msaleme/start-here

# Michael Saleme — 从这里开始 [](https://www.linkedin.com/in/mikesaleme/) [](https://www.youtube.com/@michaelsaleme7028) [](https://x.com/mikesaleme) [](https://pypi.org/project/agent-security-harness/) **最新动态：** Agent Security Harness v4.5.0 — 474 项测试 / 33 个模块（2026 年 6 月）。 ## 已发表的研究（5 个 DOI） 我研究 *agent 是谁* 与 *它如何行动* 之间的差距——即我所说的 **WHO vs. HOW 问题**。身份验证和授权并不能防止已授权的 agent 被操纵做出不安全的决策。 | 论文 | DOI | 核心发现 | |---|---|---| | **Decision Load Index (DLI)** | [10.5281/zenodo.18217577](https://doi.org/10.5281/zenodo.18217577) | AI agent 增加了操作员的认知负担。以下是测量方法。 | | **Constitutional Self-Governance (CSG)** | [10.5281/zenodo.19162104](https://doi.org/10.5281/zenodo.19162104) | WHO vs. HOW 治理差距——基于 77 天的生产数据和 56 个 agent。 | | **Normalization of Deviance (NoD)** | [10.5281/zenodo.19195516](https://doi.org/10.5281/zenodo.19195516) | 网关防御对协议层攻击提供的保护为零。 | | **Beyond Identity Governance** | [10.5281/zenodo.19343034](https://doi.org/10.5281/zenodo.19343034) | 实验证据：网关会漏掉协议层攻击。该差距已形式化定义。 | | **Community-Driven Security** | [10.5281/zenodo.19343108](https://doi.org/10.5281/zenodo.19343108) | 通过社区贡献扩展安全测试，同时不降低完整性。 | **标准参与：** 3 份提交给 NIST 的提案 — CAISI RFI（3 月 1 日）、NIST-CONCEPT-1（3 月 12 日）、NCCoE 后续跟进（2026 年 3 月 21 日）。 ## Agent Security Harness 该研究被实现为一个开源测试框架：**跨 33 个模块的 474 项可执行测试**，涵盖 4 种有线协议（MCP、A2A、L402、x402）。 **[red-team-blue-team-agent-fabric](https://github.com/msaleme/red-team-blue-team-agent-fabric)** — 在生产环境中验证通过率为 97.9%（Wilson 95% CI [0.943, 0.994]）。 ``` pip install agent-security-harness agent-security test mcp --url http://your-server ``` - **GitHub Action：** `uses: msaleme/red-team-blue-team-agent-fabric@v4.5` - **MCP Server：** 任何 AI agent 都可以直接调用安全测试 - **AIUC-1 准备：** 映射到 20 项可测试认证要求中的 15 项 - **CVE-2026-25253**（CVSS 8.8）—— 我们的 MCP 测试可以捕获这种特定的供应链攻击向量 - 由 DrCookies84 针对实时基础设施进行的**独立验证**（[AutoGen #7432](https://github.com/microsoft/autogen/discussions/7432)） - **22 轮**严格评估，提出 125 个问题，修复了 94 个，最终得分 10/10 ### 包含内容 - Attestation JSON Schema（结构化安全报告） - 免费的 MCP Security Scan（5 项测试，A-F 评级） - 每月 Agent Security Report pipeline - Discord Security Scan Bot - 真实的多次试验统计测试（Wilson CI，对齐 NIST AI 800-2 标准） ## 与众不同之处 大多数 AI 安全工具会扫描配置或测试模型。这个框架通过网络发送真实的对抗性 payload，并观察哪里出现了问题。这就像 `npm audit` 和渗透测试之间的区别。 **互补工具：** Invariant MCP-Scan（静态扫描）、Cisco MCP Scanner（YARA 规则）、Snyk Agent Scan（配置分析）、NVIDIA Garak（模型层）。 **我们独有的优势：** 多协议（MCP + A2A + L402 + x402）、AIUC-1 映射、MCP server 模式、研究支撑（5 个 DOI + NIST）、attestation registry、生产环境验证。 ## 精选演讲 (YouTube) 石油与天然气领域的 Agent Fabric — 网络研讨会系列： | 部分 | 标题 | 链接 | |------|-------|------| | 1/4 | 简介 | [观看](https://www.youtube.com/watch?v=X26PE2FnFOM) | | 2/4 | 深入探讨 | [观看](https://www.youtube.com/watch?v=pWqkIqJFFG0) | | 3/4 | 实施 | [观看](https://www.youtube.com/watch?v=ZegJdZcR1Sk) | | 4/4 | 总结 | [观看](https://www.youtube.com/watch?v=XrrWj4B8HtU) | ## 企业架构 在石油与天然气、能源/公用事业和 CPG（快消品）领域拥有 15 年以上的生产集成系统建设经验。 | 代码库 | 描述 | |---|---| | [agent-fabric-oilgas-apis](https://github.com/msaleme/agent-fabric-oilgas-apis) | 石油与天然气领域 Agent Fabric 的 OpenAPI 3.1 规范 | | [energy-field-service-integration](https://github.com/msaleme/energy-field-service-integration) | Agentforce + ServiceNow + SAP 现场服务 | | [energy-api-evolution](https://github.com/msaleme/energy-api-evolution) | 用于电网运营、可再生能源、建筑优化的 36 个 API | | [oracle-fusion-mulesoft-best-practices](https://github.com/msaleme/oracle-fusion-mulesoft-best-practices) | Oracle Fusion Cloud 集成模式 | | [SharePointVectors](https://github.com/msaleme/SharePointVectors) | RAG pipeline：从 SharePoint 到向量再到 Salesforce | | [cpg-promotion-analysis](https://github.com/msaleme/cpg-promotion-analysis) | 用于 CPG 的 Agent Fabric + Agentforce + Copilot | ## 使用方法 这里的一切都是开源且免费的。 - **运行：** `pip install agent-security-harness` - **CI：** 将 GitHub Action 添加到你的 pipeline 中 - **MCP server 模式：** 让你的 agent 直接调用测试 - **免费 MCP Security Scan：** 5 项测试，A–F 评级 欢迎研究合作和标准制定工作——请参阅下方的联系方式。 ## 联系方式 - **LinkedIn:** [linkedin.com/in/mikesaleme](https://www.linkedin.com/in/mikesaleme/) - **X:** [x.com/mikesaleme](https://x.com/mikesaleme)（DLI 文章：9.2K 次浏览） - **YouTube:** [youtube.com/@michaelsaleme7028](https://www.youtube.com/@michaelsaleme7028) - **PyPI:** [agent-security-harness](https://pypi.org/project/agent-security-harness/) - **联系邮箱:** trusted@synapseops.com（研究与合作） ## 许可证 本仓库仅供参考。具体的许可证请参阅各个项目仓库。

标签：AI智能体, CISA项目, Python, Web报告查看器, 决策治理, 多语言支持, 安全测试框架, 无后门, 身份与访问控制, 逆向工具