文章总结: JoySafeter是京东开源的企业级安全Agent开发平台,旨在将安全工具与专家经验结合成协同的AI军团。它具备两种工作模式:快速模式下可通过自然语言描述任务;深度模式则支持可视化构建复杂工作流。平台预置了超过200个安全工具和21个专业技能,并通过DeepAgents多智能体协作模式处理复杂任务。同时,它集成了OpenClaw安全沙箱以确保执行安全,并提供全链路可观测性。该平台基于Apache2.0协议开源,旨在革新安全范式,提升安全运营效率。 综合评分: 90 文章分类: AI安全,安全工具,渗透测试,WEB安全,移动安全
JoySafeter上手指南:一句话搭建安全智能体
原创
JSRC JSRC
京东安全应急响应中心
2026年3月20日 19:01 北京
什么是 JoySafeter?
JoySafeter是一个企业级 安全 Agent 开发平台,核心理念是:把割裂的安全工具统合为协同的 AI 军团,把个人的专家经验沉淀为组织的数字资产。官方将其定义为安全能力的「操作系统」,也是行业内率先落地AISecOps(AI 驱动安全运营)范式的开源项目。
项目由京东开源,基于 Apache 2.0 协议,GitHub 地址:https://github.com/jd-opensource/JoySafeter
核心功能一览
1
两种工作模式
- 快速模式(Rapid Mode)用自然语言描述你的安全任务,系统自动编排 Agent 团队,分钟级生成可运行的工作流。适合快速验证想法、处理常规任务。
- 深度模式(Deep Mode)可视化工作流构建器 + 实时调试 + 全链路追踪。支持循环、条件分支、并行执行等复杂控制流,适合需要持续迭代的安全研究场景。
2
200+ 预集成安全工具
- 侦察与扫描:Nmap、Masscan、Subfinder、Amass、httpx
- 漏洞检测:Nuclei、Nikto、Trivy
- Web 测试:SQLMap、Dalfox、Katana
- 移动安全:MobSF、Frida、Objection
- 渗透测试:Burp Suite 集成、自定义 exploit 脚本
3
21 个专业安全技能(Skills)
Skills 是 JoySafeter 的核心资产单元,每个 Skill 是一组真实可执行的文件(Python/Shell 脚本 + 描述文档),可以被 Agent 直接调用。
平台预置了覆盖主流场景的 21 个渗透测试技能:
| | | | — | — | | 类别 | 技能 | | Web 安全 | OWASP Top 10、API 安全、HTTP 走私 | | 移动安全 | Android/iOS 安全测试(OWASP Mobile Top 10) | | 网络安全 | 内网渗透、攻击面侦察 | | OSINT | 情报收集、凭据泄露检测 | | 云与基础设施 | 云安全评估、配置加固 | | 代码审计 | 白盒代码安全审查 | | AI 安全 | LLM 安全测试 | | CTF | 二进制利用、密码学、数字取证 |
4
DeepAgents 多智能体协作
对于复杂任务,单个 Agent 往往力不从心。JoySafeter 的 DeepAgents 模式采用Manager-Worker 星型拓扑:
- 一个 Manager Agent 负责理解任务、动态分派子任务
- 多个 Worker Agent 各司其职,并行执行
- Manager 汇总所有结果,输出最终报告
这套机制让平台能处理真实渗透测试中的复杂场景——比如同时进行 Web 扫描、流量分析、漏洞验证,最后自动生成报告。
5
OpenClaw安全沙箱
所有代码执行都在隔离的 Docker 容器内进行,每个用户拥有独立的沙盒实例,彻底防止跨用户状态泄露。Skills 文件通过严格的「存储 → 投递 → 消费」管线落盘到沙盒,安全可审计。详见:
JoySafeter的加固版OpenClaw来了!
