agent-bom 是一款专为 AI 智能体基础设施设计的安全扫描与合规引擎,旨在帮助开发者和安全团队快速识别 MCP(Model Context Protocol)客户端与服务端中的潜在风险。该工具通过自动化扫描流程,检测已知 CVE 漏洞、评估其对系统的影响范围,并支持执行 CIS 基准测试,覆盖主流云平台如 AWS、Azure、GCP 及 Snowflake。其核心优势在于将安全策略以代码形式定义(policy-as-code),实现可重复、可审计的合规检查,适用于高度动态的 AI 环境。 除了基础漏洞扫描外,agent-bom 还提供对多个国际权威安全框架的合规性验证能力,包括 OWASP LLM Top 10(2025)、OWASP Agentic Top 10、MITRE ATLAS、欧盟《AI 法案》以及 NIST AI RMF。这些框架覆盖了提示注入、供应链污染、数据泄露、工具投毒等前沿威胁场景,确保 AI 系统在设计和部署阶段即符合行业最佳实践。同时,工具支持生成标准化的软件物料清单(SBOM),格式兼容 CycloneDX 和 SPDX,便于集成到 DevSecOps 流水线中。 值得一提的是,agent-bom 在数据处理上坚持隐私优先原则:所有合规评估均在内存中完成,无需读取本地文件(用户提供的 SBOM 除外),不进行任何网络请求,也无需用户提供敏感凭证。整个项目采用 Apache-2.0 许可证开源,拥有超过 3400 项自动化测试,并通过 CodeQL 静态分析与 OpenSSF Scorecard 认证,确保代码质量与安全性。
核心功能特点
- 支持 OWASP LLM/Agentic Top 10、EU AI Act、MITRE ATLAS 和 NIST AI RMF 等多套安全框架的合规性评估
- 提供基于 policy-as-code 的自定义安全策略校验功能,支持 17 种条件组合判断
- 内置 CIS 基准测试模块,可针对 AWS、Azure、GCP 和 Snowflake 云账户执行配置合规检查
- 自动生成标准化 SBOM(CycloneDX 或 SPDX 格式),满足供应链安全审计需求
- 全程本地化处理,无需联网或上传数据,保障敏感信息零暴露
适用场景
agent-bom 特别适用于需要严格管控 AI 基础设施安全性的组织,尤其是在构建或部署大型语言模型(LLM)应用、多智能体协作系统或 AI 驱动型 SaaS 平台时。对于已采用 MLOps 或 AIOps 流程的团队而言,该工具可作为 CI/CD 管道中的关键一环,在代码合并前自动拦截高风险配置或依赖项,防止漏洞进入生产环境。例如,在训练一个基于 Agentic AI 的客户服务机器人时,可通过 agent-bom 扫描其使用的外部工具链是否存在凭证泄露风险或提示注入攻击面,从而提前加固系统。 此外,面对日益严格的监管要求,如欧盟《AI 法案》对高风险 AI 系统的透明度和 SBOM 提交义务,企业可以利用 agent-bom 快速生成合规报告并验证是否符合特定框架的控制项。这不仅简化了审计准备过程,还能显著降低因不合规导致的业务中断或法律风险。无论是初创公司还是大型企业,只要涉及 AI 系统的开发、部署或运维,agent-bom 都能提供高效、可靠的安全与合规保障,助力构建可信、稳健的智能应用生态。