AI 代理预发布安全扫描工具,提供静态分析、逻辑缺陷检测与 EU AI Act 合规映射,支持 LangChain/CrewAI 等主流框架及 GitHub Actions 集成。
项目定位#
Inkog 是一款专为 AI Agent 设计的静态安全分析工具,定位为 "The pre-flight check for AI agents"。它在 AI 代理投入生产环境前,通过静态分析发现逻辑缺陷和安全漏洞,防止成本失控、数据泄露和法律风险。
核心检测能力#
| 类别 | 检测内容 | 风险影响 |
|---|---|---|
| 无限循环 | 代理无退出条件地重复调用自身,LLM 输出无限制地反馈为输入 | 导致代理永远运行并累积 API 成本 |
| 提示注入 | 用户输入未经清理直接流入系统提示,受污染数据到达工具调用 | 攻击者可劫持代理行为 |
| 缺失防护栏 | 破坏性操作无需人工介入,LLM 调用无速率限制,工具访问不受约束 | 一个错误决策导致代理失控 |
| 硬编码秘密 | 源代码中的 API 密钥、令牌和密码(本地检测,从不进行上传) | 推送到 GitHub 时凭证泄露 |
| 合规性缺口 | 缺失人工监督、无审计日志、缺失授权检查 | 违反 EU AI Act 等法规要求 |
支持的框架#
代码优先框架:LangChain, LangGraph, CrewAI, AutoGen, OpenAI Agents, Semantic Kernel, Azure AI Foundry, LlamaIndex, Haystack, DSPy, Phidata, Smolagents, PydanticAI, Google ADK
无代码平台:n8n, Flowise, Langflow, Dify, Microsoft Copilot Studio, Salesforce Agentforce
合规性映射#
- EU AI Act:映射到第14条(人工监督)和第15条(鲁棒性)要求
- OWASP LLM Top 10:自动映射到相关安全风险
- NIST AI RMF:支持 GOVERN, MAP, MEASURE, MANAGE 功能
安装与使用#
快速上手(无需安装)#
npx -y @inkog-io/cli scan .
永久安装#
# Homebrew
brew tap inkog-io/inkog && brew install inkog
# 安装脚本
curl -fsSL https://inkog.io/install.sh | sh
# Go install
go install github.com/inkog-io/inkog/cmd/inkog@latest
基本使用#
# 配置 API 密钥(在 https://app.inkog.io 获取)
export INKOG_API_KEY=sk_live_...
# 扫描当前目录
inkog scan .
集成能力#
GitHub Actions#
- uses: inkog-io/inkog@v1
with:
api-key: ${{ secrets.INKOG_API_KEY }}
sarif-upload: true # 在 GitHub Security 标签页显示发现
MCP Server 集成#
npx -y @inkog-io/mcp
提供 7 个工具,包括 MCP 服务器审计和多代理拓扑分析,可在 Claude、ChatGPT 或 Cursor 中直接扫描代理代码。
架构特点#
- 核心语言:Go (95.3%)
- 分析方式:静态分析(不运行代理代码)
- 隐私保护:100% 本地分析,代码不上传
- 通用 IR:统一的中间表示,支持多种框架
- 数据流追踪:追踪用户输入到 LLM 的数据流
- 修复建议:提供具体的代码修复建议