Ship Safe：一行命令扫描AI项目所有安全漏洞

用AI写代码越来越方便，但安全问题也越来越隐蔽。你用Cursor生成的代码可能藏着SQL注入，你的MCP配置可能被投毒，你的CLAUDE.md里可能有人埋了恶意指令。

Ship Safe就是解决这个问题的——一行命令扫描你整个项目，找出所有安全漏洞。

它是什么

Ship Safe是一个开源的AI安全扫描工具，23个安全Agent并行工作，覆盖80多种攻击类型。不需要注册，不需要API Key，离线也能用。

1

npx ship-safe

一行命令，直接开扫。

能检测什么

代码漏洞：

• SQL/NoSQL注入、命令注入、XSS
• JWT缺陷（alg:none、弱密钥）
• CSRF、OAuth配置错误、TLS绕过
• SSRF（服务端请求伪造）

AI/LLM特有漏洞：

• Prompt注入（OWASP LLM Top 10）
• MCP工具投毒、Agent劫持
• RAG上下文注入、文档投毒
• 系统提示词泄露
• Agent内存投毒（隐藏Unicode载荷）

供应链安全：

• 依赖混淆、Typosquatting
• 可疑安装脚本
• Docker/Terraform/K8s配置错误

其他：

• 硬编码密钥（含Git历史）
• CI/CD流水线投毒
• PII合规检查（身份证号、银行卡等）

实际跑一下

我在自己的Astro博客项目上跑了一下：

1
2
3
4
5
6
7
8
9
10
11
12

Security Score: 84.6/100 B — Minor issues to review

Category Breakdown
────────────────────────────────────────────────
✔  Secrets                clean                     +0
✔  Code Vulnerabilities   clean                     +0
✘  Dependencies           4 issue(s)                -13 pts
✔  Auth & Access Control  clean                     +0
✔  Configuration          clean                     +0
✘  Supply Chain           2 issue(s)                -2.4 pts
✔  API Security           clean                     +0
✔  AI/LLM Security        clean                     +0

4个依赖CVE，2个供应链问题。代码本身没问题。

23个安全Agent

每个Agent专门负责一类漏洞，并行扫描，自动跳过不相关的项目：

用法

1
2
3
4
5
6
7
8
9
10
11
12
13
14

# 交互式扫描
npx ship-safe

# 完整审计
npx ship-safe audit .

# 只看分数
npx ship-safe score .

# AI自动修复
npx ship-safe agent .

# CI/CD集成
npx ship-safe ci . --threshold 80

适合谁

• 用AI写代码的开发者（Cursor、Copilot、Claude Code用户）
• 做AI Agent开发的团队
• 用MCP集成外部工具的项目
• 需要做安全审计的开源项目

项目地址：https://github.com/asamassekou10/ship-safe

721星，MIT协议，npx ship-safe一行命令就能用。不管你用什么AI写代码，跑一遍总没坏处。