graylonhampton/ai-security-lab
GitHub: graylonhampton/ai-security-lab
面向企业 AI 治理与云安全的开源安全工具集,帮助安全团队评估和管控 LLM 及 MCP 集成环境中的新型风险。
Stars: 0 | Forks: 0
# ai-security-lab
一系列开源安全工具,构建于 AI 治理、云安全和企业自动化的交汇处。
## 目的
随着 AI 助手和大语言模型步入企业环境,它们引入了新型安全风险,而大多数现有工具并未针对此类风险进行设计。本仓库是我构建和发布工具的地方,旨在帮助安全团队在集成 AI 的环境中进行评估、治理和自动化控制。
这里的项目由一位持有 CISSP 认证的安全工程师构建,他在治理企业 AI 部署方面拥有丰富的实战经验——包括 LLM 风险评估、MCP 集成安全以及 AI 可接受使用策略的制定。
## 项目
| 工具 | 描述 | 状态 |
|------|-------------|--------|
| [mcp-security-audit](./mcp-security-audit/) | 通过 11 项检查审计 Model Context Protocol (MCP) 服务器配置——身份验证、互联网暴露、特权/过度 scope、不安全的 transport、通配符工具自动批准(prompt 注入风险)、shell 访问、缺少工具限制、日志中的密钥以及危险的 scope 组合链。输出 JSON 和 SARIF 2.1.0,用于 CI/CD 和 SIEM 集成。 | 活跃 |
| ai-llm-risk-framework | 用于企业 AI/LLM 风险评估的结构化模板和控制映射——针对 LLM 系统调整的 STRIDE、OWASP LLM Top 10 映射以及 Mean-Time-to-Adapt (MTTA) 治理指标。 | 进行中 |
| claude-security-toolkit | 使用 Anthropic SDK 的 Python 自动化工具包,用于安全运营工作流——从 finder + adversarial-verifier pipeline(多角色 agent、结构化 JSON 输出、减少误报)开始。 | 进行中 |
## 设计方法
MCP 审计工具的检查集与 Visa 开源的 [Visa Vulnerability Agentic Harness (VVAH)](https://github.com/visa/visa-vulnerability-agentic-harness) 所使用的 MCP 安全规则集保持一致,因此其发现结果可映射到企业 AI 安全工具所使用的相同类别。这些工具包项目应用了生产级 AI 漏洞 pipeline 所依赖的相同 agentic 模式(专业化角色、对抗性验证)。
## 背景
这些工具反映了在金融科技环境中构建和运营企业安全计划时遇到的实际问题——而非学术演练。每一个工具都旨在做到实用、轻量,并且无需复杂的设置即可使用。
## 联系方式
[graylonhampton.me](https://graylonhampton.me)
标签:AI安全, Chat Copilot, CISA项目, DLL 劫持, Homebrew安装, LNA, StruQ, 企业自动化, 大语言模型, 安全治理, 构建工具, 逆向工具