概览
{
“overview_html”: “agent-bom scan 是一款专为 AI 基础设施设计的供应链安全扫描工具,旨在识别和管理 AI 应用中的潜在安全风险。该工具通过自动发现广泛使用的 22 种 AI 工具中的 MCP(Model Context Protocol)客户端与服务器配置,全面检查其依赖的软件包是否存在已知漏洞。它不仅提供对 CVE(通用漏洞披露)、OSV(开源漏洞数据库)、NVD(美国国家漏洞数据库)、EPSS(Exploit Prediction Scoring System)以及 KEV(已知可利用漏洞)等权威漏洞数据的检测能力,还能深入分析单个软件包的风险状况。其核心优势在于能够映射特定漏洞可能造成的‘爆炸半径’,即评估一个 CVE 如何影响整个 AI 系统内的代理、服务器甚至敏感凭证,从而帮助开发者精准定位风险源头。最终,该工具会生成清晰、可操作的修复建议方案,助力团队快速响应并加固 AI 环境的安全防线。”,
“feature_items”: [
“自动发现并扫描 22 种主流 AI 工具中的 MCP 客户端与服务器配置”,
“支持检测软件包的多种 CVE 数据源(OSV/NVD/EPSS/KEV),提供全面的漏洞情报”,
“可映射特定 CVE 的‘爆炸半径’,分析其对 AI 系统中代理、服务器和凭证的影响范围”,
“生成优先级排序的修复建议方案,指导团队高效处理安全问题”,
“具备软件包完整性验证与 SLSA 溯源检查功能,确保供应链可信”,
“支持扫描报告对比(diff),便于追踪漏洞状态变化(新增/已修复/持续存在)”
],
“scenarios_html”: “agent-bom scan 特别适用于需要保障 AI 应用供应链安全的开发和安全运维团队。在开发阶段,它可在集成新依赖前,如安装某个 LangChain 组件时,先行执行 `check` 命令进行快速风险评估,避免引入高危漏洞。对于部署了复杂多代理系统的企业,该工具能执行全量 `scan` 操作,一次性完成对所有 AI 服务配置的发现与安全扫描,形成统一的资产清单。当某个关键漏洞(如 CVE-2024-21538)被公开后,团队可使用 `blast_radius` 功能,迅速查明该漏洞在其 AI 架构中可能波及的范围,优先处理最关键的受影响节点。此外,在安全审计或合规检查场景下,`inventory` 和 `diff` 命令能帮助组织梳理所有 AI 资产的漏洞现状,并与历史记录对比,验证修复措施的有效性,确保安全态势持续可控。”
}