI辅助评分因模型版本、温度参数变化而不可复现,不进入签名锁文件

3. 零日攻击盲区:基于特征库的扫描无法检测全新攻击模式(但AST模式匹配有一定泛化能力)

4. 复杂依赖链:"Co-Dependent Lover"类型skill的供应链风险需要额外工具(如Snyk、Dependabot)补充

5. 配置门槛:本地LLM(Ollama等)配置对非技术用户不够友好

适合人群

  • AI agent 用户:安装任何第三方skill前的强制安全检查
  • MCP 服务器管理员: governance流程中的标准化审计工具
  • Skill 开发者:发布前的自检与 aegis.lock 生成
  • 企业安全团队:CI/CD pipeline中的自动化安全门禁
  • 开源维护者:AGPL-3.0许可允许自由修改,网络服务需开源

常规风险

| 风险类型 | 等级 | 说明 |
|----------|------|------|
| 误报风险 | 中 | 高复杂度代码可能触发"Spaghetti Monster"标签,需人工复核 |
| 功能依赖 | 低 | 实际扫描依赖本地 `aegis-audit` PyPI包,Skill本身仅为封装文档 |
| 许可合规 | 低 | AGPL-3.0要求网络服务部署时开源修改,商用需购买专有许可 |
| 密钥管理 | 低 | 仅在启用LLM模式时需保管API密钥,默认无此需求 |

aegis-audit 内容

手动下载zip · 6.5 kB
CHANGELOG.mdtext/markdown
请选择文件