AC-Cyb/agentic-security-examples-04-25

# 智能体安全示例 这些是最小化、可运行的示例，旨在阐明使智能体安全在受监管环境中发挥作用的 核心架构模式。它们刻意保持简单——其价值在于 设计，而非代码行数。 ## 存在的意义 现代企业安全存在一个结构性问题：人类速度的响应无法跟上 机器速度的威胁。答案是自主防御——但没有治理的自主性 只会让我们更快地陷入麻烦。 这些示例展示了使自主性变得安全的设计原则： - **分级自主性** — 在可逆且低风险的情况下追求速度，在高影响区域引入监督 - **受限操作空间** — 智能体只能执行其被明确设计去完成的操作 - **意图驱动的人机协同** — 检查点设置在需要人工判断的地方，而不是作为摩擦阻力 - **不可变的审计日志** — 每个决策都附带理由记录，以支持合规性辩护 - **关注点分离** — 策略、执行和环境被清晰地解耦 ## 项目 ### [01 — 检测智能体](./01-detection-agent/) 读取安全日志文件，识别八个检测类别中的异常模式， 按严重程度对发现进行评分，并生成包含可操作建议的 HTML 风险报告。 **演示内容：** 信号聚合、模式检测、严重性分级、符合监管要求的报告。 ### [02 — 修复智能体](./02-remediation-agent/) 接收检测结果并以分级自主性进行响应——自动撤销可疑会话， 对干扰用户的操作请求批准，并通知 SOC，所有操作均附带完整的审计日志。 **演示内容：** 基于策略的决策、分级自主性、人机协同设计、审计日志规范。 ### [03 — 密钥与 PII 检测智能体](./03-secrets-pii-agent/) 混合智能体，用于扫描日志中暴露的凭据、密钥和 PII（个人身份信息）—— 结合快速的确定性正则表达式与 AI 推理来过滤误报，然后执行 分级的修复操作（自动脱敏 + 通知 SOC）并保留完整的审计日志。 **演示内容：** 混合智能模式（规则 + AI）、减少误报、带有 监管映射的自动化修复、以及区分脚本与智能体的架构模式。 ### [04 — 带有 Vault 集成的密钥智能体 v2](./04-secrets-agent-v2/) 通过完整的发现与入库管道扩展了项目 3。当智能体发现密钥时， 它会将值存储在 AWS Secrets Manager（模拟环境）中，在一个 可发现的索引中注册它，将文件内容替换为形如 `{{secret://...#v1}}` 的引用 URI，并通知 SOC。 包含一个展示应用如何在运行时获取值的运行时解析器，以及一个供安全团队使用的 SOC 操作仪表板。 **演示内容：** 引用而非脱敏模式、可互换的 vault 适配器架构、 可发现的密钥注册表、运行时解析、默认防御性审计（哈希值）。 ## 快速开始 ``` # Detection agent cd 01-detection-agent python3 analyser.py open reports/risk_report.html # Remediation agent cd 02-remediation-agent python3 agent.py python3 review.py # Secrets & PII agent cd 03-secrets-pii-agent python3 generate_logs.py # one-time, creates sample logs python3 agent.py open reports/findings_report.html # Secrets agent v2 — with vault integration cd 04-secrets-agent-v2 python3 generate_logs.py python3 agent.py # detect, vault, register, replace python3 soc_view.py # SOC operational view python3 resolver.py # see how apps resolve references ``` 每个项目都有其专属的 README，包含详细的设置和使用说明。 ## 架构原则 这些示例体现了可直接转化为生产环境中智能体安全的五个原则： 1. **检测 → 决策 → 行动 → 日志** 是标准循环。此代码库中的每个智能体都遵循此循环。 2. **自主性通过可逆性获得。** 智能体应仅自动执行 可逆且低影响的操作。任何会干扰用户、更改数据或具有监管影响的操作， 默认情况下都应要求人工批准。 3. **策略与执行分离。** 决定“做什么”的决策逻辑应独立于 “怎么做”。这使得智能体具有可测试性、可审计性和适应性。 4. **环境是可互换的适配器。** 在这些示例中，环境是模拟的。 在生产中，相同的智能体逻辑可接入 Okta、Azure AD、ServiceNow，或组织使用的 任何真实系统。智能体对此毫不关心。 5. **审计日志不是可选项。** 每个决策——包括*不*采取行动的决策——都必须 记录时间戳、理由和结果。这正是使智能体系统在 监管审查下具有抗辩能力的关键。 ## 监管一致性 此处演示的模式直接支持： - **DORA (EU)** — 自动化事件响应，具备完整的审计日志，并在 规定时间范围内通知 SOC - **NYDFS Part 500** — 文档化的决策、对重大操作的人工监督、持续监控 - **EU AI Act** — 针对高风险自主决策，按意图设计的人机协同检查点 - **SR 11-7 (US Federal Reserve / OCC)** — 当扩展到基于 ML 的 检测层时的模型风险管理原则 - **GDPR Article 22** — 对产生重大影响的自动化决策进行有意义的人工监督 ## 生产化路径 这些示例是参考实现，而非生产级代码。通向生产的路径如下： | 层级 | 参考 | 生产环境 | |---|---|---| | 检测输入 | 合成日志文件 | SIEM (Splunk、Elastic、Sentinel) | | 决策策略 | 硬编码规则 | 可配置的策略引擎，在 Git 中进行版本控制 | | 身份操作 | 模拟 | Okta API、Azure AD Graph、AWS IAM | | SOC 通知 | 本地 JSON 文件 | Slack、ServiceNow、PagerDuty | | 审计日志 | 本地 JSONL 文件 | 不可变的云存储、SIEM 管道 | | 批准工作流 | 终端提示符 | Slack 交互、审批队列、移动应用 | 智能体逻辑保持不变。改变的只有适配器。 ## 扩展这些智能体 进一步扩展的具体后续步骤： - **AI 推理层** — 调用 LLM，通过结合上下文的分析和自然语言简报来丰富发现结果 - **威胁情报富化** — 在决策时通过 VirusTotal、AbuseIPDB 查询源 IP - **多智能体协作** — 独立的威胁情报、漏洞评估和响应智能体协同工作 - **学习循环** — 当人类拒绝智能体的建议时，将反馈纳入策略调优 - **工具调用** — 让 AI 决定采取哪些操作，而不是遵循固定策略 ## 许可证 MIT — 可自由使用，请注明出处，不提供任何担保。参见 [LICENSE](./LICENSE)。 ## 关于 作为智能体安全架构的参考实现而构建——这是自主防御系统在受监管企业环境中 运作的基础。

标签：AI安全, AI智能体安全, AMSI绕过, Chat Copilot, DevSecOps, Homebrew安装, HTML风险报告, PII泄露防护, SOC自动化, Vault集成, 上游代理, 人为干预, 企业安全架构, 会话撤销, 分级自治, 参考实现, 受监管环境, 多模态安全, 威胁检测, 子域名变形, 安全合规, 安全基座设计, 审计追踪, 异常检测, 时序数据库, 机密检测, 架构模式, 混合智能, 策略即代码, 网络代理, 聊天机器人安全, 自主防御, 自动化响应, 身份与访问管理, 违规补救, 逆向工具, 零信任架构, 风险评分