AI安全体检平台

AI Security Checkup Platform

📋 项目建档

录入客户信息与待检 AI 资产，作为本次安全体检的基础信息。建档完成后可在后续步骤中引用。

客户名称 *

行业领域

联系人

联系方式

项目名称 *

AI 资产类型 *

资产地址 *

补充说明

🔍 体检项选择

根据客户资产类型，选择需要执行的安全检测模块。每个模块对应一套专业扫描能力，可多选组合。

🚀 执行扫描

安全引擎正在对目标资产执行自动化安全检测，请等待扫描完成。

严重 (Critical)

高危 (High)

中危 (Medium)

低危 (Low)

扫描进度

实时日志

[00:00] 等待启动扫描...

📊 安全体检报告

基于扫描结果生成的综合安全评估报告

总览

发现详情

整改建议

安全评分（满分100）

体检概况

客户名称 -

扫描模块 -

资产数量 -

扫描耗时 -

发现总数 -

严重/高危 -

漏洞与风险发现

📋 体检记录

总体检次数

服务客户数

严重风险项

平均安全分

日期	客户	项目	检测模块	安全分	风险项	操作人	操作

📖 使用说明完整指南

🛡️

AI 安全体检平台

全栈式 AI 红队安全测试平台，
从基础设施到智能体，全面守护 AI 生态系统安全。

55+ AI 框架识别 1000+ CVE 覆盖 9 大类 MCP 风险检测专业安全评估

一、项目概述

本平台是全栈式 AI 红队安全测试平台。项目从传统的"模型本身安全"（对抗样本、数据投毒等）扩展到"整个 Agent 生态安全"，提供从基础设施漏洞扫描到智能体安全评估的完整检测链路。

平台已被多家知名企业及高校使用，获得多篇论文引用，并提供企业级安全检测能力。

🎯 核心定位

定义 AI 红队的标准框架——不仅是一个扫描器，更梳理了从基础设施到供应链每一层需要何种专门的安全检测能力。可像 SonarQube 一样嵌入 CI/CD 流水线。

📊 覆盖范围

55+ AI 框架指纹识别 · 1000+ CVE 漏洞库 · 9 大类 MCP 安全风险 · OWASP Top 10 for Agentic Apps · 多模型越狱评估 · 供应链投毒检测

二、技术架构

双容器架构

本平台采用双容器架构，将 Web 管理界面与资源密集型的扫描代理隔离，保障系统稳定性和安全性：

Web 管理服务 (编排 & UI)	扫描代理服务 (执行引擎)
• HTTP Server (端口 8088)	• Go Agent 二进制
• TaskManager 任务调度	• Python PromptSecurity
• AgentManager 代理管理	• mcp-scan MCP 扫描引擎
• SQLite 数据库	• agent-scan 智能体扫描
• REST API 接口	• Chromium (无头浏览器)
• Swagger 文档	• 指纹匹配 & 漏洞引擎

Web 容器负责任务编排和界面展示，Agent 容器负责实际的扫描执行。两者通过 WebSocket 通信，Agent 可水平扩展以提升扫描并发能力。

ReAct 智能体框架

MCP 扫描和 Agent 扫描模块采用基于类 ReAct (Reasoning + Acting) 框架的 AI 智能体，核心流程：

攻击面分析

→

风险模型映射

→

动态检测执行

→

安全报告生成

🧠 推理 + 行动

AI 智能体自主执行系统命令（读取文件、启动服务、发起网络请求），模拟攻击者视角分析风险的可利用性，逐步构建并验证完整攻击链。

🔗 跨语言理解

利用大模型原生代码理解能力，无需为 Python、TypeScript、Java 等语言单独开发 SAST 规则，基于语义理解分析代码逻辑，避免关键词匹配的误报问题。

三、部署安装

系统要求

资源	最低要求	推荐配置
内存 (RAM)	4 GB	8 GB+
磁盘空间	10 GB	20 GB+
Docker	20.10+	最新稳定版
操作系统	Linux / macOS / Windows (Docker Desktop)	Linux (Ubuntu 22.04)
网络	可访问目标资产	与目标同网段

