yashitkumarsingh/open-agent-model
GitHub: yashitkumarsingh/open-agent-model
OpenAgentModel 是一种开源建模语言与静态风险扫描器,用于在 AI Agent 系统部署前声明安全边界并执行策略验证和风险评估。
Stars: 0 | Forks: 0
# OpenAgentModel (oam)
[](docs/cli-usage.md)
[](docs/concepts.md)
[](LICENSE)
OpenAgentModel 是一种开源建模语言,用于声明 Agent-BOM,并在 AI agent 系统进入生产环境之前执行静态安全检查。
OpenAgentModel 不仅限于检查运行时行为,还允许安全、风险和工程团队以静态方式声明 agent、工具、模型、身份、MCP 服务器、数据类别、审批和策略。CLI 会验证引用完整性,评估循环/升级风险,导出 SARIF,并在 CI 中阻止有风险的 pull request。
## 技术文档指南
为了保持文档的整洁和对开发者友好,规范被划分为符合逻辑的模块化指南:
1. **[核心概念与威胁模型](docs/concepts.md)**
- 解释了模型优先的切入点、安全上下文流以及 Agent-BOM 契约。
- 将检查映射到 **OWASP Top 10 for LLM Applications 2025** 以及新兴的 agentic 应用安全模式。
2. **[CLI 安装与使用指南](docs/cli-usage.md)**
- 标准命令(`init`、`validate`、`diagram`、`risk`、`report`)的操作演示。
- Schema 字段参考以及通过 **SARIF** 日志实现的 GitHub Actions 阻断门禁。
3. **[内置规则目录](docs/rule-catalog.md)**
- 记录了风险规则 ID、严重程度、意图以及当前的静态分析范围。
4. **[10 个多样化的参考场景](docs/examples.md)**
- 可直接复制粘贴的配置模板,涵盖电商、医疗保健、代码评估、智能家居和供应链拓扑。
5. **[企业版 v1.0 路线图](docs/roadmap.md)**
- 概述了未来的功能:LangGraph/CrewAI AST 代码导入器、Sugiyama 图交叉最小化以及 OpenTelemetry trace 检查。
6. **[测试指南](TESTING.md)**
- 列出了本地 Node 22 测试工作流以及当前的测试覆盖率图谱。
7. **[已知局限性](docs/known-limitations.md)**
- 指出了当前静态分析、SARIF、MCP 以及漂移检测的边界。
8. **[Schema 版本控制](docs/schema-versioning.md)**
- 解释了如何管理 Schema 和 Agent-BOM 版本元数据。
9. **[发布流程](docs/release-process.md)**
- 记录了当前的手动发布检查清单和未来的自动化目标。
## 快速开始
```
# 使用 pinned runtime
nvm use
# 安装与构建
npm install
npm run build
npm link
# 初始化 config
oam init -o agentmodel.yaml
# 运行 validation 和 linker check
oam validate -i agentmodel.yaml
# 评估 static risks
oam risk -i agentmodel.yaml --fail-on high
# 导出完整的 HTML dashboard 和 Rego 风格的 policy 示例
oam report -i agentmodel.yaml -d reports/
# 将 runtime OpenTelemetry traces 与 design spec 进行比较以发现 drift
oam drift -i agentmodel.yaml -t traces.json
```
## CI/CD 集成门禁
OpenAgentModel 旨在在 pull request 中自动执行安全门禁。您可以在 [.github/workflows/agent-governance.yml](.github/workflows/agent-governance.yml) 中查看我们当前的工作流配置。
要将风险扫描检查集成到您自己仓库的工作流中:
```
name: Agent Governance Gate
on: [pull_request]
jobs:
validate-agents:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-node@v4
with:
node-version: 22
- run: npm install -g open-agent-model
- name: Validate Model Integrity
run: oam validate -i agentmodel.yaml
- name: Enforce Security Threshold
run: oam risk -i agentmodel.yaml --fail-on high --sarif agent-risks.sarif
```
标签:AI安全, AI智能体, Chat Copilot, MITM代理, 文档结构分析, 用户代理, 自动化攻击, 软件供应链安全, 远程方法调用, 错误基检测, 静态代码分析