智能体安全扫描
0.58已归档14 次浏览0 次认可4/3/2026
AI编程Agent的普及与深度研究开源软件供应链安全风险
来源平台: idea-spark
一个针对AI Agent项目(特别是基于Claude Code、OpenClaw架构的项目)的轻量级、自动化安全扫描SaaS服务。它帮助开发者或小团队快速检测项目中的硬编码密钥、过广的文件读取权限、不安全的依赖以及已知的Agent配置漏洞,防止源码泄露和供应链攻击。
目标用户
正在基于开源AI Agent框架(如Claude Code、OpenClaw)进行二次开发或部署的独立开发者、创业公司技术负责人。他们关心项目安全性,但缺乏专职安全审计资源,且对在代码中意外泄露API密钥或模型访问凭证感到担忧。
核心差异点
‘专精于AI Agent项目上下文的安全’。不同于通用的静态代码分析工具,它内置了对AI Agent特有风险模式(如MCP服务器配置、工具调用权限、提示词注入风险点)的检测规则,能提供更具针对性和可操作性的建议。
解决方案
用户通过GitHub App授权或上传代码压缩包。后端使用Python/Go编写扫描引擎,集成多个规则:1. 正则匹配硬编码的密钥模式。2. 分析配置文件(如config.json)中过于宽松的路径读取权限。3. 检查package.json/pyproject.toml中的依赖版本是否存在已知漏洞。4. 检查是否存在与Claude Code已知泄露漏洞相似的代码模式。扫描完成后生成一份简洁的网页报告,按风险等级(高危、中危、低危)列出问题并提供修复建议。
关联痛点
Claude Code等AI编程工具存在安全性漏洞和配置风险,例如源码意外泄露和供应链投毒攻击,引发对商业模型和开发工具安全的担忧。开源软件供应链安全风险
MVP 范围
支持GitHub仓库授权和手动ZIP文件上传两种扫描入口
实现针对硬编码密钥(API Keys
tokens)和常见配置文件路径风险的检测规则(不少于10条)
生成包含问题列表、位置、风险等级和简单修复建议的HTML报告页面