文章总结： 文档介绍了五款开源AI安全扫描工具：SnykAgentScan专注AI代理组件供应链漏洞、AI-Infra-Guard提供AI红队测试平台、Clawdex实现AI技能安全校验、SafeSkillCLI支持技能全生命周期管理、Trivy扩展传统扫描器集成AI组件检测。文章提供了各工具的定位、安装命令及组合使用建议，形成从插件选型到基础设施的五层安全防线。 综合评分： 78 文章分类： 安全工具,AI安全,解决方案,漏洞分析,供应链安全

五款开源扫描器指南

Eclat. Eclat.

船山信安

2026年5月12日 12:11 广东

在小说阅读器读本章

去阅读

1.  Snyk Agent Scan — AI代理/MCP服务器安全扫描器

定位：专门扫描AI智能体组件（Skills、MCP服务器、Claude Skill）供应链漏洞的开源工具，覆盖提示词注入、敏感数据泄露、自然语言隐藏恶意载荷等场景。

官网/仓库：https://github.com/snyk/agent-scan

安装命令（OpenClaw平台安装）：

openclaw install snyk/agent-scan

来源：https://agentskill.work/zh/skills/snyk/agent-scan

2. AI-Infra-Guard (A.I.G) — 腾讯朱雀实验室AI红队测试平台

定位：腾讯朱雀实验室出品，支持28种AI框架指纹识别、200+安全漏洞数据库，集成AI基础设施漏洞扫描、MCP服务器风险扫描、越狱评估。支持WebUI和命令行两种模式，内置类ReAct框架的AI驱动动态检测能力。

官网/仓库：https://github.com/Tencent/AI-Infra-Guard

安装命令（Docker一键部署）：

git clone https://github.com/Tencent/AI-Infra-Guard
cd AI-Infra-Guard
cp env.example .env
docker-compose up -d

手动部署（pip安装依赖）：

git clone https://github.com/Tencent/AI-Infra-Guard
cd AI-Infra-Guard
pip install -r requirements.txt
pip install -r agent-scan/requirements.txt
pip install -r mcp-scan/requirements.txt
./start.sh

来源：https://tencent.github.io/AI-Infra-Guard/ · https://ai-bot.cn/ai-infra-guard/ · https://blog.csdn.net/gitblog_00738/article/details/153236466

3. Clawdex — Koi Security AI技能安全扫描器

定位：在安装ClawHub技能前进行安全校验的工具，通过API查询技能名称即可获得判定结果，benign/malicious/unknown。支持人工查询和AI代理自动集成两种模式。

官网：https://clawdex.koi.security/

安装命令（集成到AI代理）：

npx clawhub@latest install clawdex

API调用示例：

# 查询某个技能的安全性
curl -s "https://clawdex.koi.security/api/skill/sonoscli"
# 返回 {"verdict": "benign"} = ✅ 安全
# 返回 {"verdict": "malicious"} = 🚫 恶意
# 返回 {"verdict": "unknown"} = ⚠️ 需确认

来源：https://clawdex.koi.security/

4. SafeSkill CLI — AI技能安全检测平台

定位：独立的AI Skill安全检测命令行工具，支持安装、查看、搜索、更新、卸载AI Agent Skill，兼容GitHub/GitLab/本地目录/SafeSkill Hub多种来源。

官网：https://safeskill.cn

安装命令：

# 推荐：npx直接使用（无需全局安装）
npx safeskill --help

# 全局安装
npm install -g @safeskill/cli

使用示例：

# 扫描本地已安装技能
npx safeskill list

# 搜索安全技能
npx safeskill find security

# 从SafeSkill Hub安装已验证技能
npx safeskill add safeskill://official/acme/[email protected]

来源：https://safeskill.cn/cli-docs

5. Trivy — Aqua Security全栈安全扫描器

定位：虽然是传统安全工具，但2026年已深度整合AI组件扫描能力，支持容器镜像、文件系统、Git仓库、Kubernetes集群、IaC文件的全栈漏洞扫描。单二进制文件，零依赖，Aqua Security维护。

官网：https://trivy.dev

安装命令：

# Linux/macOS 安装脚本
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sudo sh -s -- -b /usr/local/bin

# macOS Homebrew
brew install trivy

# Debian/Ubuntu APT
sudo apt-get install wget gnupg
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb generic main" | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update && sudo apt-get install trivy

来源：https://trivy.dev/docs/latest/getting-started/installation/

组合使用建议：安装Skill前用 Clawdex 查API快速验证 → 用 SafeSkill 做本地扫描 → 部署后用 Snyk Agent Scan 做供应链深度审计 → 基础设施层面用 A.I.G 做全面红队评估 → 容器/镜像用 Trivy 兜底扫描。五层防线覆盖从插件选型到基础设施的完整攻击面。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 Eclat. Eclat.《五款开源扫描器指南》