📖 文档 | 🌐 🇬🇧 English · 🇨🇳 中文 · 🇯🇵 日本語 · 🇪🇸 Español · 🇩🇪 Deutsch · 🇫🇷 Français · 🇰🇷 한국어 · 🇧🇷 Português · 🇷🇺 Русский
A.I.G (AI-Infra-Guard) 集成OpenClaw安全体检、Agent安全扫描、AI工具技能扫描、AI基础设施漏洞扫描与大模型安全体检(越狱评估)等能力,旨在为用户提供最全面、智能与易用的AI安全风险自查解决方案。
我们致力于将A.I.G(AI-Infra-Guard)打造为业界领先的 AI 红队工具平台。更多的 Star 能让这个项目被更多人看到,吸引更多的开发者参与进来,从而让项目更快地迭代和完善。您的 Star 对我们至关重要!
帮助我们改进 A.I.G!请花 3-5 分钟填写我们的用户反馈调查问卷。提供高质量反馈并留下有效邮箱的用户,将收到鹅厂特色小礼品。
- 2026-06-25 · v4.1.15 — MCP 扫描新增 3 条威胁检测规则(工具投毒、凭证窃取、命令注入);新增 6 条 llama.cpp CVE 规则;扫描配置中
model.token现支持省略,自动回退到系统默认模型。 - 2026-06-18 · v4.1.14 — Prompt Security:9 种新单轮越狱攻击方法;新增
aig-agent-redteamskill,支持全面 Agent 红队评估。 - 2026-06-11 · v4.1.13 — 新增版本检查 API 端点;安全评分切换为绝对扣分模型,风险评估更清晰直观。
- 2026-06-08 · v4.1.12 — 指纹库大幅扩充:新增 39 个 AI Web 指纹,增强 18 个现有指纹。
- 2026-05-28 · v4.1.10 — 覆盖扩展至 68 种 AI 组件(新增 junoclaw、lollms、sglang);新增 600+ CVE 规则;Agent Scan 支持 WebSocket 接入方式。
👉 更早版本 · 🩺 立即体验 EdgeOne ClawScan
| Docker | 内存 | 磁盘空间 |
|---|---|---|
| 20.10 或更高 | 4GB+ | 10GB+ |
# 此方法会从 Docker Hub 拉取预构建的镜像
git clone https://github.com/Tencent/AI-Infra-Guard.git
cd AI-Infra-Guard
# Docker Compose V2+ 请将 'docker-compose' 替换为 'docker compose'
docker-compose -f docker-compose.images.yml up -d服务启动后,您可以通过以下地址访问 A.I.G 的 Web 界面:
http://localhost:8088
你也可以通过 OpenClaw 的 aig-scanner skill 直接调用 A.I.G 服务。
clawhub install aig-scanner然后将 AIG_BASE_URL 配置为正在运行的 A.I.G 服务地址。
更多说明见:aig-scanner 说明
📦 更多安装方式
方式 2:一键安装脚本(推荐)
# 此方法将自动安装 Docker 并启动 A.I.G
curl https://raw.githubusercontent.com/Tencent/AI-Infra-Guard/refs/heads/main/docker.sh | bash方式 3:源码编译运行
git clone https://github.com/Tencent/AI-Infra-Guard.git
cd AI-Infra-Guard
# 此方法从本地源代码构建 Docker 镜像并启动服务
# (Docker Compose V2+ 请将 'docker-compose' 替换为 'docker compose')
docker-compose up -d注意:AI-Infra-Guard 项目定位为企业或个人内部使用的 AI 红队测试平台,目前暂无鉴权认证机制,请勿在公网环境中部署使用。
更多信息请参阅:https://tencent.github.io/AI-Infra-Guard/?menu=getting-started
体验具有内测及高级功能的Pro版,需要邀请码,优先提供给提交过 Issues、Pull Requests 或 Discussions,或积极帮助社区发展的贡献者。访问:https://aigsec.ai/
| 功能模块 | 详情说明 |
|---|---|
| ClawScan(OpenClaw Security Scan) | 支持一键评估 OpenClaw 的安全风险。可全面检测不安全配置、Skill 风险、CVE 漏洞以及隐私泄露等问题。 |
| Agent Scan | 专为评估 AI Agent 工作流的安全性而设计,无缝支持对运行在 Dify、Coze 等各类平台上的 Agent 进行安全检测。 |
| MCP Server & Agent Skills scan | 深度检测 MCP Server 与 Agent Skills 的 14 大类的安全风险。灵活支持上传源代码和远程 URL 两种方式进行检测。 |
