AI Agent 成為駭客新後門?當 AI 代理程式在 IDE 中具備執行 Shell 指令與檔案權限,傳統 SAST 已無法應對「提示注入」與「MCP 毒害」。全球首款專為 IDE 設計的 AI 資安掃描器正式亮相,透過縱深防禦與 Watchdog 技術,為你的 AI 代碼庫架起防護網。
隨著人工智慧(AI)技術日益整合至軟體開發流程,整合開發環境(IDEs)中的 AI 代理程式(AI Agent)已成為程式設計師不可或缺的工具。然而,這些能生成程式碼並執行複雜任務的 AI 代理程式,也同時引入了新的資安風險。為應對此挑戰,一款專為 IDEs 設計的 AI 代理程式資安掃描器已於近日推出,目的在於提升開發環境的安全防護。
目前的 AI 驅動 IDEs,例如 Cursor、VS Code 和 Windsurf,普遍採用模型上下文協定(Model Context Protocol, MCP)伺服器,使 AI 代理程式得以執行各種技能並協助生成完整的程式碼庫。但由於這些代理程式能存取檔案系統、應用程式介面(APIs)及 Shell 指令,開發者往往在未經嚴格驗證的情況下,就對第三方工具與依賴項建立起隱性信任,進而衍生資安疑慮。已知的攻擊手法包括透過 MCP 伺服器中的工具描述進行提示注入(prompt injection)、整合遭竄改的工具、透過被破壞的技能定義或 MCP 設定進行供應鏈毒害,以及篡改 IDE 環境配置等。傳統的靜態應用程式安全測試(Static Application Security Testing, SAST)和軟體成分分析(Software Composition Analysis, SCA)工具,因無法理解 MCP 工具描述、代理程式提示和技能定義的語義層次,而難以有效應對這些新型威脅。
這款 AI 代理程式資安掃描器以 IDE 擴充功能的形式提供,整合了 Skill Scanner 和 MCP Scanner 等開源掃描器,在開發環境內部提供資安可視性與控制能力。它採用多層次縱深防禦模型,包含四大核心功能:MCP 伺服器掃描、代理程式技能掃描、安全 AI 生成程式碼,以及 Watchdog 工具。
MCP 伺服器掃描會檢查工具描述、伺服器配置與端點,偵測潛在的隱藏指令、資料外洩模式、跨工具攻擊鏈及可疑指令。代理程式技能掃描則分析 Cursor、Claude Code、Codex 和 Antigravity 等平台的技能,以找出指令注入、混淆、權限提升及供應鏈指標等漏洞,且掃描過程不實際執行程式碼。安全 AI 生成程式碼功能則遵循 Project CodeGuard 訂定的安全規則,這些規則涵蓋輸入驗證、身分驗證、加密和會話管理等超過 20 個資安領域,直接嵌入代理程式的上下文中。此外,Watchdog 工具利用 SHA-256 快照和 HMAC 驗證,持續監控關鍵 AI 配置檔案,預防諸如鉤子注入(hook injection)、自動記憶體毒害(auto-memory poisoning)和 Shell 別名注入(shell alias injection)等未經授權的修改。
該掃描器與 IDE 工作流程緊密整合,提供資安儀表板、行內裝飾(inline decorations)、發現結果樹狀結構、Watchdog 面板等功能,並支援報告匯出與掃描比較。在隱私保護方面,此掃描器秉持「隱私優先」原則,不傳輸原始程式碼,不執行 MCP 工具和技能程式碼,安全儲存 API 金鑰,並預設以雜湊(hash-only)方式進行 VirusTotal 檢查,可選用的遙測功能也不包含敏感資料。
隨著 AI 代理程式生態系統的快速演進,資安工具也必須同步快速升級。此掃描器的推出,邀請開發者與資安社群共同試用、提交問題並貢獻力量,以期為 AI 輔助開發建構更堅實的資安防線。