方式一：Docker Compose 部署（推荐）

最简便的部署方式，使用预构建的多架构镜像（支持 x86_64 和 ARM64）：

bash

# 克隆仓库 git clone <仓库地址>.git cd <项目目录> # 一键启动（拉取预构建镜像） docker compose up -d # 查看服务状态 docker compose ps # 访问 Web 界面 http://localhost:8088

💡

首次启动可能需要拉取镜像，耗时约 2-5 分钟。启动成功后，右侧状态灯将显示为绿色"已连接"。

方式二：一键脚本部署

项目提供了 docker.sh 脚本，自动完成环境检查、Docker 安装、仓库克隆和服务启动：

bash

# 下载并执行一键部署脚本（需 root 权限） chmod +x docker.sh ./docker.sh

脚本自动完成：① 环境检查（验证 root 权限和 git/curl） → ② 安装 Docker 和 Compose → ③ 创建数据目录 → ④ 启动服务

方式三：CLI 二进制部署

适用于轻量扫描场景，无需 Docker，直接下载对应平台的二进制文件即可使用：

bash

# 从 Releases 下载对应版本 <发布包下载地址> # 解压并赋予执行权限 chmod +x security-scanner # 直接运行单个目标扫描 ./security-scanner -target 192.168.1.100

⚠️

CLI 模式仅支持基础设施漏洞扫描功能。MCP 扫描、Agent 扫描、越狱评估等高级功能需要通过 Docker 部署的 Web 模式使用。

Docker 环境变量与卷挂载

环境变量	默认值	说明
APP_ENV	production	应用模式
UPLOAD_DIR	/app/uploads	上传文件存储位置
DB_PATH	/app/db/tasks.db	SQLite 数据库路径
TZ	Asia/Shanghai	系统时区
AIG_SERVER	webserver:8088	Agent 注册的 WebSocket 地址

宿主机路径	容器路径	说明
./data	/app/data	安全知识库（指纹、漏洞规则、MCP 插件）
./db	/app/db	SQLite 数据库和本地配置
./logs	/app/logs	应用和扫描日志
./uploads	/app/uploads	待扫描文件的临时存储

四、核心检测模块详解

🏗️ 基础设施漏洞扫描 (VulnScan)

检测 Ollama、vLLM、ComfyUI、Gradio、JupyterLab、Triton 等 AI 框架组件的已知漏洞。输入目标地址，自动完成指纹识别与漏洞匹配。

特性	说明
指纹识别	55+ AI 框架组件，基于 WEB 指纹识别技术（title/body/header/icon 匹配）
漏洞库	1000+ 已知 CVE，覆盖未授权访问、API 泄露、命令注入等
扫描方式	输入 IP/域名即可自动指纹识别 → 漏洞匹配 → 输出报告
覆盖框架	Ollama, vLLM, ComfyUI, Gradio, JupyterLab, Triton, Ray, MLflow 等

CLI 示例

# 扫描单个目标 ./security-scanner -target 192.168.1.100 # 扫描多个目标 ./security-scanner -target 192.168.1.100 -target 10.0.0.50 # 从文件批量读取目标 ./security-scanner -file targets.txt # 本地扫描（检测本机 AI 服务） ./security-scanner -localscan

🔌 MCP Server & Skills 扫描 (MCPScan)

针对 MCP (Model Context Protocol) 服务的专项安全检测，基于 AI Agent 驱动的 ReAct 框架，支持源码 / GitHub URL / 远程服务三种扫描方式。