| AI infra vulnerability scan | 精准识别 100+ 种 AI 开源 Web 组件。涵盖 1600+ 已知的 CVE 漏洞,支持检测的框架包括 Ollama、ComfyUI、vLLM、n8n、Triton Inference Server 等。 |
| Jailbreak Evaluation | 支持使用精选的数据集与越狱攻击算法快速评估大模型内生安全风险与护栏有效性,同时提供详尽的跨模型横向对比与评估功能。 |
其他优势
- 🖥️ 现代化Web界面:用户友好的UI,一键扫描和实时进度跟踪
- 🔌 完整API:完整的接口文档和Swagger规范,便于集成
- 🤖 拥抱Agent:开箱即用的 ClawHub Agent 技能 — EdgeOne ClawScan、EdgeOne Skill Scanner 和 AIG Scanner — 一键将安全扫描嵌入任意 AI Agent 工作流
- 🌐 多语言支持:中英文界面,本地化文档
- 🐳 跨平台兼容:支持Linux、macOS和Windows,基于Docker部署
- 🆓 免费且开源:完全免费,Apache License 2.0 开源协议
部署完成后,在浏览器中打开
http://localhost:8088。
目标地址填什么?
目标是正在运行的 AI 服务的网络地址,不是 GitHub 链接,也不是源代码路径。A.I.G 会连接到这个地址,识别 AI 框架组件和版本,并匹配已知 CVE 漏洞。
| 场景 | 目标示例 |
|---|---|
| 本地运行的 vLLM 实例 | http://127.0.0.1:8000 |
| 内网 Ollama 服务器 | http://192.168.1.100:11434 |
| 内网 ComfyUI 实例 | http://10.0.0.5:8188 |
| 批量扫描多台主机 | 192.168.1.0/24(CIDR),10.0.0.1-10.0.0.20(IP 段) |
实例演练:扫描本地 vLLM
- 正常启动 vLLM(如
python -m vllm.entrypoints.api_server --model ...) - 在 A.I.G 界面点击「AI基础设施安全扫描」
- 在目标输入框填入
http://127.0.0.1:8000(vLLM 实际监听的 IP 和端口) - 点击「开始扫描」— A.I.G 会自动识别组件版本,匹配 1600+ 已知 CVE
- 查看报告:组件版本、命中漏洞、严重等级及修复建议链接
💡 提示:如果想扫描 vLLM 的 nightly 版本,只需启动 nightly 构建,把地址填进来即可,扫描器会自动识别版本。
在目标框填入 GitHub 仓库地址(如 https://github.com/user/mcp-server)或直接上传本地源代码压缩包,无需运行实例。
在「设置 → 模型配置」中填入目标大模型的 API 地址和 Key,选择评估数据集后即可开始测评。
访问我们的在线文档:https://tencent.github.io/AI-Infra-Guard/
更多详细的常见问题解答和故障排除指南,请访问我们的文档。
A.I.G 提供了一套创建任务相关的API接口,支持AI基础设施扫描、MCP安全扫描和大模型安全体检功能。
项目运行后访问 http://localhost:8088/docs/index.html 可查看完整的API文档
详细的API使用说明、参数说明和完整示例代码,请查看 完整API文档。
A.I.G 的核心能力之一就是其丰富且可快速配置的插件系统。我们欢迎社区贡献高质量的插件和功能。
- 指纹规则: 在
data/fingerprints/目录下添加新的 YAML 指纹文件 - 漏洞规则: 在
data/vuln/目录下添加新的漏洞检测规则 - MCP 插件: 在
data/mcp/目录下添加新的 MCP 安全检测规则 - 模型评测集: 在
data/eval目录下添加新的模型评测集
请参考现有规则格式,创建新文件并通过 Pull Request 提交。
本项目由 腾讯安全平台部朱雀实验室(Tencent Zhuque Lab) 主导开发。腾讯朱雀实验室是腾讯安全平台部于 2019 年成立的顶尖安全实验室,专注于 AI 安全领域的实战攻防与前沿技术研究,研究方向涵盖大模型安全、AI 智能体安全、AI 赋能安全与 AI 生成检测等领域。
团队多次协助 英伟达、谷歌、微软 等知名厂商以及 OpenClaw、Linux、Hugging Face 等开源社区修复大量高危漏洞,并获得官方公开致谢。
先后推出开源 AI 红队安全测试平台 A.I.G(AI-Infra-Guard) 及 朱雀 AI 检测助手 等 AI 安全产品。研究成果广泛发表于 Black Hat、DEF CON、ICLR、CVPR、NeurIPS、ACL 等国际顶级安全与 AI 学术会议,并出版专著《AI 安全:技术与实战》。
| 角色 | 成员 | 贡献 |
|---|---|---|
| 腾讯安全平台部负责人 | 杨勇 | 发起 A.I.G 项目,并提出"智能体失控风险自动化评估"方向,推动平台从 AI 基础设施漏洞扫描扩展到智能体执行风险、工具滥用和权限边界评估。 |
| 腾讯朱雀实验室负责人 | 郑兴 | 提出自动化漏洞更新与基准对齐机制,推动 AI Infra 指纹、CVE/GHSA 规则与 Benchmark 体系持续迭代。 |
| 项目负责人 | Nicky | 负责前沿安全研究、产品规划、技术路线决策、内外部合作与宣发。 |
