AI Agent 的风险在回答变成动作之前
过去一年,很多团队把 AI 从聊天框带进真实工作流:编码 Agent 可以执行 shell、安装依赖、改代码; 企业知识库 Agent 可以调用 HTTP、数据库、工单、CRM、办公 webhook;MCP 和插件让工具越来越多。
当模型输出还只是文本时,风险通常还停在屏幕上。当这段文本变成
pip install、curl | sh、HTTP POST、MCP 工具调用、数据库写入时,
风险就进入了企业动作边界。
它不替你判断模型是否聪明,也不试图做完整的大模型安全网关。它只站在 Agent 动作执行之前, 用确定性策略判断这个动作能不能执行、目的地是否批准、工具定义是否漂移、审计证据是否脱敏, 并为每次放行、告警或拒绝生成可复核动作回执。
从权限弹窗到动作回执
只靠人工审批权限弹窗(human-in-the-loop permission prompt)会遇到两个极端:弹窗太多,用户会习惯性批准; 完全自动放行(yolo)又会把 shell、网络、MCP、webhook、文件以及可能触达密钥的权限直接交给 Agent。
BeforeWire 选择第三条路:不是更多弹窗,也不是无边界自动执行,而是在本地策略边界内允许 Agent 工作。 高风险动作在执行前被裁决,裁决之后留下回执:动作是什么、哪条策略命中、为什么放行或拒绝、 工具定义是否漂移、证据是否脱敏、哈希链是否可验证。
API 路由投毒:重点是执行前阻断
这个演示故意保持简单:上游 API 路由、网关或模型输出建议安装一个包,
包名从 requests 被替换成 reqursts。Agent 准备执行安装时,BeforeWire 在动作执行前拒绝。
PYTHONPATH=src .venv/bin/python examples/cn-relay-poisoning-demo/run.py敏感信息外发,判断的是动作上下文
这个演示展示 Agent 准备向未批准的办公 webhook 发送 API key、中国手机号和身份证号。 BeforeWire 拒绝这次出站动作,并在审计里只保留敏感类型、目的地域名、裁决原因、脱敏证据和哈希链验证结果。
PYTHONPATH=src .venv/bin/python examples/cn-sensitive-egress-demo/run.pyMCP 工具审批,不是一次批准永久有效
这个演示展示 MCP 工具定义漂移。安全团队批准过一个工具定义,后续描述、参数结构或示例发生变化, BeforeWire 发现快照哈希不一致,要求重新审批。
这不是普通扫描报告,而是 MCP 清单漂移回执:基线哈希、当前哈希、变更字段、 风险能力和重审要求都可以被放进上线评审或 PR / CI 证据材料。
PYTHONPATH=src .venv/bin/python examples/cn-mcp-drift-demo/run.py为什么要本地优先
Agent 审计日志可能包含客户数据、内部 URL、工具参数和错误栈。企业未必允许把 Agent 执行轨迹(trace)上传给第三方。 BeforeWire 因此默认本地筛查、本地审计、证据脱敏,并用哈希链验证每条裁决记录是否被篡改。
我们暂时不做什么
- 不做中转站红黑榜。
- 不作为通用数据防泄漏平台。
- 不做 Web 控制台、组织管理和账单。
- 不做“自动满足备案 / 等保 / 密评”的营销承诺。
证据评审
如果你正在试点 Agent 运行环境,可以使用脱敏后的工具配置、执行轨迹(trace)或 MCP 配置来评审动作边界。