9 大类 MCP 安全风险检测：

☠️

工具投毒

隐藏恶意指令窃取对话

📤

数据窃取

非法读取/传输敏感数据

💉

命令注入

通过 MCP 执行系统命令

🎭

间接提示注入

外部数据中隐藏恶意指令

📂

任意文件读写

越权访问文件系统

🌐

SSRF

服务器端请求伪造

🔄

工具覆盖

恶意替换合法工具行为

🧶

Rug Pull

代码突然变更植入后门

🏷️

命名混淆抢注

仿冒知名 MCP 服务名称

检测流程四阶段：

① 攻击面分析

→

② 风险模型映射

→

③ 动态检测执行

→

④ 安全报告生成

AI Agent 会对 MCP 服务项目进行全面扫描（项目文档、目录结构、代码文件），自主理解安全风险模式并规划检测策略，动态执行系统命令模拟攻击者视角，最终输出包含风险描述、技术细节和修复建议的完整报告。

💡

使用建议：推荐使用代码能力较强的模型（如 Claude 3.7、GPT-4.1、Gemini 2.5 Pro 或 DeepSeek V3），谨慎使用 DeepSeek R1 等深度思考模型以防时间和 Token 成本失控。单次 MCP 检测通常需要 3-25 分钟。

🤖 Agent 工作流安全评估 (AgentScan)

基于 LLM 驱动的多阶段推理，评估 Dify、Coze 等 Agent 平台的工作流安全性，漏洞分类对标 OWASP Top 10 for Agentic Applications。

检测项	说明
提示注入	检测 Agent 工作流中是否存在未过滤的用户输入，可被劫持 Agent 行为
权限越界	验证 Agent 是否具备超出业务需要的系统权限
数据泄露	检测 Agent 是否会泄露系统提示、工具定义等内部信息
工具滥用	分析 Agent 可调用的工具是否存在组合利用风险
多智能体交互	评估多 Agent 协作场景下的权限传递和信任边界

ℹ️

当前 Agent 扫描对 Dify 和 Coze 的覆盖较完善，其他平台支持有限，后续版本会持续扩展。

🔓 越狱评估 (JailbreakEval)

使用高质量数据集评估 LLM 的 Prompt 安全风险，支持多模型对比测试，量化模型抵抗越狱攻击的能力。

特性	说明
数据集驱动	使用精心构建的越狱测试用例集，覆盖多种攻击向量
跨模型对比	支持同时测试多个模型，横向比较安全水位
量化评分	输出通过率、拒绝率等量化指标，便于横向比较
自定义数据集	支持通过 YAML/JSON 扩展自定义越狱用例

🐾 OpenClaw 安全评估 (ClawScan)

针对 OpenClaw 平台的专项安全评估，涵盖：

配置审计

检测 OpenClaw 配置文件权限、认证设置、网络暴露等安全配置问题。

CVE 检测

检测 OpenClaw 已知漏洞，包括未授权访问、信息泄露等。

📦 供应链安全检测 (SupplyChainScan)

检测 AI 依赖库、模型仓库、插件市场的供应链攻击风险。已能检测到近期流行的 LiteLLM 供应链攻击并标记为 CRITICAL。

🚨

LiteLLM 供应链攻击：下载量达 4.8 亿的 LiteLLM 库曾遭遇供应链投毒攻击，攻击者可利用恶意包获取服务器权限。本平台可一键检测此漏洞。一旦确认受影响，建议立刻更换所有密钥与凭证。

五、CLI 命令参考

CLI 模式适用于快速扫描和自动化集成场景。以下为完整的命令行参数：

参数	说明	示例
-ws	启动 Web UI 服务	./security-scanner -ws
-target	指定扫描目标（IP/域名），可多次使用	-target 192.168.1.100
-file	从文件读取目标列表	-file targets.txt
-localscan	扫描本地 AI 服务	-localscan
-ai	启用 AI 分析功能	-target x.x.x.x -ai
-hunyuan-token	混元模型 Token	-ai -hunyuan-token YOUR_TOKEN
-deepseek-token	DeepSeek 模型 Token	-ai -deepseek-token YOUR_TOKEN

