Snyk Agent Scan

AI Agent 生态安全扫描工具，自动发现和检测本地 Agent 组件的安全风险。

功能介绍

随着 MCP Server 和 Agent Skill 生态爆发式增长，安全风险也在快速累积。Snyk Agent Scan 是首个专门针对 Agent 供应链安全的扫描工具。

核心检测能力（15+ 种风险）：

• 提示注入（Prompt Injection）：检测 SKILL.md 或 MCP 工具描述中的恶意指令
• 工具投毒（Tool Poisoning）：发现隐藏在工具描述中的恶意行为
• 工具影子（Tool Shadowing）：检测覆盖系统工具的恶意替代
• 有毒流（Toxic Flows）：MCP Server 间的数据泄露通道
• 恶意软件载荷（Malware Payloads）：隐藏在自然语言中的恶意代码
• 硬编码密钥（Hardcoded Secrets）：Skill 中泄露的 API Key

支持自动发现的 Agent：Claude Code、Claude Desktop、Cursor、Windsurf、VS Code、Gemini CLI、OpenClaw、Amp、Codex、Amazon Q 等。

安装步骤

# 前置条件：安装 uv
curl -LsSf https://astral.sh/uv/install.sh | sh

# 设置 Snyk Token
export SNYK_TOKEN=your-api-token-here

# 直接运行（无需安装）
uvx snyk-agent-scan@latest

# 同时扫描 Skill
uvx snyk-agent-scan@latest --skills

使用示例

# 全机扫描（自动发现所有 Agent 和 MCP Server）
uvx snyk-agent-scan@latest

# 扫描特定 MCP 配置文件
uvx snyk-agent-scan@latest ~/.vscode/mcp.json

# 扫描特定 Skill 文件
uvx snyk-agent-scan@latest --skills ~/path/to/my/SKILL.md

# 扫描目录下所有 Skill
uvx snyk-agent-scan@latest --skills ~/.claude/skills

# 仅查看工具描述（不验证）
uvx snyk-agent-scan@latest inspect

# JSON 格式输出
uvx snyk-agent-scan@latest --json

⚠️ 注意：扫描时 Skill 描述会发送至 Snyk API 进行验证。使用 --opt-out 可退出匿名 ID 追踪。

GitHub: https://github.com/snyk/agent-scan (2.2k stars)