关键词:AI安全,红队测试,Agent安全,MCP安全,AI基础设施漏洞,朱雀实验室,AIG
📅 本文更新记录:2026年6月基于项目 v4.1.11 版本撰写
腾讯朱雀 AI-Infra-Guard:AI 红队安全测试平台产品分析
一、一句话定位
AI-Infra-Guard(简称 A.I.G)是腾讯朱雀实验室出品的一站式 AI 红队安全测试平台。一句话说清楚:它帮企业把 AI 系统的安全风险——从底层的基础设施漏洞、到中间的 Agent/MCP 安全、再到上层的大模型越狱防护——全部在一个平台上扫清楚。
这不是又一个 LLM 越狱工具,而是横跨 AI 基础设施漏洞、Agent 工作流安全、MCP 协议安全、大模型安全评估的全栈 AI 安全测试平台。
二、它解决了什么痛点
AI 安全现状是割裂的。一家企业在部署 AI 系统时,面临的不是单个问题,而是一连串的安全盲区:
| 痛点 | 具体表现 |
|---|---|
| AI 组件漏洞分散 | Ollama、vLLM、ComfyUI、n8n 等 100+ AI 组件各有各的 CVE,没有统一的扫描工具 |
| Agent 安全几乎空白 | Agent 工作流、MCP Server、Agent Skills 面临供应链投毒、配置泄露、权限滥用,传统安全工具覆盖不了 |
| LLM 越狱评估缺乏标准 | 企业自测模型护栏效果,没有统一数据集和评估框架 |
| 红队测试门槛太高 | 安全团队需要手动搭环境、写规则,费时费力 |
A.I.G 把这些痛点打包成一个 Docker 镜像,开箱即用。
三、产品功能矩阵
A.I.G 的核心功能可以概括为五个模块,覆盖「底层→中间层→上层」的完整链路:
3.1 AI 基础设施漏洞扫描(底层)
精准识别 100+ 种 AI 开源组件,覆盖 1600+ 已知 CVE 漏洞。支持的组件清单包括:Ollama、ComfyUI、vLLM、n8n、Triton Inference Server 等当前主流 AI 基础设施。漏洞库每周持续更新。
这是最「传统」但也是最基础的能力——就像做渗透测试先要扫端口一样,扫 AI 基础设施是第一道防线。
3.2 MCP Server & Agent Skills 安全检测(中间层)
这是 A.I.G 当前最有差异化价值的模块之一。针对 MCP 协议和 Agent Skills 的 14 大类安全风险进行深度检测,包括:
- 数据投毒
- 权限越界
- 供应链攻击
- 配置泄露
- 恶意代码注入
支持两种扫描方式:源代码扫描(检测 Skill 代码中的安全风险)和 远程 URL 扫描(检测在线 MCP Server)。
3.3 Agent Scan 框架(中间层)
独立的多 Agent 自动化扫描框架,用于评估 AI Agent 工作流的安全性。跨平台支持 Dify、Coze 等主流 Agent 工作流平台。
这个模块的价值在于:Agent 工作流的安全问题不是传统 Web 安全工具能覆盖的,需要专门针对 Agent 的「意图劫持」「工具误用」「权限逃逸」等威胁设计检测逻辑。
3.4 大模型越狱评估(上层)
使用精选数据集和多种攻击算法,评估大模型的内生安全风险与护栏有效性。支持跨模型横向对比,方便企业在选型时做安全维度评估。
3.5 OpenClaw 安全体检(平台生态)
针对 OpenClaw 环境的一键安全评估,覆盖不安全配置、Skill 风险、CVE 漏洞、隐私泄露四个维度。这是 A.I.G 区别于同类工具的一个独特卖点——它不只是扫描工具,还深入到了 Agent 平台生态。
四、关键产品决策
从产品设计角度看,A.I.G 有几个值得注意的取舍:
1. Docker 化部署优先:整个平台通过 Docker Compose 一键部署,降低了安全团队的使用门槛。同时提供 Web UI + REST API + Swagger 文档三种接入方式,兼顾了手动使用和自动化集成。
2. Apache 2.0 开源:采用宽松许可证,企业可以放心集成到内部工具链中,不会因为许可证问题产生法律风险。
3. 多语言支持:内置中/英/日/西/德/法等多语言,说明产品目标用户不限于中国市场,而是面向全球安全团队。
4. 在线 Pro 版并行:开源版之外还有一个 aigsec.ai 在线 Pro 版(需邀请码),面向企业级用户。这种「开源社区版 + 商业 Pro 版」的双轨策略也是成熟安全产品的常见做法。
五、目标用户画像
| 用户类型 | 典型角色 | 使用场景 |
|---|---|---|
| 企业安全团队(红/蓝队) | 安全工程师 | AI 系统渗透测试和安全评估 |
| AI 平台运维/DevOps | 运维工程师 | 排查 Ollama/vLLM 等组件的 CVE 漏洞 |
