1. 引言:当 AI 工具在企业中悄然蔓延
想象这样一个场景:你的团队表面上只用公司批准的 AI 编程助手,但私底下——
- 后端同学在用 Claude Code 调试接口;
- 前端同学装了 Cline + Continue 双插件;
- 数据组的同事桌面跑着 Kimi 和豆包;
- 实习生偷偷试用了 Manus 浏览器 Agent……
如果你是一名安全工程师、IT 管理员或技术 Leader,你真的清楚团队电脑上跑了多少 AI Agent 吗?
这就是“影子 AI”(Shadow AI)问题——员工在未经审批或报备的情况下使用各种 AI 工具,带来数据泄露、合规风险和安全盲区。
AI Asset Discovery正是为解决这一难题而生:一款轻量级、跨平台的 AI 智能体资产清点工具,只需一条命令,即可扫描出系统中潜藏的 AI 编程助手、IDE 扩展、桌面 AI 应用、Agent 框架及 LLM SDK。
2. 核心能力一览
AI Asset Discovery 不止是一个简单的"进程列表查看器",它采用四维扫描策略,从多个维度交叉验证 AI Agent 的存在:
| 扫描维度 | 检测方式 | 能发现什么 |
|---|---|---|
| 🔍进程指纹 | 遍历运行中进程,匹配已知 Agent 特征 | Claude Code、Codex、Aider 等 CLI Agent 进程 |
| 📁文件系统 | 扫描配置目录、缓存、日志等痕迹 | ~/.claude、~/.continue等配置目录 |
| 🧩IDE 扩展 | 检测 VS Code / JetBrains 等 IDE 插件 | GitHub Copilot、Cline、Tabnine、Continue |
| 📋技能文件 | 自动发现 Agent Skills 并提取元信息 | Skill 名称、关联工具、参数、提示模板 |
每次扫描后,AI Asset Discovery 会给出三级置信度判定:
| 级别 | 含义 | 典型场景 |
|---|---|---|
✅confirmed | 多重证据交叉验证确认 | 进程运行中 + 配置文件存在 + 版本可探测 |
⚠️possible | 存在部分痕迹但无法完全确认 | 发现配置目录但进程未运行 |
👻ghost | 仅残留历史痕迹 | 曾安装过但已卸载,遗留配置文件 |
更重要的是,它内置了零误报设计——自动过滤自身扫描进程、Shell 包装器等干扰项,确保结果干净可信。
3. 一分钟快速上手
AI Asset Discovery 使用 Go 语言编写,编译产物为单二进制文件,无需运行时依赖。
3.1 编译
# 要求 Go 1.26.1+gitclone https://github.com/your-org/ai-asset-discovery.gitcdai-asset-discoveryCGO_ENABLED=0go build-odiscovery ./cmd/discovery/3.2 运行
# 使用默认规则扫描并输出 JSON 结果./discovery--rulesrules/--pretty=false# 输出到文件./discovery--rulesrules/--outputresult.json# 带格式化输出(默认)./discovery--rulesrules/就这么简单,几秒钟内你就能拿到一份完整的 AI 资产清单。
4. 输出示例:一图胜千言
扫描完成后,输出为结构化 JSON,包含摘要统计和每款 Agent 的详细信息:
{"summary":{"total_agents":5,"confirmed_agents":1,"possible_agents":3,"ghost_agents":1,"total_skills":12,"by_type":{"process":2,"ide_extension":1,"file":1,"package":1,"binary":1,"probe":1}},"agents":[...]}每个 Agent 条目不仅包含基本身份信息,还能自动提取其Skills(技能)——工具列表、参数定义、提示模板等,帮你深入理解每款 AI 工具的"能力边界"。
5. 覆盖范围:从 CLI 到浏览器的全场景检测
AI Asset Discovery 的检测覆盖面相当广泛,目前内置50+ Agent 规则,覆盖以下类别:
| 类别 | 代表工具 |
|---|---|
| 🖥️CLI Agent | Claude Code、Gemini CLI、Aider、Codex |
| 🧩IDE 扩展 | GitHub Copilot、Cline、Continue、Tabnine |
| 💻桌面应用 | ChatGPT Desktop、Windsurf |
| 🤖桌面助手 | WorkBuddy、Kimi、豆包 |
| 🌐浏览器 Agent | Manus、Fellou、Genspark |
| ☁️Web 工具 | Bolt.new、Replit Agent |
| 🏗️Agent 框架 | LangChain、AutoGen、CrewAI、Dify、Coze |
| 📦LLM SDK | 通用 LLM SDK 依赖检测 |
而且,这些规则完全由YAML 驱动,你可以轻松扩展自己的检测规则。
6. 规则系统:让检测能力无限扩展
AI Asset Discovery 的强大之处在于它的规则引擎。每条检测规则就是一个 YAML 文件,定义了某个 AI Agent 的"指纹特征"。来看一个规则示例:
-name:claude-codedisplay_name:"Claude Code"category:"cli_agent"min_confidence:possiblepaths:-path:~/.claude-code-path:~/.claudefeatures:processes:-claude-codebinaries:-claudepackages:-"@anthropic-ai/claude-code"version_regex:"([0-9]+\\.[0-9]+\\.[0-9]+)"probe:command:claudeargs:["--version"]version_regex:"([0-9]+\\.[0-9]+\\.[0-9]+)"skills:enabled:truescan_paths:-~/.claude/skills-~/.claude-code/skillskeywords:-skill-toolauto_discover:true规则定义了路径特征、进程名、二进制名、包名、版本探测命令、Skills 扫描路径六个维度的指纹信息。AI Asset Discovery 会依据这些线索交叉验证,输出置信度评分。
这意味着:只要有人为某个新出的 AI 工具写好一条规则,这个工具就能被发现。社区生态越丰富,检测能力越强。
7. 适用场景
AI Asset Discovery 能落地哪些实战场景?
| 场景 | 价值 |
|---|---|
| 🔐企业安全审计 | 批量扫描全员设备,生成 AI 资产清单报告,发现未经授权的 AI 工具 |
| 📋合规检查 | 确保团队使用的 AI 工具符合公司数据安全政策 |
| 🧹资产盘点 | IT 部门定期巡检,掌握 AI 工具的安装与使用情况 |
| 🛡️数据防泄漏 | 识别可能将代码/数据上传到外部服务的 Agent |
| 📊DevSecOps 集成 | 嵌入 CI/CD 或终端管理流程,自动化 AI 资产监控 |
8. 总结
AI Asset Discovery用一条命令回答了安全团队最关心的问题:“我们的系统里到底跑了哪些 AI 工具?”
它轻量、快速、跨平台、规则驱动,既可作为个人开发者的自查工具,也能集成到企业安全体系中进行批量资产清点。在 AI 工具大爆发的当下,看不见的风险才是最可怕的——而 AI Asset Discovery 就是你的"影子 AI"探照灯。
项目地址:GitHub - AI Asset Discovery
详细架构、扫描流程与时序图请参阅项目文档:docs/architecture.md