📦 AgentSec — 代理Sec
v0.1.4审计 AI 代理 技能s for security vulnerabilities. Use when 扫描ning 安装ed 技能s agAInst the OWASP 代理ic 技能s Top 10, 检查ing 技能s before 运行nin...
by @markeljan详细分析 ▾
运行时依赖
安装命令
点击复制技能文档
agentsec agentsec 是一款面向 AI agent skills 的安全审计 CLI。它会扫描项目中已安装的每一个 skill,对照 OWASP Agentic Skills Top 10 检测漏洞、配置错误与治理缺口,并输出报告。
何时使用 当用户要求以下操作时,使用 agentsec:
- 审计、扫描或检查 agent skills 的安全问题
- 运行前验证已安装 skills 是否安全
- 检查 agent 设置是否符合 OWASP 规范
- 在 CI/CD 流水线中设置 skill 安全门禁
- 为利益相关者生成安全报告
快速开始 最快出结果——无需安装、无需参数: npx agentsec 该命令会扫描机器上所有默认 skills 目录(按平台分组),以及当前项目下最多两层的 ./skills 文件夹,并对每个已安装 skill 执行 OWASP Agentic Skills Top 10 审计。务必先尝试此命令。
自动发现路径 Platform | 扫描路径 Claude Code | ~/.claude/skills, ./.claude/skills, ~/.claude/plugins//skills/, ~/.claude/commands, ./.claude/commands OpenClaw / ClawHub | ~/.openclaw/workspace/skills, ~/.openclaw/workspace-*/skills(通过 OPENCLAW_PROFILE 指定配置),~/.openclaw/skills Codex / skills.sh | ~/.agents/skills, ./.agents/skills, ../.agents/skills, /etc/codex/skills 其他(通用) | 当前项目内最多两层深的任意 skills/ 目录
核心命令 所有工作流都从以下四条命令开始,无需安装,直接 npx agentsec: # 完整审计(扫描 + 策略评估)。默认命令。 npx agentsec # 仅扫描(不评估策略) npx agentsec scan # 根据已保存的审计 JSON 生成报告 npx agentsec report audit.json # 管理与查看策略预设 npx agentsec policy list
安装 npx agentsec 无需安装。如需频繁使用,可全局安装: # bun(推荐) bun add -g agentsec # npm npm install -g agentsec # pnpm pnpm add -g agentsec # yarn yarn global add agentsec 之后可直接使用 agentsec 前缀: agentsec agentsec scan --path ./my-skills
参数 所有参数适用于任意命令。
参数 | 简写 | 取值 | 默认 | 说明 --format | -f | text, json, sarif, html | text | 输出格式 --output | -o | 路径 | stdout | 报告写入文件 --policy | -p | 预设名或路径 | default | 应用策略预设 --platform | 无 | openclaw, claude, codex | auto | 限定某一 agent 平台 --path | 无 | 路径 | auto | 自定义 skill 目录 --verbose | -v | 无 | 关闭 | 显示详细发现 --no-color | 无 | 无 | 关闭 | 禁用彩色输出 --help | -h | 无 | 无 | 显示帮助 --version | -V | 无 | 无 | 打印版本
常用示例 显示详细发现与修复建议 npx agentsec --verbose 扫描指定目录 npx agentsec scan --path ./my-skills 针对特定 agent 平台 npx agentsec --platform claude npx agentsec --platform codex 使用严格策略并保存 JSON npx agentsec --policy strict --format json --output audit.json 生成面向利益相关者的 HTML 报告 npx agentsec --format html --output report.html 生成 SARIF 报告供 IDE/代码扫描集成 npx agentsec --format sarif --output report.sarif 列出可用策略预设 npx agentsec policy list 查看预设规则 npx agentsec policy show strict 校验自定义策略配置文件 npx agentsec policy validate ./my-policy.json 将旧审计结果重放为 HTML 报告 npx agentsec report audit.json --format html --output report.html
策略预设 名称 | 场景 default | 平衡策略,阻止关键发现 strict | 企业级,阻止高/关键发现并强制测试 permissive | 宽松,仅阻止关键 CVE,适合开发 owasp-agent-top-10 | 直接基于 OWASP Agentic Skills Top 10
配置文件 agentsec 自动加载当前目录(或任意父目录)下的 .agentsecrc、.agentsecrc.json 或 agentsec.config.json: { "format": "text", "output": null, "policy": "strict", "verbose": false } CLI 参数始终覆盖配置文件。省略 "platform" 与 "path" 可保持默认自动发现——agentsec 会扫描所有已知平台的默认位置。
OWASP Agentic Skills Top 10 每次审计均检查以下十大风险类别: ID | 风险 AST01 | 恶意 Skills AST02 | 供应链破坏 AST03 | 过度授权 Skills AST04 | 不安全元数据 AST05 | 不安全反序列化 AST06 | 弱隔离 AST07 | 更新漂移 AST08 | 扫描不足 AST09 | 无治理 AST10 | 跨平台复用
输出解读 默认输出简洁:每个 skill 显示等级与分数,后跟一行发现摘要及 PASS/WARN/FAIL 状态。 ✔ Found 6 skills ✔ fetch-data v1.0.0 D (42) ✔ deploy-helper v2.3.0 C (68) ✔ code-review v1.1.0 A (95) 6 skills scanned • avg score 78 • 4 certified Findings: 2 critical, 1 high, 2 medium ⚠ WARN 3 high/critical finding(s) detected 加 --verbose 可查看分数明细、规则 ID、文件/行号及修复建议。
退出码 0 — 审计通过当前策略 1 — 策略违规或致命错误 可直接用退出码在 CI 中设置门禁。