夜雨聆风一键扫描本地 Agent 程序,检测配置错误、恶意指令执行、插件供应链风险、隐私泄露等,解决企业在本地部署高权限AI智能体(如 OpenClaw、opencode)面临的安全问题。
01解决的核心问题
解决的两大痛点:
企业本地运行高权限Agent,难以手工排查安全隐患。缺乏针对 Agent 框架、配置文件路径、API 凭证的系统化检测手段。 智能体依赖大量组件(MCP 服务器、Skills、包管理器),供应链风险不可见。
02核心能力
工具通过扫描本地 Agent 环境,输出结构化的安全审计报告。支持的检测范围包括:
1. Agent 生态与框架识别
覆盖“Claw”生态、通用编程智能体、其他第三方智能体;
自动匹配主流 AI Agent 框架、通用开发框架、低代码/可视化平台;
识别Skills 常见存放位置。
2. 配置与敏感信息审计
扫描配置文件路径;
提取API 配置:Agent ID、供应方、Key 指纹、Base URL、模型名、配置文件路径;
检测隐私泄露。
3. 组件供应链安全(SBOM)
生成组件 SBOM:名称、版本、生态、来源
识别MCP 配置:按类别列出 AI 工具/平台、配置文件目录位置。
03安全审计报告内容
工具生成的多维度报告:
1. 仪表盘(风险总览)
漏洞分级统计(严重 / 高危 / 中危) 发现 Agent 数量、MCP 服务器数量、组件总数
2. 漏洞详情(CVE 级)
CVE 编号、来源组件、版本、严重性、CVSS 分数、风险描述、来源
3. 资产清单
AI Agent
MCP 服务器
API 配置
组件 SBOM