| 技术负责人 | Python | 负责整体架构设计、核心模块研发与版本迭代。 |
| 核心贡献者 | Zona | 负责前端交互与产品体验、社区运营及用户反馈闭环。 |
| 核心贡献者 | Fyoung | 负责 AI Infra 漏洞组件指纹更新与 Benchmark 体系构建。 |
| 核心贡献者 | Robert | 负责大模型安全评估(越狱评测)策略运营。 |
| 核心贡献者 | Zoe | 负责大模型安全评估(越狱评测)与模型接入模块研发。 |
| 核心贡献者 | Xiangfan | 负责 Skill 与 Agent 失控相关安全能力研发。 |
| 贡献者 | Ronin | 参与 AI 智能体安全扫描研发。 |
| 贡献者 | Rsin | 参与社区运营与活动宣发。 |
感谢以下学术合作伙伴在研究与技术方面的支持与贡献。
李挥教授 |
王滨 |
刘泽心 |
余昊 |
杨傲 |
林郑熹 |
杨哲慜教授 |
钟康维 |
林佳鹏 |
盛铖 |
 |
 |
 |
| 微信群 | Discord [链接] |
|---|---|
 |
 |
如有合作咨询或反馈,请联系我们:zhuque@tencent.com
如果你对代码安全感兴趣,推荐关注腾讯悟空代码安全团队开源的行业首个项目级 AI 生成代码安全性评测框架A.S.E(AICGSecEval)。
如果您在研究或产品中使用了A.I.G,请使用以下引用:
@misc{Tencent_AI-Infra-Guard_2025,
author={{Tencent Zhuque Lab}},
title={{AI-Infra-Guard: A Comprehensive, Intelligent, and Easy-to-Use AI Red Teaming Platform}},
year={2025},
howpublished={GitHub repository},
url={https://github.com/Tencent/AI-Infra-Guard}
}-
"AI-Infra-Guard Technical Report" — A.I.G 平台技术报告,涵盖架构设计、扫描引擎与评估方法。[pdf]
-
"AI-Infra-Guard: An AI Red Teaming Platform" — Black Hat Europe 2025 Arsenal 展示,介绍 A.I.G 的整体能力与实战案例。[pdf]
-
"MCP Unchained: Compromising The AI Agent Ecosystem Via Its Universal Connector" — Black Hat Europe 2025 演讲,揭示 MCP 协议在 AI 智能体生态中的安全风险。[pdf]
感谢在学术研究中引用 A.I.G 的团队,点击展开(19 篇论文)
-
Chenning Li, Pan Hu, Justin Xu et al. "ADR: An Agentic Detection System for Enterprise Agentic AI Security." arXiv preprint arXiv:2605.17380 (2026). [pdf]
-
Zhaojiacheng Zhou. "Proteus: A Self-Evolving Red Team for Agent Skill Ecosystems." arXiv preprint arXiv:2605.11891 (2026). [pdf]
-
Hengkai Ye, Zhechang Zhang, Jinyuan Jia et al. "TRUSTDESC: Preventing Tool Poisoning in LLM Applications via Trusted Description Generation." arXiv preprint arXiv:2604.07536 (2026). [pdf]
-
Zenghao Duan, Yuxin Tian, Zhiyi Yin et al. "SkillAttack: Automated Red Teaming of Agent Skills through Attack Path Refinement." arXiv preprint arXiv:2604.04989 (2026). [pdf]
-
Yiheng Huang, Zhijia Zhao, Bihuan Chen et al. "From Component Manipulation to System Compromise: Understanding and Detecting Malicious MCP Servers." arXiv preprint arXiv:2604.01905 (2026). [pdf]
-
Yi Ting Shen, Kentaroh Toyoda, Alex Leung. "MCP-38: A Comprehensive Threat Taxonomy for Model Context Protocol Systems (v1.0)." arXiv preprint arXiv:2603.18063 (2026). [pdf]
-
Yuepeng Hu, Yuqi Jia, Mengyuan Li et al. "MalTool: Malicious Tool Attacks on LLM Agents." arXiv preprint arXiv:2602.12194 (2026). [pdf]
