craftedbyfabio/yuntona

# Yuntona™ — AI 安全构建者索引     **Yuntona™** 是一个经过精心筛选、具有风险评级的 AI 安全工具、框架和标准索引 —— 映射到 **OWASP LLM Top 10** (2025) 和 **OWASP Agentic Top 10** (2026)。 🔗 **在线访问：** [yuntona.netlify.app](https://yuntona.netlify.app) ## 目标 通过提供包含基于风险的评估、OWASP 映射、复杂性分级和交互式知识图谱的中心化索引，加速在碎片化的 AI 安全生态系统中的发现 —— 它定位于高层分析师报告与非结构化的 GitHub awesome-lists 之间。 ## 目标受众 - **构建者** —— 将防护机制、沙箱 和安全 API 集成到 AI 应用程序中的开发者 - **蓝队** —— 监控 AI 工作负载、影子 AI 和非人类身份 的 SOC 分析师和防御者 - **红队** —— 测试 LLM、Agent 和基于 MCP 架构的攻击性安全专业人员 - **CISO 与 GRC 分析师** —— 构建 AI 治理计划、管理第三方 AI 供应商风险以及将控制映射到 ISO 42001、EU AI Act 和 NIST AI RMF 的领导者 - **安全架构师** —— 为 Agentic AI 系统设计零信任 和最小权限 架构 **2026 年重点：** Agentic AI 安全 —— MCP 治理、Agent 身份、自主工具使用控制 以及多 Agent 威胁建模。 ## 内容概览 每个工具卡片包含： | 字段 | 描述 | |-------|-------------| | **Risk Rating (风险评级)** | Safe · Caution · Red Flag —— 主观的、人工撰写的评估 | | **OWASP LLM Mapping (映射)** | 工具解决的 LLM Top 10 (2025) 中的哪些风险 | | **OWASP Agentic Mapping (映射)** | 工具解决的 Agentic Top 10 (2026) 中的哪些风险 | | **Lifecycle Stage (生命周期阶段)** | 在 LLMSecOps 生命周期中的位置 (Scope → Govern → Develop → Test → Deploy → Operate → Monitor) | | **Complexity Tier (复杂性分级)** | Plug & Play · Guided Setup · Expert Required · Enterprise Only | | **Agentic Flag (标志)** | 工具是否专门解决 Agentic AI 安全问题 | | **Flip-Card Detail (详情)** | 人工撰写的“是什么 / 安全相关性 / 何时使用” —— 非抓取，非生成 | ## 分类 | 类别 | 数量 | 示例 | |----------|-------|---------| | AI Red Teaming | 30 | Garak, Shannon, Promptfoo, Patronus AI, HiddenLayer, deepchecks | | AI Guardrails & Firewalls | 19 | Guardrails AI, NeMo Guardrails, LlamaFirewall, TrojAI, Lasso Security | | AI Governance & Standards | 11 | OWASP AI Exchange, MITRE ATLAS, ISO 42001, AIUC-1, Collibra AI Governance | | Identity & AppSec | 15 | Wiz AI-SPM, Stacklok/ToolHive, PlainID, Cerbos, Cyata, Oasis Security | | Third-Party Risk | 14 | BitSight, SecurityScorecard, Vanta, Conveyor, Zip | | AI Development Tools | 6 | LangChain, LlamaIndex, Langfuse, Arize Phoenix | | AI Code Assistants | 6 | GitHub Copilot, Cursor, Continue, Tabnine, Tabby | | Foundation Models | 6 | Ollama, Hugging Face, RiskRubric, DeepSeek | | Education & Research | 9 | CoSAI, Lethal Trifecta, Ken Huang, AI Incident Database | | Compliance Automation | 3 | Sprinto, Delve, Scrut | ## 搜索与发现 Yuntona 使用 **Typesense Cloud** 进行智能搜索： - **Typo-tolerant (容错)** —— 即使有拼写错误也能找到结果 - **Fuzzy matching (模糊匹配)** —— 处理部分查询和缩写 - **URL search (URL 搜索)** —— 粘贴工具的 URL 即可立即找到其卡片 - **Field-weighted ranking (字段加权排名)** —— 优先显示工具名称和标签而非描述 - **11 synonym groups (11 个同义词组)** —— 映射安全术语（例如 "tprm" → "third-party risk", "nhi" → "non-human identity"） - **Search-as-you-type autocomplete (即输即搜自动补全)** —— 输入 2 个以上字符后显示下拉结果，支持键盘导航 - **Faceted filtering (分面过滤)** —— 按类别、风险、受众、复杂性、OWASP 映射、生命周期阶段和 Agentic 标志过滤 ## 技术栈 | 层级 | 技术 | |-------|-----------| | Site (站点) | Static HTML/CSS/JS on Netlify | | Data (数据) | `tools.json` (single source of truth) | | Search (搜索) | Typesense Cloud (typo-tolerance, synonyms, field weighting) | | Indexing (索引) | Node.js build-time script (`scripts/index-typesense.js`) | | Fonts (字体) | Clash Display (brand), Outfit (body), JetBrains Mono (code) | | Security (安全) | CSP-compliant, 115/100 Mozilla Observatory | ## 近期变更 (v1.3.1) ### 新增工具 (+7) - **HiddenLayer** — 企业 AI 安全平台，具备发现、供应链 (AIBOM)、运行时防御和攻击模拟功能。