AI应用自动安全测试
Perfai Security 定位为面向 AI-built apps 的自主式、agentic 应用安全平台。它不是传统按计划运行的扫描器,而是让代理持续学习应用的业务流程、角色、认证和数据访问方式,再像攻击者一样验证业务逻辑、访问控制和提示词注入等缺陷,并在确认影响后提交修复 Pull Request。
其防护重点覆盖 70+ AI-native 威胁类别,包括 BOLA / IDOR、broken access control、business-logic abuse、SSRF、broken auth、prompt-injection、RAG poisoning / abuse 以及 OWASP Top 10。较有价值的是“证明可利用”机制:平台强调先确认可达性和影响,再产生发现,有助于减少仅靠规则扫描带来的噪声。自动修复也是核心能力,可向 GitHub 开 PR,或推送到 Cursor、Claude Code、GitHub Copilot、Replit、Windsurf 等工具。
正文显示其适合由 Cursor、Bolt、v0、Replit、Windsurf、Claude Code、GitHub Copilot、Devin、Codeium、Aider、StackBlitz、Vercel v0 等工具构建的应用。企业 / MSSP 方案支持多租户门户、私有部署、自定义 SLA 和内部应用 broker。管理侧包括持续自主测试、无限复测、合规就绪报告等,但未披露告警渠道、权限模型、审计日志和数据保留策略。
定价较清晰:Explorer 免费,适合单应用试用,宣称 20 分钟内给出首批发现;Protect 起价 560 美元/月,面向线上应用持续防护;Growth 起价 1,120 美元/月,增加合规就绪报告和高级覆盖;Enterprise / MSSP 定制。对商业团队来说,若自动修复和真实利用验证能减少人工渗透与返工,性价比有潜力;但对个人开发者或早期小团队,付费档门槛不低。
优点是高度贴合 AI 生成应用的安全风险,覆盖 prompt injection、RAG 滥用等新型场景,并尝试打通发现、验证、修复、复测闭环。缺点是公开资料未说明 SOC 2、ISO 27001 等合规认证,也缺少支付方式、中国访问、支持响应、数据驻留等企业采购常见信息。它更适合快速使用 AI coding 工具交付产品的 SaaS 团队、成长型研发组织、安全团队和 MSSP。
正文未提供中国大陆访问、支付或本地化支持信息,因此中国访问状态只能标记为未知。若依赖 GitHub、Claude、Cursor 等外部工具链,实际使用可能受网络环境和账号体系影响。国内团队可在采购前验证访问稳定性、付款方式、数据出境要求,并结合本地代码审计、DAST/SAST、API 安全测试和人工渗透作为替代或补充。
本测评基于公开资料整理,不构成购买建议,请以 perfai.ai 官网实际信息为准。
面向AI生成应用,能自动找漏洞并提交修复PR。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。