AgentShield:109⭐的 AI Agent 安全扫描器
随着 Claude Code、Cursor 等 AI 编程工具的普及,开发者的工作流中多了大量自动化 Agent。这些 Agent 通常需要访问文件系统、执行命令、调用 API,甚至操作数据库。但方便的另一面是风险——一个配置不当的 MCP 服务器或过度授权的工具,可能成为安全漏洞的入口。
AgentShield 正是针对这个问题诞生的安全扫描工具。
项目概览
| 属性 | 内容 |
|---|---|
| GitHub | affaan-m/agentshield |
| Stars | 109 |
| 语言 | TypeScript |
| 特点 | AI Agent 安全审计、MCP 配置扫描、权限检测 |
| 最后更新 | 1天前 |
它解决什么问题
想象一个典型场景:你在使用 Claude Code 时安装了一个第三方 MCP 服务器,用于操作数据库。这个服务器的配置文件中可能包含:
- 数据库连接字符串明文存储
- 过于宽泛的文件系统访问权限
- 允许执行任意系统命令
- 敏感 API key 暴露在环境变量中
AgentShield 会扫描这些配置,标记出潜在的安全风险,并给出修复建议。
核心功能
MCP 服务器安全审计
扫描 MCP 服务器的配置文件,检测:
- 不安全的权限设置
- 敏感信息泄露
- 危险的工具授权
Agent 配置扫描
检查 AI Agent 的配置文件,识别:
- 过度授权的工具访问
- 不安全的默认设置
- 潜在的数据泄露风险
多种集成方式
支持 CLI、GitHub Action、VS Code 插件和 GitHub App,可以嵌入到开发工作流的各个环节:
# 安装
npm install -g agentshield
# 扫描当前目录下的 MCP 配置
agentshield scan
# 扫描指定配置文件
agentshield scan --config ./mcp-config.json
# 输出 JSON 格式报告
agentshield scan --format jsonCI/CD 集成
GitHub Action 示例:
- name: Run AgentShield Security Scan
uses: affaan-m/agentshield-action@v1
with:
config-path: './mcp-config.json'
fail-on-high: true同类产品对比
| 工具 | Stars | 定位 | 特点 |
|---|---|---|---|
| Semgrep | 12k+ | 通用代码安全扫描 | 规则丰富,覆盖面广 |
| Trivy | 24k+ | 容器/依赖漏洞扫描 | 云原生场景成熟 |
| AgentShield | 109 | AI Agent 专项安全 | MCP/Agent 配置专用 |
AgentShield 的优势在于专注——它不是另一个通用安全扫描器,而是专门针对 AI Agent 生态设计的工具。在 MCP 协议快速普及的当下,这种垂直领域的安全工具显得尤为必要。
适用场景
- 使用 Claude Code、Cursor 等 AI 编程工具的开发者
- 自建 AI Agent 平台的团队
- 需要审计第三方 MCP 服务器的安全工程师
- 希望在 CI/CD 中增加 Agent 安全检查的团队
注意事项
- 项目处于早期阶段(v0.x),API 可能变动
- 部分高级功能仍在开发中
- 建议先在非生产环境测试
总结
AI Agent 的安全问题正在从”会不会发生”变成”何时被发现”。AgentShield 提供了一个轻量级的切入点,帮助开发者在配置阶段就发现并修复安全隐患。对于已经开始在生产环境使用 AI Agent 的团队,这种前置的安全检查比事后补救更有价值。
项目信息
| 属性 | 内容 |
|---|---|
| 仓库 | https://github.com/affaan-m/agentshield |
| 许可证 | MIT |
| 语言 | TypeScript |
| 维护者 | @affaan-m |