AI Agent 正在从工具演化为执行主体,而安全模型却仍停留在权限与资源层面。真正的风险不在资源访问,而在“意图生成与路径漂移”。本文通过 cgroup + TProxy + TLS SNI 的出口流控实验,分享一种可能的安全增强路径。未来的安全市场,或将围绕“Intent Security”重构,AI Agent 的普及,也许正是下一个安全产业周期的起点。
引
在 《AI 焦虑:从 OpenClaw 到黑客帝国 Agent Smith》 中,我们探讨了 AI Agent 能力的演进,以及由此带来的技术焦虑。
但焦虑只是表象。真正值得思考的问题是:
当 AI Agent 开始替人类执行真实世界的操作时,现有安全体系是否已经准备好?
如果答案是否定的,那么一个新的安全市场几乎是必然出现的。
可以预见,类似 OpenClaw 这样的个人 AI Agent 软件,在不远的将来,会像 1990~2000 年代的 PC 软件一样快速普及。它可能运行在 PC、本地服务器,甚至移动设备之上。
而历史反复证明:
每一次能力跃迁,都会伴随风险跃迁。
这已经不再是 Apple Siri、Google Assistant 或米家小爱同学那种“语音助手”。 这是具备执行能力、组合能力、甚至自我规划能力的系统。
能力越强,攻击面越大。
历史不会重复,但或会押韵
1990 年代,PC 软件进入爆发期。
我大约在 1995 年开始接触 PC。那是一个“功能优先”的时代。人们到处下载程序、交换软盘、安装未知来源的软件。直到病毒爆发。
1996 年,中国 KV100 杀毒软件发布;
1998 年 CIH 让人第一次意识到 BIOS 都可以被破坏;
2000 年 ILOVEYOU 让病毒进入互联网传播阶段;
2003 年 SQL Slammer 证明网络可以在几分钟内被席卷;
2017 年 WannaCry 让勒索软件成为全球事件。
历史规律非常清晰:
每一次执行能力的放大,都会带来攻击能力的指数级放大。
AI Agent,正处在“执行能力放大”的起点。
风险
AI Agent 改变了安全的基本假设
传统安全体系建立在一个默认前提之上:
人类发起操作,程序按照预定义逻辑执行。
而 AI Agent 时代,结构发生了反转:
人类描述目标
Agent 生成执行路径
系统完成具体操作
安全对象从:
- 文件
- 进程
- 端口
- API
转变为:
意图(Intent)
这不是概念上的修辞,而是安全边界的本质变化。
当 Agent 可以:
- 自主生成 shell 命令
- 自动访问外部网络
- 批量操作 SaaS
- 组合多步执行链
问题不再是“它是否有权限”,而是:
它是否理解正确?
是否被 Prompt 注入误导?
是否在目标漂移中越界执行?
Sandbox 不是终点
开发者已经意识到 Agent 需要被限制,因此 sandbox / container 成为常见设计。本地运行时隔离当然是必要手段之一,但问题远未结束。
系统层面:
-
对外网络连接的 L3/L7 层的控制
-
如何追踪和事后的审计每一次网络请求与本地命令的“意图来源”?
用户权限层面:
- Agent 的身份。
聊天作为主界面后, Agent 以什么身份授权操作?是操作的人类用户的全部权限? - 权限 RBAC 控制粒度不足。
Agent 有近乎人类的定制能力。以前的权限 RBAC 控制粒度,已经不能很好地识别和控制 high level 级别的实际意图。
用接地气的说法是,有太多方法可以 workaround 实现权限逃脱的目标了。 - 信息源的信任危机。
当我们类比 Agent 是个忠诚的秘书,那么,这个秘书怎么筛选来自互联网的信息?
但这些机制控制的是“资源访问”, 而不是“目标漂移”。
举例:
“帮我优化服务器性能”
这个高层语义目标,可以拆解为无数种低层执行路径。
传统 RBAC 无法判断:
- 这是合理优化
- 还是过度操作
- 还是被 Prompt 注入后的恶意行为
这意味着:
我们缺少的是“执行路径可控层”,而不是更多权限规则。
而这一切的不同,源于 Agent 的一个特点:
Agent 的执行链是动态生成的。动态系统,必须配套动态安全层。
如果 PC 时代的安全产品保护的是 “文件系统”, 那么 AI Agent 时代的安全产品,保护的将是 “意图系统”。
这将是安全范式的一次迁移。
风险即机会
“The pessimist sees difficulty in every opportunity.
The optimist sees opportunity in every difficulty.”—— Winston Churchill
每一次技术跃迁,都伴随安全市场的重构。
PC 带来了防病毒产业。
互联网带来了防火墙与 IDS。
移动互联网带来了移动安全与应用市场审计。
AI Agent,会带来什么?
网络流控 PoC
下面是一个 PoC 级别的实验。
核心目标:
让 AI Agent 的出口流量可标记、可分流、可审计。
技术路径:
- 利用 cgroup v2 精准标记特定 service 流量
- 通过 TProxy 重定向 TCP outbound
- 在 TLS/HTTPS 层基于 SNI 识别域名
- 根据域名执行策略路由或拦截
本例以 TLS/HTTPS 层出口流量控制为例,演示基于域名的策略路由与拦截。
我尝试部署一个 egress 控制网关,支持策略化选择 TLS/HTTPS 层流量的互联网出口。
+----------------------------------+
| +------------------+ | +-------------+
| | | | | |
| | OpenClaw | | TProxy | |
| | | +-------->| Proxy |
| ++-----------------+ | | |
| | | | |
| | +-------------------------+ | ++----+-------+
| +-+ child processes: | | | |
| | | | | |
| | bash commands: curl/...| | | |
| | browser: Chrome/... | | | |
| | | | | |
| +-------------------------+ | | |
| | | |
| Linux service cgroupv2 | | |
+----------------------------------+ | |
| |
v |
+-----------+ |
| Internet 1| |
+-----------+ |
|
+-----------+ |
| Internet 2|<-+
+-----------+
TProxy 流量
我们知道,每个 Linux service 都运行在独立的 cgroup v2 层级中。
➜ $ systemctl --user status openclaw-gateway.service
● openclaw-gateway.service - OpenClaw Gateway (v2026.2.22-2)
Loaded: loaded (/home/mark/.config/systemd/user/openclaw-gateway.service; enabled; preset: enabled)
Drop-In: /home/mark/.config/systemd/user/openclaw-gateway.service.d
└─override.conf
Active: active (running) since Tue 2026-02-24 16:06:19 HKT; 8s ago
Main PID: 87270 (openclaw-gatewa)
CGroup: /user.slice/user-1000.slice/user@1000.service/app.slice/openclaw-gateway.service
└─87270 openclaw-gateway
而每个 cgroup v2 可以设置自己的 tcp outbound TProxy 规则。
通过 nftables + policy routing + TProxy,可以实现:
- 精准标记某个 service 的 TCP 流量
- 将其透明重定向到本地 Proxy
- 由 Proxy 进行 SNI 级别识别与策略控制
这种方式的优势在于:
- 不需要修改 Agent 代码
- 不侵入业务逻辑
- 可作为系统级安全增强层
|
|
流量路由
通过支持 TLS SNI 感知能力的 Proxy(如具备 sniffing 能力的开源 proxy),可以实现:
- 基于域名分流
- 黑白名单拦截
- 多出口策略
- 审计记录
如果未来策略配置由一个“治理 Agent”动态维护,
那么就形成了一个闭环:
- Agent 执行
- 安全 Agent 监管
- 策略可动态演化
这本质上,是“Agent 之间的博弈系统”。
|
|
