$ loading_
为 A2A 调用生成防篡改签名审计日志,追踪工具调用、交接与决策
该 MCP 材料显示其主要用途是为 A2A 调用生成带哈希链和 HMAC 签名的审计日志;未声明需要密钥或远程连接,整体未见明显高风险红旗。需注意其具备本机执行能力,且审计日志通常意味着会在本地持久化记录,另外项目虽开源但社区采用和维护信号较弱。
材料明确写明“需要的密钥/环境变量:无”。虽描述提到 HMAC 签名,但未声明需用户提供外部 token、API key 或其他敏感凭证;基于现有材料,凭证暴露与滥用面较低。
材料列明“远程端点 host:无”,描述中也未出现上传日志、遥测回传或第三方 API 集成信息。按现有事实,未见明确的网络外发路径或将用户数据传给外部服务的迹象。
系统检查项明确标注为“executes-code”,说明该 MCP 具备本机执行代码/进程的常规工具能力。仅凭当前材料未见其申请异常系统权限或执行与“审计记录”无关的高危操作,因此评为需留意而非高风险。
从“audit log”“tamper-evident signed record”可合理推断其会在本地生成或写入审计记录,可能涉及保存工具调用、agent handoff、decision 等内容。材料未说明具体读写路径、保留范围和最小化策略,因此需关注日志中是否包含敏感内容,但暂未见明显过度授权证据。
正面因素是该项目开源、可审计并采用 MIT 许可证,这明显降低了供应链风险;但来源为 third_party_registry,社区采用仅 0 star,维护状态未知,README 也缺失,审计证据较薄弱。综合看更适合评为需留意,而非高风险。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"Agent Audit Logger MCP" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
请为我的 A2A 工作流接入 Agent Audit Logger MCP,记录每次工具调用、代理交接和关键决策,并为每条记录生成带哈希链的 HMAC 签名审计日志。
一套完整的审计记录,包含事件时间、调用主体、事件类型、签名与链式校验信息。
请读取最近 24 小时的代理审计日志,找出失败调用、异常交接和缺失签名的记录,并按风险等级汇总。
一份异常审计报告,列出可疑事件、影响范围及需要进一步核查的记录。
请校验这批审计日志的哈希链连续性和 HMAC 签名有效性,并指出任何可能被篡改或缺失的记录。
一份完整性校验结果,说明日志是否可信,并标记断链或签名无效的位置。
帮助团队扫描AI代理的凭证、注入与可达性风险,快速审计权限访问。