-
Naen Xu, Jinghuai Zhang, Ping He et al. "FraudShield: Knowledge Graph Empowered Defense for LLMs against Fraud Attacks." arXiv preprint arXiv:2601.22485v1 (2026). [pdf]
-
Ruiqi Li, Zhiqiang Wang, Yunhao Yao et al. "MCP-ITP: An Automated Framework for Implicit Tool Poisoning in MCP." arXiv preprint arXiv:2601.07395v1 (2026). [pdf]
-
Jingxiao Yang, Ping He, Tianyu Du et al. "HogVul: Black-box Adversarial Code Generation Framework Against LM-based Vulnerability Detectors." arXiv preprint arXiv:2601.05587v1 (2026). [pdf]
-
Teofil Bodea, Masanori Misono, Julian Pritzi et al. "Trusted AI Agents in the Cloud." arXiv preprint arXiv:2512.05951v1 (2025). [pdf]
-
Yunyi Zhang, Shibo Cui, Baojun Liu et al. "Beyond Jailbreak: Unveiling Risks in LLM Applications Arising from Blurred Capability Boundaries." arXiv preprint arXiv:2511.17874v2 (2025). [pdf]
-
Bin Wang, Zexin Liu, Hao Yu et al. "MCPGuard: Automatically Detecting Vulnerabilities in MCP Servers." arXiv preprint arXiv:2510.23673v1 (2025). [pdf]
-
Weibo Zhao, Jiahao Liu, Bonan Ruan et al. "When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation." arXiv preprint arXiv:2509.24272v1 (2025). [pdf]
-
Ping He, Changjiang Li, et al. "Automatic Red Teaming LLM-based Agents with Model Context Protocol Tools." arXiv preprint arXiv:2509.21011 (2025). [pdf]
-
Christian Coleman. "Behavioral Detection Methods for Automated MCP Server Vulnerability Assessment." (2025). [pdf]
-
Yixuan Yang, Daoyuan Wu, Yufan Chen. "MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols." arXiv preprint arXiv:2508.13220 (2025). [pdf]
-
Yongjian Guo, Puzhuo Liu, et al. "Systematic Analysis of MCP Security." arXiv preprint arXiv:2508.12538 (2025). [pdf]
-
Zexin Wang, Jingjing Li, et al. "A Survey on AgentOps: Categorization, Challenges, and Future Directions." arXiv preprint arXiv:2508.02121 (2025). [pdf]
📧 如果您在研究中使用了A.I.G,请联系我们,让更多人看到您的研究!
本项目基于 Apache License 2.0 协议开源。详细信息请查阅 LICENSE 文件。
本项目采用 Apache License 2.0 协议开源。我们非常欢迎并鼓励社区对本项目进行二次开发与集成,但必须遵守以下署名规范:
- 保留声明:在您的项目中必须保留源项目中的
LICENSE和NOTICE文件。 - 产品露出:如果您将 AI-Infra-Guard 的核心代码、组件或扫描引擎集成到您的开源项目、商业产品或内部平台中,必须在您的产品文档、使用说明或 UI 的「关于」页面中,明确标明:
"本项目集成了由腾讯朱雀实验室开源的 AI-Infra-Guard 项目。"
- 学术与文章引用:如果在漏洞分析报告、安全研究文章、学术论文等公开材料中使用了本工具,请明确提及"腾讯朱雀实验室 AI-Infra-Guard"并附上链接。
严禁在隐匿原始出处的情况下,将本项目重新包装为原创产品发布。