AI Agent 的风险在回答变成动作之前
过去一年,很多团队把 AI 从聊天框搬进了真实工作流: 编码 Agent 可以执行 shell、安装依赖、改代码; 企业知识库 Agent 可以调用 HTTP、数据库、工单、CRM、办公 webhook;MCP / 插件 让工具越来越多。
当模型输出还只是文本时,风险通常还停在屏幕上。当这段文本变成
pip install、curl | sh、HTTP POST、MCP tool call、数据库写入时,
风险就进入了企业动作边界。
它不替你判断模型是否聪明,也不试图做完整的大模型安全网关。它只站在 Agent 动作执行之前, 用确定性策略判断这个动作能不能执行、目的地是否批准、工具定义是否漂移、审计证据是否脱敏。
API 路由投毒:重点是执行前阻断
这个演示故意保持简单:上游 API 路由、网关或模型输出建议安装一个包,
包名从 requests 被替换成 reqursts。Agent 准备执行安装时,BeforeWire 在动作执行前拒绝。
PYTHONPATH=src .venv/bin/python examples/cn-relay-poisoning-demo/run.py敏感信息外发,判断的是动作上下文
这个演示展示 Agent 准备向未批准的办公 webhook 发送 API key、中国手机号和身份证号。 BeforeWire 拒绝这次出站动作,并在审计里只保留敏感类型、目的地域名、裁决原因、脱敏证据和哈希链验证结果。
PYTHONPATH=src .venv/bin/python examples/cn-sensitive-egress-demo/run.pyMCP 工具审批,不是一次批准永久有效
这个演示展示 MCP 工具定义漂移。安全团队批准过一个工具定义,后续描述、参数结构或示例发生变化, BeforeWire 发现快照哈希不一致,要求重新审批。
PYTHONPATH=src .venv/bin/python examples/cn-mcp-drift-demo/run.py为什么要本地优先
Agent 审计日志可能包含客户数据、内部 URL、工具参数和错误栈。企业未必允许把 Agent trace 上传给第三方。 BeforeWire 因此默认本地筛查、本地审计、证据脱敏,并用 哈希链 验证每条裁决记录 是否被篡改。
我们暂时不做什么
- 不做中转站红黑榜。
- 不作为通用数据防泄漏平台。
- 不做 Web 控制台、组织管理和账单。
- 不做"自动满足备案 / 等保 / 密评"的营销承诺。
影子审计
如果你正在内部试点 Dify、FastGPT、MaxKB、RAGFlow、MCP、Claude Code、Cursor 或其他 Agent 运行环境, 我们希望和 3 到 5 个团队做一次影子审计。