Gartner Cool Vendor。 - **TrojAI** — AI 安全平台，包含 Detect (红队测试)、Defend (运行时防火墙) 和 Defend for MCP (Agentic 工作流安全)。Gartner AI TRiSM 供应商。 - **Patronus AI** — AI 评估和防护平台，提供 Lynx 幻觉检测和 LLM-as-a-Judge 评分。符合 OWASP/NIST。 - **Lasso Security** — 用于影子 AI 发现、实时防护和数据泄露防护 的 GenAI 安全平台。 - **Credo AI** — 用于负责任 AI 合规、EU AI Act 准备和政策执行的 AI 治理平台。 - **Vijil** — LLM 安全测试，提供自动化漏洞扫描和持续行为监控。 - **deepchecks** — 用于幻觉、偏见和数据完整性验证的开源 LLM 评估和测试框架。 ### 双重 OWASP 框架 (Schema 变更) - **`llm` 字段重命名为 `owaspLLM`** — 映射到 OWASP Top 10 for LLM Applications 2025 (LLM01–LLM10) - **新增 `owaspASI` 字段** — 映射到 OWASP Top 10 for Agentic Applications 2026 (ASI01–ASI10) - 134 个工具中有 93 个现在拥有 owaspASI 映射 - **新 UI 切换：** 过滤栏中的 LLM Top 10 ↔ Agentic Top 10 过滤器 ### 增强的翻转卡片 - 14 个现有工具卡片丰富了 CB Insights AI Agent Bible 数据和 OWASP ASI 参考 - 已更新：Witness.ai, Zenity, Langfuse, A2A Protocol, GitHub Copilot, Cursor, E2B, Agentic Radar, CycloneDX, MAESTRO Sentinel, MCP Secure Gateway, Noma Security, LangChain, Arize Phoenix ### v1.3.1 (2026 年 2 月) ### 新增工具 (+6) - **Shannon (Keygraph)** — 自主 AI 渗透测试器，具备利用证明，96% XBOW 成功率 - **Guardrails AI** — 拥有最大社区验证器中心 (50+ 验证器) 的开源 Python 框架 - **Stacklok / ToolHive** — 企业 MCP 平台，具备容器隔离、Sigstore 验证、Cedar 策略 - **Koi (Palo Alto Networks)** — 针对 AI Agent、MCP 服务器、扩展、包的 Agentic 端点安全 - **CoSAI (Coalition for Secure AI)** — OASIS Open 项目，产出 AI 安全框架 (Risk Map, Agentic Principles, IR Framework) - **Collibra AI Governance** — 企业 AI 治理，具备模型编目、血缘、EU AI Act 合规性 ### 更新 - **Cisco AI Runtime → Cisco AI Defense** — 重命名并扩展了 2026 年 2 月的更新 (AI BOM, MCP Catalog, agentic guardrails, NeMo integration) ### 搜索改进 - URL 字段现在可搜索 —— 粘贴工具 URL 以查找其卡片 - URL 包含在自动补全和完整搜索的字段加权中 ### 品牌 - Yuntona™ 文字标识现在使用 Clash Display 字体渲染 (via Fontshare CDN) - 品牌名称添加了商标符号 (™) ## 开发 ``` # 克隆 git clone https://github.com/craftedbyfabio/yuntona.git cd yuntona # 安装依赖 (用于 Typesense 索引) npm install # 重建 Typesense 索引 (需要 TYPESENSE_API_KEY 环境变量) node scripts/index-typesense.js # 本地 Serve npx serve . ``` ### 数据架构 所有工具数据位于 `data/tools.json`。索引脚本读取此文件，计算复杂性分级，并将文档推送到 Typesense Cloud。浏览器客户端直接查询 Typesense —— 不需要后端服务器。 ``` data/tools.json → Single source of truth (134 tools, owaspLLM + owaspASI fields) scripts/index-typesense.js → Build-time indexer (Node.js) js/typesense-search.js → Browser search client app.js → UI logic, filters, framework toggle, cards, autocomplete graph.js → Knowledge graph (D3.js, LLM + ASI risk nodes) index.html → Static page with inline CSS ``` ## 贡献 我们欢迎贡献。有关指南，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 **贡献方式：** - 通过 [GitHub Issues](https://github.com/craftedbyfabio/yuntona/issues/new?template=tool-suggestion.md) 建议工具 - 报告 Bug 或 UX 问题 - 改进工具描述或风险评估 - 添加 OWASP 映射或生命周期阶段分配 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

Yuntona™ — AI 安全构建者索引。
由 @craftedbyfabio 构建

标签：Agentic AI, AI安全, AI治理, Chat Copilot, ISO 42001, JSONLines, MCP安全, MITM代理, Netlify, NIST AI RMF, OWASP LLM Top 10, 人工智能安全, 人机身份, 合规性, 大模型安全, 威胁情报, 安全基准, 安全工具库, 安全架构, 开发者工具, 智能体安全, 模型防御, 混合加密, 网络安全资源, 自定义脚本, 蓝队防御, 被动侦察, 软件供应链安全, 远程方法调用, 零信任