# PurpleGate:面向智能体AI应用的CI/CD安全门禁系统 > Kardoxa Labs开源的PurpleGate将红队渗透测试与蓝队防御扫描整合为单一GitHub Action,专门检测智能体AI应用中的提示注入、密钥泄露、MCP漏洞等新型安全风险。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-04-24T22:14:52.000Z - 最近活动: 2026-04-24T22:18:48.983Z - 热度: 148.9 - 关键词: agentic AI security, CI/CD security, prompt injection, LLM security, MCP vulnerabilities, purple team, OWASP LLM Top 10 - 页面链接: https://www.zingnex.cn/forum/thread/purplegate-aici-cd - Canonical: https://www.zingnex.cn/forum/thread/purplegate-aici-cd - Markdown 来源: ingested_event --- ## 智能体AI时代的安全挑战\n\n随着大语言模型(LLM)从简单的聊天机器人演变为能够调用工具、访问数据库、执行代码的智能体(Agent),应用程序的攻击面发生了根本性变化。传统的静态应用安全测试(SAST)无法检测提示注入攻击,传统的密钥扫描工具难以发现系统提示泄露,而新兴的模型上下文协议(MCP)服务器又引入了全新的供应链风险。\n\n在这种背景下,Kardoxa Labs开发的PurpleGate应运而生。这是一个专为智能体AI应用设计的CI/CD安全门禁系统,将红队(Red Team)的主动攻击测试与蓝队(Blue Team)的防御态势评估整合到单一的GitHub Action中。PurpleGate的命名本身就体现了这种"紫队"(Purple Team)理念——攻防协同,在软件交付流程中持续验证安全性。\n\n## 核心功能与检测能力\n\nPurpleGate目前集成了九大类安全检测探针,覆盖了智能体AI应用面临的主要风险领域。\n\n**红队检测模块**\n\n在主动攻击测试方面,系统包含多个专门设计的探针。提示注入检测使用隔离的Claude作为评判者,通过promptfoo框架运行测试,检测应用是否会在面对越界问题时突破预设的范围限制。系统提示泄露检测则尝试通过精心构造的输入提取应用的系统指令。\n\n跨用户数据泄露探针专门检测多租户场景下的数据隔离问题,验证应用是否会在响应中泄露其他用户的信息。密钥泄露检测整合了Gitleaks和TruffleHog,不仅扫描代码中的硬编码凭证,还会验证这些凭证是否真实有效。\n\n依赖漏洞扫描使用OSV-Scanner识别项目依赖中的已知CVE,特别关注了MCP SDK相关的漏洞,如CVE-2025-6514(CVSS 9.7)和CVE-2025-53109等。基础设施即代码(IaC)扫描通过Checkov检测配置错误,特别是Supabase数据库中缺少行级安全(RLS)的问题。\n\n工作流注入检测基于zizmor工具,扫描GitHub Actions工作流中是否存在命令注入漏洞,例如直接使用`${{ github.event.issue.title }}`等不可信输入。HTTP安全头检测则评估应用的Web层安全配置。\n\n**蓝队防御评估**\n\nPurpleGate的独特之处在于它不仅寻找漏洞,还评估现有的防御措施。蓝队扫描器检测运行时防护机制的存在,如LLM Guard、Guardrails AI等输入输出过滤器,以及速率限制器的配置。当发现某项漏洞已经被相应的防护措施覆盖时,系统会自动降低该漏洞的严重性评级——但绝不会在没有漏洞的情况下提高评级。\n\n这种设计体现了务实的安全工程理念:完美的安全不存在,重要的是了解风险并确保有适当的控制措施。\n\n## 与行业标准框架的映射\n\n每个检测发现都映射到主流的安全框架和标准,包括OWASP LLM Top 10 2025、OWASP Agentic AI Top 10 2026以及MITRE ATLAS v5.4.0。这种映射以SARIF格式的ruleId呈现,使得GitHub Code Scanning和下游的SIEM工具能够按框架进行过滤和关联分析。\n\n例如,提示注入漏洞对应OWASP LLM Top 10中的"LLM01: Prompt Injection",而系统提示泄露则映射到"LLM02: Sensitive Information Disclosure"。MCP SDK漏洞则关联到供应链风险类别。这种标准化的分类有助于安全团队理解漏洞的业务影响并制定修复优先级。\n\n## 严重性与门禁策略\n\nPurpleGate采用四级严重性分类体系。关键级(Critical)问题包括已验证的活跃凭证、缺少RLS的公开数据库表、工作流命令注入和已验证的系统提示提取,这些问题默认会导致CI构建失败。高级(High)问题包括未受保护的路由、通用建议泄露、高CVE评分以及缺少运行时LLM防护,同样默认阻断构建。\n\n中级(Medium)和低级(Low)问题仅生成报告,不会阻断构建流程。用户可以通过`fail-on`参数自定义门禁策略,例如设置为仅对关键级问题失败,或扩展到包含中级问题。\n\n抑制机制设计得严谨而透明:每个被抑制的发现都需要提供原因、确认人以及不超过365天的过期时间。这种设计防止了"永远抑制"的惰性做法,确保安全债务得到持续跟踪。\n\n## 供应链安全与信任模型\n\n作为一个安全工具,PurpleGate对自身供应链安全的要求极为严格。当前Alpha版本采用Docker容器Action,每次运行都从源代码构建,消费者通过`uses: sameermohan-git/purplegate@`的方式锁定特定的代码版本。镜像中的每个二进制工具都通过SHA256校验验证,所有第三方Action都使用40字符的提交哈希而非标签引用——这是吸取了2025年3月tj-actions事件和2026年3月trivy-action标签篡改事件的教训。\n\n即将发布的v1.0版本将进一步增强供应链安全:预构建的镜像将发布到GHCR并使用cosign进行无密钥签名,消费者可以通过`gh attestation verify`验证镜像来源。同时还将实现SLSA L3级别的构建来源证明,每个发布版本都会附带SBOM,并通过OSSF Scorecard进行持续评估。\n\n## 部署与使用\n\n部署PurpleGate非常直接。用户只需在工作流中添加一个步骤,配置必要的参数如LLM提供商API密钥、目标应用URL和配置文件路径。配置文件采用YAML格式,支持精细的扫描器启用/禁用控制、自定义规则和严重性覆盖。\n\n完整的快速入门指南和配置文档已包含在仓库中。项目路线图显示,v1.0版本将包含37个测试用例的完整测试套件、promptfoo集成、Checkov完整接入以及消费者特定的SARIF抑制功能。\n\n## 项目意义与行业影响\n\nPurpleGate代表了安全工具演进的一个重要方向:从通用型扫描器转向领域专用型解决方案。传统的安全工具无法理解LLM应用的独特风险模型,而PurpleGate通过专门设计的探针和评判标准填补了这一空白。\n\n对于正在构建智能体AI应用的团队来说,PurpleGate提供了一个在CI/CD流程中持续验证安全性的实用方案。它不仅帮助开发者在代码合并前发现问题,还通过蓝队评估确保防御措施的有效性。随着智能体AI应用的普及,这种"紫队"方法论可能成为行业最佳实践的重要组成部分。