常用命令组合

# 启动 Web 管理界面（含所有功能） ./security-scanner -ws # 快速扫描 + AI 智能分析 ./security-scanner -target 192.168.1.100 -ai -hunyuan-token sk-xxx # 使用 DeepSeek 模型进行分析 ./security-scanner -target 192.168.1.100 -ai -deepseek-token sk-xxx # 批量扫描目标列表 ./security-scanner -file production_targets.txt -ai -hunyuan-token sk-xxx

六、Web API 与集成

Web 模式提供完整的 REST API，支持与 CI/CD 流水线、安全编排平台等系统集成。

API 基础信息

基础地址: http://localhost:8088/api/v1 Swagger 文档: http://localhost:8088/swagger # 健康检查 GET /api/v1/health # 基础设施漏洞扫描 POST /api/v1/vulnscan/scan Body: {"target": "192.168.1.100", "ports": "8080,11434"} # MCP 扫描（源码方式） POST /api/v1/mcpscan/scan Body: {"type": "source", "path": "/app/uploads/mcp-server"} # MCP 扫描（GitHub URL 方式） POST /api/v1/mcpscan/scan Body: {"type": "github", "url": "https://github.com/user/mcp-server"} # Agent 扫描 POST /api/v1/agentscan/scan Body: {"platform": "dify", "target": "http://dify-instance"} # 越狱评估 POST /api/v1/jailbreak/eval Body: {"model": "gpt-4", "dataset": "default"} # 查询扫描任务状态 GET /api/v1/tasks/{task_id} # 获取扫描结果报告 GET /api/v1/tasks/{task_id}/report

ℹ️

完整 API 文档请访问部署后的 Swagger 页面：http://localhost:8088/swagger。所有 API 响应格式为 JSON，支持 CSV/JSON 格式导出报告以便集成到 CI/CD 流水线。

CI/CD 集成示例：

GitHub Actions 示例

# .github/workflows/aig-security-scan.yml name: AIG Security Scan on: [pull_request] jobs: security-scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Run MCP Scan run: | curl -X POST http://aig-server:8088/api/v1/mcpscan/scan \ -H "Content-Type: application/json" \ -d '{"type": "source", "path": "./mcp-server"}' - name: Check Results run: | RESULT=$(curl http://aig-server:8088/api/v1/tasks/latest/report) echo "$RESULT" | jq '.critical_count'

七、体检平台工作流对接

本 AI 安全体检平台已将安全扫描引擎的能力封装为标准化工作流，按照以下步骤为您的客户完成安全体检：

① 项目建档

→

② 选择检测模块

→

③ 自动化安全扫描

→

④ 生成体检报告

步骤一：配置扫描引擎连接

在使用体检平台前，请先确保扫描引擎服务已部署并运行。点击右上角 "⚙️ 引擎配置" 按钮：

填写扫描引擎服务地址（默认 http://localhost）
填写端口号（默认 8088）
点击 "测试连接" 确认服务可用
点击 "保存配置"

连接成功后，右上角状态灯变为绿色"已连接"。

步骤二：录入客户信息

在"项目建档"页面填写客户基本信息和 AI 资产信息。必填项包括：客户名称、项目名称、AI 资产类型、资产地址（支持 IP/域名/URL，多个用逗号分隔）。

步骤三：选择检测模块

根据客户资产类型，选择对应的检测模块。建议：

资产类型	推荐模块
AI 基础设施	基础设施漏洞扫描 + 供应链安全检测
Agent 应用	Agent 工作流安全评估 + 越狱评估
MCP Server	MCP Server & Skills 扫描 + 供应链安全检测
大模型 API	越狱评估 + 基础设施漏洞扫描
综合	全选所有模块

步骤四：执行扫描与生成报告

确认选择后，平台将自动调用扫描引擎 API 执行扫描。扫描过程中可实时查看进度和日志。扫描完成后，系统自动生成包含安全评分、漏洞详情、分级整改建议的体检报告，支持导出 Markdown 格式。

