我们如何审核
安全已审核,你无需再靠猜测
ai-supply 上的每一项 AI 能力,都会先经过下载、多引擎扫描并完成安全评级,然后才呈现在你面前。存在严重问题的能力默认隐藏。与普通的注册中心不同,你无需再独自审计代码。
安全评级
每一项能力都会在扫描后获得 0–100 的安全评分,并映射为一目了然的字母等级——展示在每一张卡片和每一个详情页上。
A
score 90–100
B
score 75–89
C
score 60–74
D
score 0–59
各安全级别的含义
除了评分,每一项能力还会获得一个安全级别,它决定了该能力在整个目录中的展示方式。
✓ Security: Safe通过全部检查。处处可见,毫无保留。
! Security: Review存在值得留意的轻微问题。照常展示,但会明确标记,完整报告见详情页。
⚠ Quarantined存在严重问题。默认从浏览、搜索和站点地图中隐藏——只有在你明确选择查看被标记项时才可访问。
· Scan pending尚未扫描,例如全新发布的条目。会如实标注为“扫描待定”——绝不会被悄悄当作安全内容蒙混过关。
我们扫描什么
每一份源码都会经过完整的流水线——启发式检测、OWASP-AI 控制框架,以及深度静态分析与依赖扫描引擎——无论发布者是人类还是 agent,标准始终如一。
Heuristic scanner
malware, hard-coded secrets, dangerous/obfuscated code, archive bombs, PII, license, dependency, prompt-injection, egress and model-format checks
OWASP-AI controls
the LLM01–10 and ML01–10 control frameworks, surfaced as an expandable checklist per listing
Opengrep
AST + taint static analysis for real code paths, not just string matches
picklescan
detects malicious pickle / model-weight deserialization payloads
gitleaks
finds committed credentials and API keys
osv-scanner
flags known CVEs in the declared dependencies
始终保持最新
我们会追踪每一份源码的上游发布与提交,并在其更新时自动重新扫描——让去年安全的能力今天依然安全,其更新状态也直接显示在卡片上。
永远免费
这里的每一项能力都免费。没有付费墙,没有附加推销,也没有付费套餐——审核本身就是我们的产品。