AI 应用合规网关
一行命令,查清你踩了哪些红线
为中国监管而生的 AI Agent 安全合规工具。网安法 2026 · PIPL · 等保2.0 · 数据出境 · AI标识,30 秒出一张红黄绿体检报告。
$ npx shellward scan
问题:你的 AI 项目可能正在违规
2026 年 1 月 1 日,修订版《网络安全法》生效,罚款上限提到 1000 万,新增"责令关闭 App"。
几乎每个国产 AI 应用都在调 OpenAI / Claude / Gemini。但只要你把用户的身份证号、手机号、对话内容发给境外大模型,在中国监管下这就是数据出境——敏感个人信息 1 万人即触发安全评估,重要数据一律不得无评估出境。2026 年已有 API 中转站站长因此被刑拘。
问题是:你的项目,现在到底踩了哪些线?
问题是:你的项目,现在到底踩了哪些线?
30 秒,精确到「文件:行」
零安装、只读、不上传任何数据。一行命令,给你一张可截图、可存档的体检报告。
## 🔍 项目实测风险
🌐 数据出境风险: 2 | 🔑 硬编码密钥: 3 | 🪪 个人信息暴露: 2 | 📂 .env 权限: 1
- .env:2 境外大模型端点: OpenAI — 向其发送个人信息即构成数据出境
- package.json:12 境外大模型 SDK 依赖: @anthropic-ai/sdk — 项目内含出境通道
- src/config.ts:3 硬编码 GitHub Token: ghp_12*** — 凭据不应写入源码
- customers.csv:2 手机号 13912*** — 个人信息出现在文件中,需评估脱敏
合规得分: 63/100 [C] 🟢 8 | 🟡 3 | 🔴 1 | ⚪ 2
不止诊断,还给处方
扫到境外模型后,直接告诉你换成哪个境内已备案模型——多数是 OpenAI 兼容接口,改个 base_url 就合规。
| 境内模型 | 厂商 | OpenAI 兼容 base_url |
|---|---|---|
| 通义千问 | 阿里云百炼 | dashscope.aliyuncs.com/compatible-mode/v1 |
| DeepSeek | 深度求索 | api.deepseek.com |
| Kimi | 月之暗面 | api.moonshot.cn/v1 |
| 智谱 GLM | 智谱 AI | open.bigmodel.cn/api/paas/v4 |
能力
🌐 数据出境检测
识别境外大模型端点与 SDK 依赖(openai/anthropic/gemini…)——中国独有、英文工具没有的概念。
🪪 中文 PII
身份证(GB11643 校验)、银行卡(Luhn)、运营商手机号,配合 PIPL 敏感个人信息识别。
📋 合规评分卡
映射网安法/PIPL/等保2.0/数据出境/AI标识,红黄绿评分,发现驱动。
📄 报告导出
--html 生成可打印成 PDF 的专业报告,供等保/PIPL 备案与审计存档。
🔒 运行时防护
MCP / 插件 / SDK 接入,拦截提示注入、危险命令、数据外泄与 MCP 工具投毒。
⚙️ CI 门禁
GitHub Action 一行接入,PR 自动合规扫描,发现 critical 直接拦构建。
为什么可以放心用
零上传
纯本地只读,代码不出本机零依赖
可在信创/私有化/离线环境直接跑开源
Apache-2.0,代码全公开中文优先
为中文语境与中国监管而生三种用法 · 复制即用
零安装、零依赖。私有代码全程不出本机。
① 命令行体检
在项目根目录跑一行,终端直接出红黄绿评分卡。
npx shellward scan② 图形界面(推荐 · 不用命令行)
一行命令自动打开浏览器界面,上传或点选项目文件夹即可体检,扫完可返回再扫下一个。私有代码不出本机。
npx shellward web --local③ 在线 / CI
公开仓库可部署成网页贴 URL 体检(见 Dockerfile);或用 GitHub Action 在 PR 自动门禁。
npx shellward scan --ci💡 想先看效果?图形界面里有「▶ 含风险示例」一键演示。