AUTHENSOR/AUTHENSOR

Authensor
免费的 AI 安全技术栈。前沿对抗性红队评估。

在 168 个 AI/ML 代码库中发现 350+ 已验证的漏洞。126 份负责任的漏洞披露。发现了两类新型漏洞。

为什么两者都需要 · 立即体验 · 红队评估 · 架构 · 软件包 · OWASP · EU AI Act

## 同一问题的两面 大多数 AI 安全工具要么用于防御，要么用于攻击。而 Authensor 两者兼备。 **免费的安全技术栈。** 开源、采用 MIT 许可证、支持私有化部署。包含策略引擎、内容扫描器、行为监控器、加密审计追踪和审批工作流。部署它，保护你的智能体，完全免费。 **前沿的对抗性红队评估。** 自动化、大规模的安全测试。针对你的智能体、MCP 服务器和安全基础设施，发起数以千计的多步骤攻击链。我们抢在其他人之前将其攻破。 我们免费提供防御工具，因为安全工具不应被付费墙所阻挡。我们出售攻击测试服务，因为在系统部署*之后*才发现其崩溃的代价更加高昂。 ### 往期战绩 - **已审计 168+ 个代码库**，覆盖 NVIDIA、Microsoft、Meta、Google、HuggingFace、OpenAI 以及其他 50+ 家组织 - **350+ 已验证漏洞**，准备了 126 份负责任的漏洞披露报告，正在协调披露中 - **2 类新型漏洞** —— SafeTensors 绕过（在“安全”模型文件中暗藏 pickle）以及通过允许的库语义进行 AST 沙箱逃逸 - 在 PyTorch core、DeepSpeed、BentoML、TorchServe、Ray、Ollama、vLLM、LangChain、Gradio、NVIDIA Triton 等数十个项目中发现了**关键漏洞** - 安全修复已合并至 UK AISI 的 ControlArena ([PR #798](https://github.com/UKGovernmentBEIS/control-arena/pull/798)) - 发现 NVIDIA 的 NeMo Guardrails 通过 `pickle.load()` 加载其越狱分类器 - 发现 Microsoft AI 红队工具 中的 SQL 注入漏洞 那些为保障 AI 安全而构建的系统本身也存在漏洞。我们专门负责找出它们。 ## 在 30 秒内体验 ``` npx @authensor/create-authensor my-agent cd my-agent && npm install && npm run demo ``` 该演示运行一个智能体，它会尝试破坏性的文件操作、未授权的 API 调用和数据渗出。Authensor 会通过策略执行、内容扫描和审批工作流逐一拦截这些行为。 ### 一键部署 [](https://railway.com/template/authensor) [](https://render.com/deploy) ## 免费的安全技术栈 以下所有内容均为开源、支持私有化部署且采用 MIT 许可证。无按使用量计费。无企业销售电话。无功能门槛限制。 | 层级 | 功能描述 | 其他平台的定价 | |---|---|---| | **策略引擎** | 操作级别授权、条件判断、速率限制、预算控制 | $0.000025/次请求 (AWS) 或企业合同 | | **Aegis 内容扫描器** | 提示词注入、越狱、PII（个人身份信息）、记忆投毒检测（零依赖） | $10K+/年 (Lakera 等) | | **Sentinel 监控器** | 单智能体行为基线、EWMA/CUSUM 异常检测 | $15K+/年 | | **审批工作流** | 针对高风险操作的人在回路 审批 | 定制开发 ($50K+) | | **加密审计追踪** | 哈希链收据、Sigstore 透明度日志集成 | 定制开发 | | **MCP 工具治理** | 对 MCP 服务器工具调用的策略执行 | 其他平台不存在此功能 | | **8 款框架适配器** | LangChain, OpenAI, CrewAI, Vercel AI, Claude, 原生 TS/Python | 厂商锁定 | 我们将所有这些都开源，因为安全工具不应该有付费墙。部署规范智能体治理的人越多，整个生态系统对所有人来说就越安全。 ## 架构 ``` +---------------------------------------------------------------------+ | Your Agent | | (Claude, GPT, LangChain, CrewAI, Vercel AI, custom, etc.) | +----------------------------------+----------------------------------+ | SDK / MCP / Hook v +---------------------------------------------------------------------+ | Authensor Stack | | | | +------------+ +------------+ +------------+ +--------------+ | | | Aegis |->| Engine |->| Control |->| Sentinel | | | | (content | | (pure | | Plane | | (real-time | | | | safety) | | logic) | | (HTTP