八、自定义规则扩展

扫描引擎采用插件化架构，支持用户自定义指纹、漏洞、MCP 规则和越狱数据集，通过 YAML/JSON 格式扩展。

指纹规则定义

指纹规则位于 data/fingerprints/ 目录，YAML 格式：

YAML 示例

name: Ollama type: ai-framework rules: - match: title operator: "=" value: "Ollama" - match: body operator: "~=" value: "api/version" - match: header operator: "=" value: "Ollama Server"

匹配语法	说明	示例
=	模糊匹配	title = "Ollama"
==	全等匹配	body == "exact text"
!=	不等匹配	header != "nginx"
~=	正则匹配	body ~= "api/v\\d+"
&&	与运算	rule1 && rule2
\|\|	或运算	rule1 \|\| rule2
()	括号分组	(rule1 \|\| rule2) && rule3

匹配位置支持：title（页面标题）、body（页面正文）、header（HTTP 响应头）、icon（网站图标哈希）。

漏洞规则定义

漏洞规则位于 data/vuln/ 目录，YAML 格式，与指纹规则关联：

YAML 示例

name: Ollama 未授权访问 cve_id: CVE-2024-39720 severity: critical cvss: 9.8 affected_version: "<=0.3.0" description: Ollama 服务未启用认证，攻击者可远程执行任意操作 remediation: 升级至 0.3.1+ 并启用认证配置 fingerprint: Ollama

九、已知局限与注意事项

🚫

无认证机制：当前版本未内置用户认证，切勿直接部署在公网。建议部署在内网环境或通过 VPN 访问。

局限项	说明	应对建议
无认证机制	Web 界面无需登录即可访问	部署在内网，或通过反向代理加认证
Agent 扫描平台覆盖有限	当前主要覆盖 Dify 和 Coze	关注版本更新，其他平台可先做手动评估
AI 模型依赖性高	检测质量取决于配置的大模型能力	使用 Claude 3.7 / GPT-4.1 等强代码模型
Token 消耗较大	复杂 MCP 分析需要超长多轮对话	控制扫描范围，分批检测
检测耗时较长	单次 MCP 检测需 3-25 分钟	合理规划扫描时间，避免业务高峰
Pro 版功能差异不明	存在需邀请码的 Pro 版	开源版已满足大多数安全评估场景

十、常见问题

Q：Docker 启动后无法访问 Web 界面？

① 检查容器状态：docker compose ps，确认两个容器都在运行
② 检查端口冲突：lsof -i :8088，如被占用可修改 docker-compose.yml 中的端口映射
③ 查看日志：docker compose logs -f，检查是否有启动报错

Q：扫描结果为空或报错？

① 确认目标地址可达（网络连通性）
② 确认目标端口正确（AI 服务常用端口：Ollama 11434、vLLM 8000、ComfyUI 8188）
③ MCP 扫描需要配置大模型 Token，检查 Token 是否有效

Q：如何选择 AI 分析模型？

推荐优先级：Claude 3.7 > GPT-4.1 > Gemini 2.5 Pro > DeepSeek V3。
不建议使用 DeepSeek R1 等深度思考模型——虽然推理更深入，但单次检测耗时和 Token 成本会显著增加。如需本地部署，可接入开源模型 API 实现私有化。

Q：如何将扫描引擎集成到现有安全流程？

三种方式：
① Web UI：通过浏览器手动操作，适合安全评估人员
② REST API：通过 HTTP 接口调用，适合与安全编排平台/SOAR 集成
③ CI/CD Webhook：在 PR 事件时自动触发安全门禁拦截，实现安全左移

Q：体检平台与扫描引擎是什么关系？

体检平台是面向安全服务团队的工作流编排层，将扫描引擎的各项检测能力封装为标准化的"AI 安全体检"服务。体检平台负责客户建档、模块选择、流程管理和报告生成，扫描引擎负责底层的扫描执行和漏洞检测。两者通过 REST API 通信。

📚

更多信息

如需技术支持或有任何问题，请联系平台管理员。

AI安全体检平台

📋 体检记录

👥 用户管理

🎫 邀请码管理