by 详细分析 ▾
运行时依赖
版本
发布 v0.76.4
安装命令
点击复制本土化适配说明
agent-bom scan — AI供应链漏洞扫描器 安装说明: 安装命令:npx clawhub@latest install agent-bom-scan 支持国内镜像加速,使用 --registry https://cn.longxiaskill.com 参数可加速下载
技能文档
检查程序包的CVE、本地扫描容器镜像、通过Sigstore验证程序包来源、扫描文件系统并生成SBOM。
安装
pipx install agent-bom
agent-bom agents # 发现代理并扫描依赖项 agent-bom check langchain==0.1.0 # 检查特定程序包及版本 agent-bom image nginx:1.25 # 扫描容器镜像(本地) agent-bom fs . # 扫描文件系统程序包 agent-bom sbom . # 生成SBOM agent-bom verify agent-bom # 验证Sigstore来源 agent-bom where # 显示所有发现路径
作为MCP服务器
{
"mcpServers": {
"agent-bom": {
"command": "uvx",
"args": ["agent-bom", "mcp", "server"]
}
}
}
使用场景
- "check package" / "is this package safe"
- "scan image" / "scan container"
- "verify" / "check provenance"
- "is this safe" / "CVE lookup"
- "scan dependencies"
- "blast radius"
- "generate SBOM"
工具(8个)
| 工具 | 描述 |
|---|---|
check | 检查程序包的CVE(OSV、NVD、EPSS、KEV) |
scan | 完整发现+漏洞扫描流程 |
blast_radius | 映射CVE对代理、服务器、凭据的影响链 |
remediate | 漏洞优先修复计划 |
verify | 程序包完整性+SLSA来源检查 |
diff | 比较两次扫描报告(新增/已解决/持续) |
where | 显示MCP客户端配置发现路径 |
inventory | 列出已发现的代理、服务器、程序包 |
示例
# 安装前检查程序包 check(package="langchain", version="0.1.0", ecosystem="pypi")# 映射CVE的爆炸半径 blast_radius(cve_id="CVE-2024-21538")
# 完整扫描 scan()
# 验证程序包来源 verify(package="agent-bom")
防护措施
- 即使NVD分析待定或严重性为"unknown",也要显示CVE——CVE ID仍然是一个真实的发现。
- 将"UNKNOWN"严重性视为未解决,而非良性——这意味着数据尚不可用。
- 不要修改任何文件、安装程序包或更改系统配置。
- 仅公共程序包名称和CVE ID离开机器进行漏洞数据库查询。
- 在扫描用户主目录之外的路径之前请先确认。
隐私与数据处理
# 步骤1:安装 pip install agent-bom# 步骤2:扫描前审查删除逻辑 # sanitize_env_vars()在处理或存储任何配置数据之前, # 将所有环境变量值替换为REDACTED: # https://github.com/msaad00/agent-bom/blob/main/src/agent_bom/security.py#L159
# 步骤3:验证程序包来源(Sigstore) agent-bom verify agent-bom
# 步骤4:然后再运行扫描 agent-bom agents
验证
- 源代码: github.com/msaad00/agent-bom (Apache-2.0)
- Sigstore签名:
agent-bom verify agent-bom@0.76.4 - 7,100+测试 包含CodeQL + OpenSSF Scorecard
- 无遥测: 零追踪、零分析