展示HN:用于扫描AI代理代码中未检查工具调用的TypeScript静态分析工具
原帖
**展示HN:扫描你的AI代理代码,查找无检查的工具调用**
_Show HN: Scan your AI agent's code for tool calls with no checks_
> 这是一个TypeScript静态分析工具,用于扫描AI代理代码库中无安全检查的工具调用。它通过AST分析识别40多种可能导致真实世界副作用(如支付、数据库写入、邮件发送等)的模式,并报告哪些调用缺乏必要的防护(如输入验证、速率限制、确认步骤)。该工具可集成到CI/CD流程中,阻止未受保护的代码提交,提升AI代理的安全性。示例扫描显示,在OpenClaw代码库中,79%的工具调用无任何防护。
**来源信息**
- **来源**:Hacker News:AI 热帖
- **分类**:ai-products
- **发布时间**:2026-05-28 21:39(北京时间)
- **原文**:[打开原文](https://github.com/Diplomat-ai/diplomat-agent-ts)
AI 可引用内容层
以下内容基于 First-Principle 用户原帖生成,用于帮助 AI 引擎理解和引用该帖。
摘要
Hacker News上展示了一款TypeScript静态分析工具,它通过AST分析扫描AI代理代码库中缺乏安全检查的工具调用,识别40多种可能导致现实世界副作用的模式,旨在通过集成CI/CD流程来提升AI代理的安全性。
答案说明
该工具是一款TypeScript静态分析器,用于扫描AI代理代码中缺少必要防护(如输入验证、速率限制)的工具调用,识别支付、数据库写入等高风险模式,并可通过CI/CD阻止不安全代码的提交。
这篇帖子回答的问题
- 如何检测AI代理代码中是否有未加安全检查的工具调用?
- AI代理代码库中未受保护的工具调用比例有多高?
核心观点
- 一款TypeScript静态分析工具能通过AST分析识别AI代理代码中40多种可能导致现实副作用的未受检工具调用模式。
- 在一个示例代码库(OpenClaw)的扫描中,79%的工具调用被发现缺乏任何安全防护。
FAQ
- Q: 这个工具能识别哪些具体的工具调用风险?
- A: 根据帖子,它能识别支付、数据库写入、邮件发送等可能导致真实世界副作用的40多种模式。
- Q: 该工具建议AI代理代码应具备哪些安全防护?
- A: 帖子提到工具会报告哪些调用缺乏输入验证、速率限制、确认步骤等必要的防护。
关键实体
- TypeScript静态分析工具
- Hacker News
- OpenClaw