搵 AI 做安全顧問:Agent 防火牆、防毒軟件、威脅偵測,一個完整的安全對談
Agent Security 點解係一個全新嘅 threat model
傳統資訊安全對應嘅係「人 + 軟件」嘅 threat model:你用 browser 上網,防毒 scan file;你行 executable,endpoint detection 睇行為。但 AI agent 嘅 threat model 完全唔同:
- Agent 唔係你,但有你嘅權限。 Codex 可以直接讀寫你嘅 filesystem、執行 shell、access network。佢係一個擁有 root 權限嘅自動化程式,但佢嘅 decision-making 係由 LLM 驅動——一個出名容易被 prompt injection hijack 嘅系統。
- Tool call 係新嘅攻擊面。 傳統嘅攻擊要你 download 同 execute 一個 binary。而家攻擊者只需要令 agent 嘅 tool call 偏離預期——一個巧妙嘅 prompt injection 就可以令 agent 執行
rm -rf /或者將環境變數 upload 去 attacker 嘅 server。 - Deterministic 嘅安全規則對唔到 probabilistic 嘅 agent。 Allowlist 同 denylist 只能 cover 已知 threat。但 agent 嘅行為空間係連續嘅、語言驅動嘅,唔係 binary file 嗰種有限 signature。
呢個 threat model 嘅獨特性,意味住傳統 security tooling 完全覆蓋唔到。而呢個空白,就係藍海所在。
HOL Guard:Agent 防毒軟件嘅雛形
HOL Guard 係我最近留意到嘅一個 open-source project,319 stars 但 concept 極之有趣。佢嘅定位好直接:AI agent 嘅防毒軟件。
運作方式係 plugin scanner 嘅形式,支援 Codex、Claude Code、Gemini 同 OpenCode。喺 agent 執行任何 tool action 之前 intercept 個 call,然後根據 4 級安全策略(Gentle、Balanced、Strict、Paranoid)決定 allow 定 block。
最關鍵嘅設計係佢有個 local approval center dashboard,唔係一味靠自動規則——畀 developer 睇到每個被 block 嘅 tool call,理解點解被 block,然後手動 approve 或者 adjust policy。佢仲用 HMAC + receipt 記錄所有決策,形成 audit trail。
呢個 product 嘅 insight 係:Agent 安全唔可以係全部自動化,亦唔可以係全部手動。 你需要一個中間層——一個可以學習你嘅開發習慣、理解你嘅 project context、但又唔會喺每次 tool call 都煩住你嘅 system。
但 HOL Guard 只係第一步。佢解決咗「執行前檢查」呢個環節,但 agent security 嘅全貌遠遠不止於此。
BitRouter:Agent Firewall 嘅基礎設施視角
BitRouter 行嘅係另一條路。佢用 Rust 寫咗一個 proxy,專門俾 autonomous agent 做 unified model & tool routing。除咗 multi-provider routing(OpenAI、Anthropic、Google、custom models)之外,佢最引人注意嘅係 agent firewall 功能——inspect、warn、redact、block 四個層級嘅干預。
BitRouter 嘅架構思維同 HOL Guard 唔同:前者係 infrastructure layer,後者係 agent plugin layer。BitRouter 將 security 嵌入 agent 同外界嘅所有通訊之中——唔止 tool call,仲包括 model request、MCP server 嘅 interaction、甚至 agentic payment(402/MPP payment)嘅安全驗證。
如果你將 HOL Guard 理解為 agent 嘅防毒軟件(client-side,執行前掃描),BitRouter 就係 agent 嘅防火牆(network-level,所有進出流量嘅閘道)。兩者互補,但 BitRouter 嘅野心更大——佢想成為 agent 世界嘅基礎設施協定層,而 security 只係其中一塊拼圖。
我見到嘅市場機會
呢個領域仲處於好早期嘅階段。以下係我認為最值得關注嘅機會點:
第一,Agent EDR(Endpoint Detection and Response)仲未有人做。 HOL Guard 做 pre-execution,BitRouter 做 in-transit inspection,但 agent 執行期間嘅 anomaly detection——例如 detect 到 agent 嘅 tool call pattern 突然同平時唔同、access 咗平時唔會 access 嘅 sensitive file、或者 output 突然包含 credential——呢個領域完全空白。
第二,Agent SOC 工具係另一個 gap。 如果你 manage 緊 10 個、100 個、甚至 1000 個 agent,你要點樣 unified 咁睇住佢哋嘅安全狀態?每個 agent 嘅 audit log、每個 tool call 嘅 risk score、每個 prompt injection attempt 嘅 timeline——呢啲嘢傳統 SIEM 做唔到,因為佢哋唔理解 agent 嘅 semantic context。
第三,Agent Security 嘅 distribution channel 同 traditional security 完全唔同。 傳統 security tool 嘅買家係 CISO。但 agent security 嘅買家係 developer——你唔需要說服 management,你只需要一個 VSCode extension、一個 CLI plugin、一個 pre-commit hook。呢個 distribution 優勢意味住 product-led growth 喺呢個市場特別有效。
如果你係 developer,而家就應該開始留意 agent 執行緊咩命令。裝個 HOL Guard 試下,或者睇下 BitRouter 嘅 agent firewall 點運作。如果你係創業者,agent security 係一個 timing perfect 嘅藍海——需求存在、解決方案真空、distribution 路徑清晰。
唔好等第一個大規模嘅 agent supply chain attack 發生先開始諗安全。到嗰時,已經太遲。