Detektor：AI代理安全风险的CI扫描工具与OpenPAKT合规报告生成器

Detektor是Windows平台的AI代理安全扫描工具，专注检测提示注入漏洞、工具权限过度、不安全工具调用等风险，支持CI/CD流水线集成，并能生成OpenPAKT格式合规报告，帮助开发团队在早期识别安全问题。

随着LLM与AI代理广泛应用，传统安全工具难以应对新型威胁。AI代理通过自然语言提示接收指令、工具调用交互，引入独特攻击面：提示注入可劫持代理行为，过度工具授权可能导致数据泄露或系统破坏，不安全CI配置让问题潜伏生产环境。Detektor针对这些新兴风险开发。

Detektor围绕AI代理常见风险点设计：1.提示注入识别：扫描提示文件与输入路径，找出可能被利用的注入点；2.工具权限审查：检查权限配置，标记过度授权（如仅需读特定目录却获全局文件系统访问）；3.不安全工具调用检测：识别执行系统命令、访问敏感端点等高风险调用，助力评估必要性与替代方案。

Detektor支持CI/CD流水线集成，实现"安全左移"：在构建过程自动扫描项目、构建文件夹或CI输出目录，生成含提示注入警告、权限问题等的详细报告。同时支持生成OpenPAKT格式合规报告，该格式行业认可，可用于团队共享、合规审计、安全状况跟踪，建议保存为构建输出以形成审计轨迹。

Detektor适用于多种场景：AI代理项目（对话/自动化工作流/工具使用代理）、LLM与工具集成、DevSecOps构建检查、提示安全审查、权限审查。最佳实践：在发布前、合并前、部署前运行扫描，形成分层防御，早期扫描降低修复成本，后期扫描确保生产安全。

Detektor基于.NET框架开发，支持Windows10/11。安装要求：稳定网络、200MB可用空间、用户/管理员账户，需.NET Desktop Runtime则按提示安装。安装步骤：下载.exe/.zip→解压（若为zip）→运行（处理Windows安全提示）。使用流程：启动后指向项目/构建/CI目录→选择扫描类型→运行→查看结果→导出报告。

常见问题及解决：1.无法启动：用原下载用户打开、检查文件是否被Windows阻止、确认下载完成/zip解压完全、安装所需.NET runtime；2.扫描未找到目标：检查路径正确、文件不在嵌套zip、使用本地副本。建议扫描文件：代理提示文件、工具配置文件、构建脚本、CI流水线文件、权限定义文件。