io.github.CSOAI-ORG/ai-bom-mcp

生成并审计 AI 物料清单，帮助团队满足模型供应链合规与治理要求

来源

官方 Registry

更新于

2026-06-13

// 安全评估需留意

总评

该 MCP 工具材料较少，但从现有信息看未声明需要密钥或远程联网，且来自官方 Registry、开源并近期维护，整体风险偏低。主要需留意其具备本机代码执行能力，且 README/许可证信息不足，建议在受限环境中先行验证。

凭证密钥低风险

材料明确标注无需密钥或环境变量，未见 API token、云账号或其他敏感凭证依赖；因此凭证泄露与滥用面较低。

网络外发低风险

未声明任何远程端点 host，现有材料也未显示需要将用户数据发送到外部服务；就已知信息看，无明确网络外发路径。

代码执行需留意

系统检查项标明其具备 executes-code 能力，说明工具可在本机执行代码/进程；这属于 MCP 工具的常规高权限能力，应在隔离环境中运行并限制可调用系统资源。

数据访问需留意

作为 AI-BOM 生成与审计工具，合理推断其需要读取本地项目或物料清单相关数据，可能也会输出结果文件；现有材料未见过度授权证据，但具体读写范围未在 README 中说明，需按最小权限控制。

来源供应链需留意

正面证据包括：官方 Registry 来源、开源仓库可审计、近一年内有更新；这些均降低供应链风险。需留意的是 README 缺失、许可证未声明且社区采用度很低（0 star），会削弱透明度与外部验证强度，因此建议先审源码与依赖后再部署。

安全建议

审计模型: gpt-5.4 · 2026-06-17

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "io.github.CSOAI-ORG/ai-bom-mcp" MCP 服务：
执行：claude mcp add io-github-csoai-org-ai-bom-mcp -- python ai-bom-mcp

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

帮助用户对 AI 应用或模型配置进行自检审计，发现风险与改进点。

帮助团队统一分类AI事故并跟踪欧盟合规上报时限