BlakeMasters/redteam-skillbox
GitHub: BlakeMasters/redteam-skillbox
一个基于 Python 的 MCP 服务器和便携式 agent 技能箱,用于在本地环境中对 AI 模型进行授权的安全红队评估并生成可追溯的证据报告。
Stars: 3 | Forks: 2
# redteam-skillbox
[](https://github.com/BlakeMasters/redteam-skillbox/actions/workflows/ci.yml)
`redteam-skillbox` 是一个基于 Python 3.11+ 的 MCP server 和便携式 agent 技能箱,专为经过授权的、本地化的、一次性的 AI 红队评估而设计。
它专为跨广泛提供商基础设施的具备 agent 能力的模型以及本地模型 agent 而设计。其核心契约基于能力:如果一个 agent 能够读取本地技能文件、调用 MCP 工具或同等严格的 JSON Schema 工具、运行已批准的本地命令,并保留沙箱证据,它就可以使用该技能箱。特定产品的 manifest 是可选的兼容性适配器,而不是唯一事实来源。
它内置提供:
- 位于 `skills/` 下的三个便携式 agent 技能。
- 验证器 CLI:`redteam-skillbox validate`。
- 本地 stdio MCP server 入口点:`redteam-skillbox-mcp --root PATH`。
- 带有 `search` 和 `fetch` 功能的只读本地文档连接器。
- 带有已分类工具的通用 MCP runtime。
- 用于 agent manifest、评估用例、技能选择用例、证据报告、沙箱 manifest 和 MCP 工具注册表元数据的 JSON Schema。
## 快速开始
```
py -3.11 -m venv .venv
.\.venv\Scripts\Activate.ps1
python -m pip install -e ".[dev]"
ruff check .
pytest
redteam-skillbox validate
```
在 Unix-like shell 中:
```
python3.11 -m venv .venv
. .venv/bin/activate
python -m pip install -e ".[dev]"
ruff check .
pytest
redteam-skillbox validate
```
验证适配后的本地项目技能包:
```
redteam-skillbox validate --root /path/to/project
redteam-skillbox-mcp --root /path/to/project
```
## 安全边界
该项目仅用于经过授权的、本地化的、一次性的评估。它会拒绝或重定向涉及真实凭据、真实客户项目、生产系统、第三方目标、将公共软件包索引作为攻击面、shell 启动文件、Git hooks、全局语言环境、持久化宿主机索引、外部服务探测、凭据重放、漏洞利用 payload 生成、恶意软件、持久化、规避或数据渗出的请求。
安全的重定向措辞:
## MCP 模式
- 只读连接器:对本地项目文档、技能、示例和非敏感报告执行 `search(query, filters?)` 和 `fetch(id)`。作为进程内辅助工具(`LocalDocumentIndex`、`redteam_skillbox.mcp.resources`)以及通用 server 上的 MCP 工具公开。
- 通用 server:用于技能列出、验证、沙箱创建、生成的本地评估执行、证据评分、报告渲染和 manifest 验证清理的已分类工具。
`network_posture` 和 `approval_required` 是供 agent、MCP client 和宿主遵循的咨询性元数据,而不是由 server 强制执行的控制。要进行机械的仅环回(loopback-only)隔离,请在 OS 网络沙箱内运行 server(参见 [docs/deployment.md](docs/deployment.md))。路径包含、manifest 验证清理、生成夹具/环回门控以及经过净化的夹具环境在代码中强制执行。参见 [docs/threat-model.md](docs/threat-model.md)。
## Agent 兼容性
每个技能都包含 `agents/agent.yaml`,这是一个与供应商无关的 manifest,包含显示元数据、所需能力、兼容的 runtime 类、调用模式和安全策略。包含 `agents/openai.yaml` 仅作为理解该文件的 client 的可选兼容性适配器。
目标 runtime 包括支持本地 MCP 的 agent、托管的 agent 工具 runtime、文件系统读取 agent、文件系统写入沙箱 agent 以及调用工具的模型 agent。该项目不假定特定的模型提供商。
有关 runtime 契约,请参见 [docs/agent-compatibility.md](docs/agent-compatibility.md)。
有关跨 MCP、托管连接器、原生工具和 OpenAPI 风格 runtime 的投影规则,请参见 [docs/adapter-architecture.md](docs/adapter-architecture.md)。
有关在本地项目中适配便携式技能的信息,请参见 [docs/skill-authoring.md](docs/skill-authoring.md)。
有关 PyPI、`uvx`、容器和 MCP client 配置,请参见 [docs/deployment.md](docs/deployment.md)。
有关可选的沙箱级 Redis 上下文、进程附属物和报告交付,请参见 [docs/redis-sidecar.md](docs/redis-sidecar.md)。Redis 默认保持禁用状态,启用时需要 `redteam-skillbox[redis]` 以及本地 `redis-server` 二进制文件。
## 公开发布
这是一个 v1 公开测试版,同时 runtime 隔离和适配器边界仍在持续强化中。
发布说明位于 [RELEASE.md](RELEASE.md)。
## 证据
每个有状态的评估运行都必须生成一份证据报告,包含运行 ID、时间戳、版本/引用、调用的技能、显式调用文本、沙箱根目录、manifest 路径、网络姿态、命令或工具调用、cwd、环境覆盖、退出代码、stdout/stderr 摘录、观察结果、发现、不受支持的主张、清理状态、来源元数据以及 runtime 上下文元数据。
标签:AI安全, Chat Copilot, DLL 劫持, MCP Server, 大语言模型, 安全测试, 攻击性安全, 红队评估, 自动化评估