6
全链路可观测性
集成 Langfuse 追踪,每一步 Agent 决策、工具调用、状态流转都有完整记录,支持实时流式输出,让 Agent 的「思维过程」完全透明。更多介绍详见:
JoySafeter重磅开源:开启AI驱动安全(AISecOps)新范式
快速上手
环境要求
- Docker + Docker Compose(推荐)
- 或 Python 3.12+ 与 Node.js 20+(本地开发)
一键启动
git clone https://github.com/jd-opensource/JoySafeter.gitcd JoySafeter./deploy/quick-start.sh
启动后访问:
| | | | — | — | | 服务 | 地址 | | 前端界面 | http://localhost:3000 | | 后端 API | http://localhost:8000 | | API 文档 | http://localhost:8000/docs |
第一步:配置模型
进入系统后,首先需要配置大模型。JoySafeter 支持三类接入方式:
- 内置供应商:OpenAI、Anthropic 等,填入 API Key 即可
- OpenAI 兼容接口:接入 DeepSeek、Qwen、本地 Ollama 等
- 自定义端点:任意符合 OpenAI 协议的私有部署服务
路径:左侧导航 → 模型配置 → 添加供应商 → 填写 API Key → 验证 → 设为默认
第二步:导入或创建技能
技能是 Agent 的「武器库」。你可以:
- 直接使用平台预置的 21 个安全技能
- 从技能大厅导入社区共享的技能包(.zip 格式)
- 自己编写 SKILL.md + Python/Shell 脚本,打包上传
导入后记得在 OpenClaw 面板点击「同步技能」,将文件真正落盘到沙盒容器。
第三步:构建你的 Agent 工作流
方式一:自然语言(快速模式)
在对话框输入你的任务描述,Copilot 会自动帮你生成工作流图,直接运行即可。
方式二:可视化拖拽(深度模式)
进入 AgentBuilder,从节点面板拖入所需节点类型:
- Agent 节点:LLM 驱动的推理节点,可挂载 Skills 和 MCP 工具
- 条件节点:根据输出结果走不同分支
- 工具节点:直接调用安全工具
- 循环节点:支持迭代扫描等场景
- 聚合节点:收集并行任务的结果
配置好节点的 System Prompt 和工具挂载,连线,运行。
案例演示
案例一:APK 漏洞检测智能体
这个案例展示了如何在JoySafeter 上使用内置APK安全检测智能体的流程。
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
京东安全应急响应中心已关注
分享视频
,时长02:31
0/0
00:00/02:31
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
02:31
02:31
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
JoySafeter上手指南:一句话搭建安全智能体
观看更多
原创
,
JoySafeter上手指南:一句话搭建安全智能体
京东安全应急响应中心已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
使用步骤:
- 用户上传 APK 文件
- Agent 调用 MobSF 进行静态分析
- 提取关键风险点(权限滥用、硬编码密钥、不安全的网络配置等)
- 对高危项进行深度验证(Frida 动态插桩)
- 自动生成符合 OWASP Mobile Top 10 格式的检测报告
整个流程从上传到出报告,无需人工干预,覆盖了传统需要 2-3 名安全工程师协作完成的工作量。
案例二:渗透测试智能体
这个案例展示了如何快速构建基于DeepAgents 模式渗透测试智能体。
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
京东安全应急响应中心已关注
分享视频
,时长03:21
0/0
00:00/03:21
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
03:21
03:21
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
JoySafeter上手指南:一句话搭建安全智能体
观看更多
原创
,
JoySafeter上手指南:一句话搭建安全智能体
京东安全应急响应中心已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
操作流程
- 进入工作台:进入工作台页面
- 创建智能体:添加Agent组件->打开DeepAgents模式->选择渗透测试相关的skills
- 运行我的智能体:给出经过授权的网站地址和测试要求
- 获取报告:智能体运行结束即可获得报告,并且可以下载该报告
备注:需在沙箱-设置管理里选择swr.cn-north-4.myhuaweicloud.com/ddn-k8s/ghcr.io/jd-opensource/joysafeter-sandbox:latest这个沙箱。
智能体会根据侦察结果动态决定下一步,例如如果发现了登录页面,自动触发认证绕过测试。这种动态决策能力是传统固定脚本无法实现的。
快速开始
JoySafeter不仅仅是工具的效率提升,更是安全范式的革新。它将安全专家从重复、琐碎的手动操作中解放出来,专注于更高层次的战略决策与攻防对抗,同时将宝贵的经验固化、传承与放大。
我们诚邀所有安全研究者、开发者和工程师加入,共同塑造AI驱动安全的未来。
开源项目链接:https://github.com/jd-opensource/JoySafeter.git
欢迎扫码加入JoySafeter用户交流群
加入我们
AI安全正在招募各路英雄,欢迎加入崇尚技术创新、用技术守护互联网安全的我们。
简历发送:[email protected]
邮件主题和简历附件名称请备注
“岗位名称-姓名”
诚邀你的加入
Agent资深研发工程师
大模型安全运营
算法工程师
AI安全工程师
大数据研发工程师
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:京东安全应急响应中心 JSRC JSRC《JoySafeter上手指南:一句话搭建安全智能体》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论