API)| | monitoring) | | | +------------+ +------------+ +-----+------+ +--------------+ | | | | | +------------+ +------------+ +-----v------+ +--------------+ | | | SafeClaw | |SpiroGrapher| | Receipts | | Adapters | | | |(local gate)| |(web govern)| |(hash chain)| | (8 adapters) | | | +------------+ +------------+ +------------+ +--------------+ | +---------------------------------------------------------------------+ ``` ### 工作原理 ``` Agent wants to act │ ▼ Action Envelope created (who, what, where, constraints) │ ▼ Aegis scans for injection, jailbreak, PII, memory poisoning │ ▼ Session rules check forbidden sequences + risk threshold │ ▼ Policy engine evaluates conditions, rate limits, budgets │ ▼ Decision: allow | deny | require_approval | rate_limited │ ▼ Receipt created (hash-chained, policy-versioned) │ ▼ Sentinel monitors for anomalies │ ▼ Action executes (or doesn't) → receipt updated ``` ### 五个层级 | 层级 | 软件包 | 功能描述 | 依赖项 | |-------|---------|-------------|--------------| | **策略引擎** | `@authensor/engine` | 会话规则、预算评估、约束执行。纯粹、同步、确定性。 | 0 | | **Aegis 内容扫描器** | `@authensor/aegis` | 15+ 条提示词注入规则，22 条 MINJA 记忆投毒规则，PII/凭证扫描，数据渗出检测，多模态安全。 | 0 | | **Sentinel 行为监控器** | `@authensor/sentinel` | EWMA/CUSUM 基线，拒绝率/延迟/容量异常检测，链深度和扇出警报。 | 0 | | **控制平面** | `@authensor/control-plane` | Hono + PostgreSQL HTTP API。影子/金丝雀评估，TOCTOU 保护，主体绑定，Sigstore/Rekor 集成。 | Hono, pg | | **MCP 网关** | `@authensor/mcp-server` | SEP 授权协议（`authorization/propose`, `authorization/decide`, `authorization/receipt`）。 | -- | ## 软件包 ### 核心 | 软件包 | 描述 | 依赖项 | |---------|-------------|------| | `@authensor/schemas` | JSON Schema 定义 —— 唯一事实来源 | 0 | | `@authensor/engine` | 纯策略评估（条件、会话、预算、约束） | 0 | | `@authensor/aegis` | 内容安全扫描器（注入、越狱、PII、记忆投毒、多模态） | 0 | | `@authensor/sentinel` | 实时监控（EWMA/CUSUM 异常检测、链追踪、警报） | 0 | | `@authensor/control-plane` | HTTP API：评估、收据、审批、策略、预算、影子评估 | Hono, pg | | `@authensor/mcp-server` | 带有策略执行的 MCP 工具 (Stripe, GitHub, HTTP) | -- | | `@authensor/sdk` | 面向智能体开发者的 TypeScript SDK | -- | | `authensor` | CLI：`authensor policy lint`, `authensor policy test`, `authensor policy diff` | -- | | `authensor` (Python) | Python SDK | -- | | `create-authensor` | 项目脚手架：`npx create-authensor` | -- | | `@authensor/redteam` | 对抗性红队测试种子（15 种攻击模式，5 个类别，映射至 MITRE ATLAS） | 0 | ### 框架适配器 | 软件包 | 框架 | 描述 | |---------|-----------|-------------| | `@authensor/langchain` | LangChain / LangGraph | 护栏 + 中断集成 | | `@authensor/openai` | OpenAI Agents SDK | 执行前护栏 | | `@authensor/vercel-ai-sdk` | Vercel AI SDK | 中间件集成 | | `@authensor/claude-agent-sdk` | Claude Agent SDK | 工具使用护栏 | | `@authensor/crewai` | CrewAI | 任务护栏 | | -- | Claude Code | 基于 Hooks 的 PreToolUse / PostToolUse 集成 | | `@authensor/sdk` | TypeScript SDK | 适用于任何 TS 智能体的直接集成 | | `authensor` (Python) | Python SDK | 适用于任何 Python 智能体的直接集成 | ### 配套工具 | 工具 | 描述 | |------|-------------| | [SafeClaw](https://github.com/authensor/safeclaw) | 通过 PreToolUse hooks 实现本地智能体门控，配备移动端 PWA 仪表盘和滑动批准功能 | | [SpiroGrapher](https://github.com/authensor/spirographer) | Web 治理：HTML 到 IR 编译，26 条基本规则，暗黑模式检测 | | [SiteSitter](https://github.com/AUTHENSOR/SiteSitter) | 网站安全监控与治理 | | [Chainbreaker](https://github.com/chainbreaker-ai/chainbreaker) | 针对 AI 智能体的对抗性红队评估 —— 多步攻击链，映射 MITRE ATLAS，15维 CBS (Chainbreaker Behavioral Score) 评分 | ## 快速入门 ### 自行托管 (推荐) ``` git clone https://github.com/authensor/authensor.git cd authensor docker compose up -d # Control plane 运行于 http://localhost:3000 # Admin token 已打印到日志：docker compose logs control-plane ``` 就是这么简单。Postgres 启动，迁移运行，创建引导管理员密钥，并配置一条默认安全（默认拒绝）的策略。Aegis 内容安全和 Sentinel 监控均开箱即用。 ### 添加至任意智能体 ``` import { Authensor } from '@authensor/sdk'; const authensor = new Authensor({ controlPlaneUrl: 'http://localhost:3000', principalId: 'my-agent', }); const result = await authensor.execute( 'stripe.charges.create', 'stripe://customers/cus_123/charges', async () => stripe.charges.create({ amount: 1000, currency: 'usd' }), { constraints: { maxAmount: 10000 } } ); // Receipt created, policy enforced, action audited ``` ### 添加至任意智能体 ``` from authensor import Authensor async with Authensor( control_plane_url="http://localhost:3000", principal_id="my-agent", ) as authensor: result = await authensor.execute( action_type="stripe.charges.create", resource="stripe://customers/cus_123/charges", executor=lambda: create_charge(), constraints={"max_amount": 10000}, ) ``` ### 框架适配器 为主流智能体框架提供的即插即用集成： ``` // LangChain / LangGraph import { AuthensorGuardrail } from '@authensor/langchain'; const guardrail = new AuthensorGuardrail({ controlPlaneUrl: '...' }); // OpenAI Agents SDK import { AuthensorGuardrail } from '@authensor/openai'; // CrewAI import { AuthensorGuardrail } from '@authensor/crewai'; // Vercel AI SDK import { AuthensorGuardrail } from '@authensor/vercel-ai-sdk'; // Claude Agent SDK import { AuthensorGuardrail } from '@authensor/claude-agent-sdk'; // Claude Code (hooks-based integration) // See docs/claude-code-hooks.md ``` ## 为什么选择 Authensor 1. **防御与进攻，同属一个团队。