acuvity/risk-auditor

🔍 Acuvity Risk Auditor是什么？

描述： 针对AI服务的综合风险评估工具，具备高级可达性检查、TLS证书分析及安全日志处理能力，由Acuvity打包用于客户环境中的风险审计。

💡 我们为何构建此工具？

在Acuvity，了解AI服务的可访问性和安全态势对我们的使命至关重要。Acuvity Risk Auditor通过提供综合风险审计（可选安全日志关联）来满足这一需求，覆盖客户网络中的AI服务。

📚 快速参考

维护者：

• Acuvity团队（负责打包和安全）

获取帮助：

• Acuvity支持

支持的主机架构：

• amd64 - 原生支持
• arm64 - 通过--platform linux/amd64模拟（高级测试所需的Chrome浏览器无Linux arm64版本）

当前支持版本：

• 容器：latest

目录

• 🚀 快速开始
• 🎯 使用模式
• 🐳 Docker运行方法
  • 挂载结构
  • ⚙️ 命令行选项
  • 📋 示例
    • Acuvity知识库扫描
    • 直接域名扫描
    • 安全日志处理
    • 自定义CA证书
  • 🔧 高级配置
  • 📁 输出文件
• 📝 安全日志处理
• 🔑 环境变量

🚀 快速开始

[!NOTE] 您可在Acuvity控制台的Administration/Access/User Tokens中获取令牌。

bash
# 首先设置Acuvity API令牌为环境变量
export ACUVITY_TOKEN="您的令牌"

# 创建目录结构
mkdir -p ./data/{input,output,logs}

# （可选）将安全日志复制到input目录
cp your_security_logs.csv ./data/input/

# 运行完整扫描（含安全日志处理和文件输出，若无日志可省略--security-log选项）
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --security-log /app/data/input/your_security_logs.csv \
  --output-dir /app/data/output \
  --log-file /app/data/logs/auditor.log

此示例将：

• 扫描Acuvity知识库中的域名 + 指定的自定义域名
• 处理安全日志以进行关联
• 将详细结果保存到./data/output/
• 在./data/logs/生成调试日志

🎯 使用模式

审计工具支持三种主要操作模式，可组合使用。结果会自动上传到Acuvity平台。

Acuvity知识库扫描

扫描Acuvity AI域名数据库中的域名。

直接域名扫描

在Acuvity数据库域名基础上，扫描特定域名。使用--domains指定测试域名。

[!NOTE] 若域名不在Acuvity知识库中，仍会纳入审计报告，但安全风险评估不可用。

安全日志处理

处理安全日志以关联AI域名使用情况。支持CSV格式，自动提取URL。需与直接域名或Acuvity知识库域名结合使用。

🐳 Docker运行方法

挂载结构

容器使用/app/data作为主数据目录。根据您要使用的功能创建以下本地目录结构：

bash
mkdir -p ./data/{input,output,logs,certs}

• ./data/input/ - 安全日志文件
• ./data/output/ - 扫描结果
• ./data/logs/ - 调试用应用日志文件
• ./data/certs/ - （可选）自定义CA证书（PEM格式）

⚙️ 命令行选项

审计工具支持以下关键选项：

自定义域名来源：

• --domains domain1.com domain2.com - 直接扫描特定域名

输入/输出：

• --output-dir /path/to/output - 将结果保存到目录（启用文件持久化）
• --security-log /path/to/security.csv - 处理安全日志文件以进行关联

测试控制：

• --timeout 15 - 网络超时（秒，默认：10）
• --skip-advanced-tests - 禁用基于浏览器的测试

日志：

• --log-level DEBUG - 设置日志级别（DEBUG、INFO、WARNING、ERROR）
• --log-file /path/to/auditor.log - 将日志保存到文件

元数据： 可指定任意数量的key=value对：

• --metadata location=CN team=安全团队

📋 示例

Acuvity知识库扫描

bash
# 首先设置Acuvity API令牌
export ACUVITY_TOKEN="您的令牌"

# Acuvity知识库扫描（仅控制台输出，无需挂载）
docker run --platform linux/amd64 --rm \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest

# Acuvity知识库扫描（带文件输出）
mkdir -p ./data/output
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --output-dir /app/data/output

直接域名扫描

bash
# 设置Acuvity API令牌
export ACUVITY_TOKEN="您的令牌"
docker run --platform linux/amd64 --rm \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --domains chatgpt.com openai.com anthropic.com

# 带文件输出和日志的扫描
export ACUVITY_TOKEN="您的令牌"
mkdir -p ./data/{output,logs}
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --domains chatgpt.com openai.com anthropic.com \
  --output-dir /app/data/output \
  --log-file /app/data/logs/auditor.log

安全日志处理

bash
# 准备安全日志文件
mkdir -p ./data/input
cp your_security_logs.csv ./data/input/

# 结合Acuvity知识库域名处理安全日志（先设置令牌）
export ACUVITY_TOKEN="您的令牌"
mkdir -p ./data/{input,output}
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --security-log /app/data/input/your_security_logs.csv \
  --output-dir /app/data/output

# 结合特定域名处理安全日志
export ACUVITY_TOKEN="您的令牌"
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --security-log /app/data/input/your_security_logs.csv \
  --domains chatgpt.com openai.com anthropic.com \
  --output-dir /app/data/output

自定义CA证书

bash
# 将CA证书复制到本地certs目录
cp /path/to/your/ca-certificates/*.pem ./data/certs/

# 使用自定义CA证书运行
export ACUVITY_TOKEN="您的令牌"
docker run --platform linux/amd64 --rm \
  -v "$(pwd)/data:/app/data" \
  -e ACUVITY_TOKEN \
  acuvity/risk-auditor:latest \
  --domains internal-domain.com \
  --output-dir /app/data/output

🔧 高级配置

自定义CA证书支持

对于有自定义证书颁发机构的环境，将PEM文件放入./data/certs/，审计工具会自动在容器中安装它们。

📁 输出文件

审计工具在指定输出目录生成以下文件：

• results_<timestamp>.json：主扫描结果（JSON格式）
• payload_<timestamp>.json：API payload格式结果

📝 安全日志处理

支持的日志格式

审计工具可处理多种CSV格式的安全日志：

• 灵活列检测：自动尝试检测时间戳、URL和用户列
• 尽力URL提取：使用正则模式从任何文本内容中查找URL
• 子域名匹配：自动将子域名匹配到父域名

虽然可自动检测一些常见头名称，但为获得最佳结果，日志头名称应设置为timestamp（时间戳）、username（用户名）和destination_url（用户尝试访问的URL）。日志可包含任何其他列，这些列会被忽略。

URL匹配逻辑

子域名匹配示例：

• https://files01.api.chatgpt.com/uploads 匹配域名：chatgpt.com
• https://api.openai.com/v1/chat 匹配域名：openai.com
• https://claude.ai/chat 匹配域名：claude.ai

安全日志示例格式

csv
timestamp,source_ip,destination_url,username,action
2024-01-15T10:30:00Z,192.168.1.100,https://chatgpt.com/chat,john.doe,ALLOW
2024-01-15T10:31:00Z,192.168.1.101,https://api.openai.com/v1/completions,jane.smith,ALLOW

🔑 环境变量

Acuvity知识库扫描和上传所需：

• ACUVITY_TOKEN：Bearer认证令牌（必填）
• ACUVITY_BASE_URL：API基础URL（可选，默认从令牌提取）
• ACUVITY_NAMESPACE：Namespace头值（可选，默认从令牌提取）