| 大模型应用开发者 | AI 应用开发 | Agent/MCP Server 上线前安全自查 |
| AI 安全研究员 | 学术/产业研究 | LLM 越狱、Agent 安全方向研究 |
| 合规审计人员 | 金融/政府安全合规 | AI 组件供应链安全评估 |
已使用该产品的企业包括:腾讯、DeepSeek、联想、工商银行、vivo、OPPO、中国电信、B站、蜜雪冰城——覆盖了科技公司、金融机构、运营商和消费品企业,说明产品在不同行业的适应性较好。
六、竞争定位
| 维度 | A.I.G | 其他 AI 安全框架(Garak/PurpleLlama/ART) |
|---|---|---|
| 覆盖范围 | 全链路:基础设施+Agent+MCP+LLM越狱 | 多数聚焦 LLM 红队测试(越狱/Prompt Injection) |
| Agent 安全 | 独有 Agent Scan 框架,支持 Dify/Coze | 几乎空白 |
| MCP Server 安全 | 独有 14 类威胁检测 | 几乎没有同类能力 |
| 基础设施漏洞 | 100+ 组件、1600+ CVE,每周更新 | 大多只做 LLM 端 |
| 接入方式 | Docker + Web UI + API + Agent Skill | 多为 CLI + Python SDK |
| 团队背书 | 腾讯朱雀实验室、Black Hat 入选 | 多为独立研究项目 |
核心差异化概括:其他工具做「点」,A.I.G 做「面」。不是竞争关系,而是补齐了行业中缺少的 Agent 安全和 MCP 安全环节。
七、社区与迭代节奏
| 指标 | 数据 |
|---|---|
| GitHub Stars | 3.9k(持续增长) |
| 最新版本 | v4.1.11(2026-06-04) |
| 更新频率 | 极高——3个月内发布12+版本,几乎每周发版 |
| 里程碑 | v4.0(2026-03):EdgeOne ClawScan 和 Agent-Scan 框架 |
| 行业认可 | Black Hat Europe 2025 Arsenal 入选 |
| 学术引用 | 19 篇学术论文引用 |
每周发版的节奏说明腾讯朱雀实验室在这个项目上投入了持续的资源,不是「一次发布就不管了」的开源项目。
八、应用场景举例
| 场景 | 说明 |
|---|---|
| 企业内部 AI 安全巡检 | 定期扫描内网中的 Ollama/vLLM/ComfyUI 实例,排查已知 CVE |
| Agent 上线前安全检查 | 对基于 Dify/Coze 构建的 Agent 工作流做安全评估 |
| MCP Server 供应链安全 | 集成第三方 MCP Server 前扫描其安全性 |
| 大模型护栏有效性测试 | 上线前用标准化越狱数据集评估 LLM 安全护栏 |
| CI/CD 安全门禁 | 通过 API 集成到 DevOps 流水线,自动安全扫描 |
| 红队攻防演练 | 用 A.I.G 做 AI 系统渗透测试,生成安全报告 |
九、评价
A.I.G 是当前 AI 安全领域覆盖最广、迭代最快、产品化程度最高的开源红队测试平台之一。它的差异化价值在于填补了 Agent 安全和 MCP 安全的行业空白——在当前 Agent 应用快速落地的阶段,这种能力正是市场急需的。
当然它也面临挑战。Agent 安全领域变化极快(LLM 厂商每周改 API、Agent 框架每月发新版本),保持漏洞库的及时更新需要持续投入。此外,开源版和 Pro 版的分层策略能否让开源社区贡献者愿意长期参与,也是一个待观察的问题。
但总体来看,如果有团队正在做 AI 相关产品的安全评估,A.I.G 值得优先纳入工具箱。
项目地址
| 资源 | 链接 |
|---|---|
| GitHub 仓库 | https://github.com/Tencent/AI-Infra-Guard |
| 在线 Pro 版 | https://aigsec.ai |
| 许可证 | Apache 2.0 |
参考资料
- GitHub 仓库:https://github.com/Tencent/AI-Infra-Guard
- 腾讯朱雀实验室:腾讯旗下专注于 AI 安全的研究团队
- Black Hat Europe 2025 Arsenal:入选展示
- awesome-deepseek-integration:被收录
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/ai-infra-guard.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)