** 安全技术栈是免费的。证明其有效性（或暴露其缺陷）的对抗性测试则是我们的服务。 2. **操作级治理。** 不是简单的提示词过滤。Authensor 评估智能体*做什么*：每一个工具调用、API 请求和副作用在执行前都要经过策略把关。 3. **经研究验证。** 在 168+ 个代码库中发现 350+ 已验证的漏洞。发现两类新型漏洞。我们攻破过 PyTorch、DeepSpeed、BentoML、TorchServe 以及那些旨在保护 AI 安全的工具（NeMo Guardrails、PyRIT、Garak）。当我们测试您的系统时，我们同样会深入到这种程度。 4. **七层防护。** Aegis 内容扫描、会话规则、策略引擎、审批工作流、Sentinel 行为监控、哈希链收据、TOCTOU 保护。 5. **故障安全闭合。** 未加载策略？拒绝。控制平面不可达？拒绝。未知操作类型？拒绝。 6. **跨提供商。** Claude、GPT、LangChain、CrewAI、Vercel AI、Claude Code 或任何框架。一个安全层，保护您所有的智能体。 7. **免费技术栈，付费测试。** 零成本自行托管所有内容。无按使用量计费，对安全功能不设门槛。收入来自对抗性测试服务，而非对防御功能进行限制收费。 ## 特性 ### 内容安全 在*策略评估之前*运行的零依赖内容扫描器： - **提示词注入检测** —— 15+ 条启发式规则 - **越狱检测** —— 针对常见绕过技术的模式匹配 - **PII 检测** —— 电子邮件、社会安全号码 (SSN)、信用卡、电话号码 - **记忆投毒检测** —— 22 条基于 MINJA 的针对持久记忆攻击的规则 - **多模态安全** —— 针对图像/文件内容的 6 个启发式类别 - **输出扫描** —— 执行后的内容验证 ### 会话规则 通过多操作模式检测权限提升： - **禁止序列** —— 通过 glob 匹配阻断 `[auth.login, admin.escalate]` 链 - **风险评分** —— 具有可配置权重的累计单会话风险 - **最大操作数** —— 设定每次会话的操作总数上限 - **回溯窗口** —— 用于序列匹配的可配置历史深度 ### 预算执行 基于周期重置的单主体消费限制： - 每日、每周、每月或每年周期 - 单项操作成本上限 - 在可配置的利用率级别设置警报阈值 - 通过 OpenTelemetry 指标暴露预算利用率 ### 实时监控 零依赖异常检测引擎： - 通过 EWMA（指数加权移动平均）建立**单智能体基线** - 用于渐进式行为漂移的 **CUSUM 变化检测** - 针对拒绝率、延迟、成本、链深度和扇出的**可配置警报** - **跨智能体链追踪** —— 用于委托链的深度和扇出指标 ### 影子/金丝雀策略测试 在不执行的情况下与活跃策略并行测试新策略： - `?shadow=policy-id` 查询参数或 `AUTHENSOR_SHADOW_POLICY_ID` 环境变量 - 差异报告：一致性比率、规则细分、单张收据对比 - 零风险的策略迁移路径 ###透明度与合规性 - **哈希链收据** —— SHA-256 链使审计追踪防篡改 - **Sigstore/Rekor 集成** —— 可选发布到公共透明度日志 - **跨智能体追踪** —— `parentReceiptId` 跨委托链链接收据 - **TOCTOU 保护** —— 在认领时重新评估策略，防止过期批准攻击 - **主体绑定** —— 将 API 密钥绑定到特定的智能体身份 - **OpenTelemetry** —— 为每次评估提供跨度 和指标 ## OWASP 智能体 Top 10 覆盖范围 Authensor 涵盖了 [OWASP Top 10 for Agentic Applications (2026)](https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/) 中的所有 10 项风险： | OWASP 风险 | Authensor 覆盖范围 | |---|---| | ASI01: 智能体目标劫持 | Aegis 预评估扫描 + 策略引擎评估操作意图，而非输入文本 | | ASI02: 工具滥用 | 单工具策略、参数约束、速率限制、预算上限 | | ASI03: 身份与权限滥用 | 主体绑定、RBAC、ABAC 条件、会话风险评分 | | ASI04: 供应链漏洞 | MCP 工具治理、域白名单、SSRF 保护 | | ASI05: 意外的代码执行 | 默认拒绝、显式白名单、SafeClaw 容器模式 | | ASI06: 记忆与上下文投毒 | Aegis 记忆投毒检测器（22 条 MINJA 规则）、哈希链收据 | | ASI07: 不安全的智能体间通信 | 跨智能体链追踪 (`parentReceiptId`)、Sentinel 链深度警报 | | ASI08: 级联故障 | 紧急停止开关、单工具熔断器、速率限制、Sentinel 异常检测 | | ASI09: 人机信任利用 | 多方审批工作流、TOCTOU 重新评估、影子策略测试 | | ASI10: 流氓智能体 | 故障安全闭合架构、Sentinel 行为基线、禁止操作序列 | 有关详细映射，请参阅[完整 OWASP 对齐文档](docs/owasp-agentic-alignment.md)。 ## 合规性 Authensor 的架构直接映射到主要的监管要求： - **EU AI Act**（截止日期：2026 年 8 月 2 日）：第 12 条的日志记录通过收据链实现，第 14 条的人工监督通过审批工作流实现。参见[合规指南](docs/eu-ai-act-compliance.md)。 - **SOC 2**：不可变的审计追踪、RBAC、速率限制、访问日志 - **SOX**：通过审批工作流实现职责分离，支持收据保留 - **HIPAA**：操作级别的审计日志、访问控制、主体绑定 - **NIST AI RMF**：通过策略、收据和控制措施满足 Govern、Map、Measure、Manage 四大支柱 ## 对抗性红队评估 没有经过测试的防御只是空希望。 专有的自动化流水线。使用在 NVIDIA、Microsoft、Meta、Google、HuggingFace、OpenAI 及其他 50+ 家组织的 168+ 个代码库中发现 350+ 已验证漏洞的同一套方法论。发现了两类新型漏洞。 ``` Your AI system │ ▼ Authensor Red Team Pipeline │ ├── Static + dynamic analysis (custom rules, not off-the-shelf) ├── ML-specific vulnerability detection ├── Multi-signal correlation and attack chain discovery └── Automated triage + false positive elimination │ ▼ CVE-quality output │ ├── Verified findings with reproduction steps ├── CVSS scoring with exploitability assessment ├── Remediation recommendations └── PR patches where applicable ``` ### 测试目标 | 目标 | 我们的发现 | |--------|-------------| | **ML 基础设施** | 反序列化、注入、身份验证绕过、模型格式漏洞利用 | | **AI 智能体** | 策略绕过、工具滥用、数据渗出、权限提升 | | **安全与评估工具** | 护栏绕过、沙箱逃逸、监控规避、评估框架漏洞 | | **原生代码** | 推理引擎中的内存损坏 | | **供应链** | 依赖混淆、恶意模型文件、受损的流水线 | ### 工作原理 [Chainbreaker](https://github.com/chainbreaker-ai/chainbreaker) 是核心引擎。它使用以下方式生成并执行多步攻击链： - **MITRE ATLAS 映射** —— 每条攻击链都映射到已记录的战术和技术 - **15 维 CBS (Chainbreaker Behavioral Score)** —— 量化的安全评级，而非主观感觉 - **大规模自动化** —— 数以千计的攻击变种，而非少数手工测试 - **Rust 核心** —— 快速、可审计、零运行时依赖 发现的结果会反馈到 Authensor 的防御层：生成新的 Aegis 检测规则、策略模板和 Sentinel 行为签名。闭环由此形成。 ### 致审计师和认证机构 如果您正在进行 AI 安全评估（AIUC-1、EU AI Act 合规性、NIST AI RMF）：支持这些评估的评估框架本身已被确认存在我们记录在案的漏洞。我们验证的正是评估基础设施本身。测试您的“测试手段”是否真正有效。 [联系邮箱：security@authensor.com](mailto:security@authensor.com) ## API 参考 | 方法 | 端点 | 描述 | 角色 | |--------|----------|-------------|------| | POST | `/evaluate` | 评估操作信封 | ingest, admin | | POST | `/evaluate?shadow=id` | 使用影子策略评估 | ingest, admin | | GET | `/receipts` | 列出收据 | admin | | GET | `/receipts/:id` | 获取单张收据 | admin | | GET | `/receipts/:id/view` | 人类可读的收据查看器 | admin | | GET | `/receipts/:id/chain` | 获取跨智能体收据链 | admin | | GET | `/receipts/:id/transparency` | 获取 Sigstore 透明度证明 | admin | | POST | `/receipts/:id/claim` | 认领收据以供执行 | executor, admin | | POST | `/receipts/:id/finalize` | 完成执行 | executor, admin | | GET | `/policies` | 列出策略 | admin | | POST | `/policies` | 创建策略 | admin | | POST | `/policies/:id/activate` | 激活一个策略版本 | admin | | POST | `/approvals/:id/approve` | 批准待处理的操作 | admin | | POST | `/approvals/:id/reject` | 拒绝待处理的操作 | admin | | GET | `/budgets` | 列出预算及其利用率 | admin | | POST | `/budgets` | 创建/更新预算 | admin | | GET | `/shadow/report` | 影子评估差异报告 | admin | | GET | `/controls` | 获取紧急停止开关 / 工具控制 | executor, admin | | POST | `/controls` | 更新控制配置 | admin | | POST | `/keys` | 创建 API 密钥 | admin | | GET | `/keys` | 列出 API 密钥 | admin | | POST | `/keys/:id/principal` | 将主体绑定到密钥 | admin | | GET | `/metrics/summary` | 使用量指标 | admin | | GET | `/health` | 健康检查 | public | ## 自行托管 vs. 托管服务 所有内容均已开源。可全部自行托管，或使用托管版本： | | 自行托管 (免费) | 托管服务 ($5/月) | |---|---|---| | 策略引擎 | 是 | 是 | | 控制平面 | 是 | 是，托管式 | | Aegis 内容安全 | 是 | 是 | | Sentinel 监控 | 是 | 是，配备仪表盘 | | 收据与审计追踪 | 是 | 是，具备保留 SLA | | 审批工作流 | 是 | 是，附带 SMS/电子邮件网关 | | SpiroGrapher | 是 | 是，具备联邦威胁情报 | | OpenTelemetry 导出 | 是 | 是，预配置 | | 支持 | 社区支持 | 专属支持 | | 合规报告 | 自助完成 | 自动生成 | | SLA | 无 | 99.9% 正常运行时间 | ## 部署 ### Docker Compose (最简单) ``` docker compose up -d ``` ### Helm (Kubernetes) ``` helm install authensor deploy/helm/authensor \ --set postgresql.auth.password=your-password \ --set controlPlane.env.AUTHENSOR_BOOTSTRAP_ADMIN_TOKEN=your-token ``` ### Terraform 提供适用于 AWS (ECS + RDS)、GCP (Cloud Run + Cloud SQL) 和 Railway 的模块： ``` cd deploy/terraform/aws terraform init && terraform apply ``` ### 一行命令安装 (仅限 CLI) ``` curl -fsSL https://raw.githubusercontent.com/authensor/authensor/main/install.sh | sh ``` ## CLI ``` # 对 policy 进行 Lint 以发现常见问题 authensor policy lint policy.json # 针对场景测试 policy authensor policy test policy.json scenarios.json # Diff 两个 policy 版本 authensor policy diff v1.json v2.json ``` ## 开发 ``` # Prerequisites: Node.js 20+, Docker, pnpm corepack enable pnpm install # 启动 stack docker compose up -d # Postgres + control plane pnpm dev # Dev servers with hot reload # 测试（跨 16 个 packages 的 1,148+ 项测试） pnpm test # Build 所有 packages pnpm build # 验证生成的 types 与 schemas 匹配 pnpm gen:check ``` ## 贡献 我们欢迎您的贡献！有关准则，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 Authensor 的构建基于这样一个信念：**安全工具不应有付费墙**。我们将每一行安全代码开源，因为使用这些工具的人越多，所有人身边的智能体就会变得越安全。 ## 许可证 MIT —— 随心所欲，自由使用。

标签：AI安全, AI对齐, Chat Copilot, Cilium, CISA项目, EU AI Act, MCP网关, MITM代理, NPM, Web报告查看器, 人工智能, 人工智能安全, 代理安全, 全栈, 内容审查, 可视化界面, 合规性, 密码管理, 对抗性机器学习, 开源, 数据展示, 测试用例, 漏洞披露, 用户代理, 用户模式Hook绕过, 策略引擎, 红队, 网络安全, 网络安全审计, 网络安全挑战, 自动化攻击, 行为监控, 请求拦截, 逆向工具, 配置错误, 防御系统, 隐私保护, 零日漏洞检测